Последно време интернет пространството се бълва от глупостите на една софтуерна компания, която е спечелила поръчката за създаване на сайта на детските градини в София. Става въпрос за прословутата Сирма груп.
Според официалното обръщение на фирмата, проблема със сайта е причинен от хакерски атаки. Между 9:00 ч. и 12:00 към сайта имало множество нерегламентирани заявки – около 90% от общо направените.
Всеки един от Вас е слушал за обяснението на Сирма за проблема…ето го и моето виждане, като човек занимаващ се с осигуряване на качеството на софтуерните разработки.
Първо да цитирам два абзаца от самото задание, с което е зададен проекта за изпълнение от Община София.
“Индустриални стандарти. При проектирането и изграждането на приложението да се използват и поддържат индустриалните стандарти и най-добрите практики, както и Интернет стандартите HTML, XML, HTTP, JDBC, SQLJ, JAVA(TM), Web Server Definition Language (WSDL), Universal Discovery Description and Integration (UDDI), и Simple Object Access Protocol (SOAP), BPEL, SOA”
“Тест процедури
Системата да мине през следните етапи на тестването:
– Прецизиране на Плана за тестване и Test case
– Тест за отделните елементи
– Тест на модулите
– Интеграционни тестове
– Тест за предварително приемане
– Тестване на пилотната система
– Тестване на системата
– Тестване при приемане на системата”
Да обърнем внимание на първия цитат, в който се упоменава на кои технологии да се наблегне при създаването на системата. Изискването по моето скромно знание е да се използват JAVA технологии.
Системата изработена от Сирма е чисто PHP, написано чрез помощта на Zend studio технология. Така показваше инфото на сървъра, което беше налично за преглед в деня на пускане на сървъра.
Малко да поразсъжваме…PHP е идеален език за програмиране на уеб сайтове и леки по натовареност портали. Сравнение между JAVA и PHP от гледна точка на сигурност не може и да става дума. Джавата е доста пъти по-сигурна и приложенията писани на нея издържат на голямо натоварване.
Тук е редно да си зададем само един въпрос: Защо след като от Възложителят е имало изискване да се използва JAVA технология за направата на системата от Сирма са предпочели PHP ?
Вярно става по-бързо, но и по-несигурно при натоварване. Аз не съм програмист, поне вече не :) , че да давам повече коментари за това. Има хора, които са по-кадърни и ще го направят.
Относно втория цитат за процесите на тестване. Няколко пъти представители от Сирма в телевизионен ефир споменават, че са провели тестове за натоварване (Load testing) на системата. Къде това е описано в документацията ? Къде става дума за тестове на натоварване?
Аз не виждам такова нещо. Това е недопустимо, една система да не мине през Load и Stress тестове, за да се изследва нейното състояние при екстремални условия. Разбира се, Сирма са извършили тези тестове…но на приказки. Никъде в документацията не присъстват тези род тестове…колкото и да я четох не можах да ги намеря. Задължително е било да проведат и performance тестове на сървъра, за да се определи при какво натоварване той ще гръмне.
Но не…от Сирма всички отдават на хакерски атаки. Много ви се моля…ние може да ядем зелена салата, ама не пасем трева! Това, че за Вас се поява идеалния вариант да се измъкнете от ситуацията като обвините, т.н. ХАКЕРИ. Искате да кажете, че всеки един гражданин на страната е хакер!
Още един ваш пропуск е липсата на добавена функционалност за уникалност на потребителите. След като очаквате такъв голям брой регистрации, защо беше нужно да позволявате повече от една регистрация на ЕГН. Това щеше да ви реши много проблеми и ненужна обработка на информацията.
Трябваше да предвидите такъв наплив и голям брой заявки, отправени към системата, защото за този сайт се говори от една седмица…очакваше се голям брой посещения. Но вие решихте да си измиете ръцете и всички тези заявки да ги отдадете на хакерска атака. За какво им е на хакерите да нападат сайт за регистрация на деца в детски градини ???
Изправете се гордо и признайте грешката си. Грешка, която ако признаете ще се приеме по-добре, отколкото целият ИТ бранш да ви се смее с тези “хакерски атаки”.
16 COMMENTS
Калоян К. Цветков
16 years ago
Сирма наистина били засегнати от фиаското с детските градини:
http://kaloyan.info/blog/1659/sirma-daticum/#comment-47854
bgkulinar
17 years ago
Спете спокойно. Хакерите са ракрити!!! Гошко П. от с.Чепинци и Пепи Д. от Сусурлево, съответно на 3 и половина и на 4 години. Виновниците са предадени на техните родители и им забранен достъп до всякакво устройство, съдържащо микропроцесор до навършване на пълнолетие. Вива ББ, вива оСера-ма сълюшънс.
QuaKy
17 years ago
В сайта на Сирма Груп пише, че в положение на “свръхнатоварване”, системата е обслужвала 2000 потребителя на час. Аз ли имам криви разбирания или това не е нищо особено, като се има в предвит идеята на проекта и очаквания трафик?
Kalin4y
17 years ago
за какво да ги е яд ??? 200 хиляди не са много за такъв проект, а и да не забравяме че системата за регистрация на деца в детските градини струва само около 35 000лв. В България са малко фирмите, които могат да се справят с такъв проект и най-вече ще приемат такъв проект…доста от големите ни компании работят на външния пазар, защото с един-два проекта и си осигуряват заплатата на персонала си за доста месеци напред.
Жоро
17 years ago
много хора ги е яд заради ония 200к евро хихихих
Koicho
17 years ago
Светла Върбанова e provela test po gryb na byroto na shefa, super antistress test za tqh dvamata :D
Kalin4y
17 years ago
dzver, просто аз имам малко криви разбирания и за мен PHP не трябва да се използва за такъв вид софтуерни решения. Малко съм и пристрастен към Джавата де :)
Мога единствено да коментирам факта, че навсякъде не спряха да говорят за това колко и какви тестове за натоварване са провели, а никъде не са описани по документацията.
А иначе язък за “дрийм тийма” от Сирма:
Ръководител Проект: Владимир Алексиев
Експерт по анализ на бизнес процеси и системна архитектура: Асен Нелчинов
Старши програмисти: Стефан Арабаджиев, Атанас Тодоров
Програмисти и поддръжка: Румяна Панова, Румяна Терзиева
Експерт по качеството: Светла Върбанова
… само дето се чудя колежката Светла Върбанова, какви ли тестове е провела, че толкова лесно се чупи приложението!
Дико
17 years ago
Всички сме виждали скапани софтуерни решения.
Друго е важното тук!
Бойко да си вземе парите от СИРМА… и да ги “обрули” с неустойка (ако има)… и да инвестира в нова- стабилна такава, за да няма пак инфарктни ситуации за хората и догодина.
Инак, пак ще го отнасят родителите, дето искат да си запишат децата на градина… “шопарите” ще си правят гуша… Бойко ще ми отчита дейност.
Колкото до цената на системата:
СРАМОТА…. за толкова пари AOL щяха да им изградят сайта… Да вземат да спрат хора дето не разбират, да взимат решения за проекти и бюджети. Да си наемат един консултант, да ги “светне” кое как се прави и колко струва. Пак за същите пари… ама поне вероятността за калпава работа, щеше да е много по-малка.
Инак, като знам подхода на СИРМА… сигурен съм че са цакали общината и за КОНСУЛТАНТСКИ услуги! Да им имам претенциите!
dzver
17 years ago
Може да се направи да работи на PHP *всякакъв* по размери сайт. По принцип съм съгласен с поста ти, с изключение на частта, в която твърдиш, че Java е някакво решение. Проблемът с натоварването обикновено идва първо от логиката, после от SQL-a, после от работата с паметта и чак накрая – до където те не биха могли да стигнат – би бил изборът на среда.
СТАВА ВЪПРОС ЗА PHP ПУСНАТО НА APACHE ПОД WINDOWS! Та Win има IIS, който е чудесен уеб сървър, поне да го бяха ползвали него…
Стефан
17 years ago
Проблем наистина няма. Просто казах че по този начин ще се ограничи нежелания трафик в деня Х.
Иначе сайта на Сирма е много зле, да ме извиняват ама за една тъпа форма за регистрация на PHP + MySQL да ти платат толкова пари и тя да не работи ….
Все пак такъв сайт е достоен за курсов проект на някой студент 2-ри курс Информатика, не повече.
Kalin4y
17 years ago
не мисля, че това е проблема :) IP адреса не мисля, че е оказвал някакво влияние.
@haha: залагам кото кажеш, че си от Сирма :) а и между другото отваряш блога с грешния браузър – IExplorer :D
Бу
17 years ago
Аз не виждам проблем да се влиза от другаде. Нали точно затова се въвеждат имена и адреси – аз и да запиша моето дете от Пловдив, никой няма да го вземе, какво – ще си го карам в двете посоки по час и половина сутрин и вечер на градина ли?
Така че това, от друг град да може да се запише софийско дете беше единственото спасение в денят Х – така поне някои успяха да запишат децата си с жокер ‘Обади се на приятел’.
Стефан
17 years ago
Бу – предложи един от вариантите за предотвратяване на претоварването на системата, а именно ограничаване на заявките по IP ( демек само за който се отнася да влизат – Софиянци). Но маи се е получило точно обратното :-)
haha
17 years ago
zashto ne si oprawish sobstvenia post(dqsnata chast na teksta ti e srqzana, nishto ne se chete) i togava da sipesh kamyni po glavite na drugite ;)naj-stannoto e, che izobshto tiq sirma ne gi znam koi sa, no mi napravi vpechatlenie harakternata bylgarska cherta- ne se vijdame samite nie kvi sme( w sluchaia- ti ;)), a sme trugnali da pliuem drugite!
Бу
17 years ago
Искам да кажа само, че това, което се публикува в медиите в голяма степен са пълни глупости.
Хакери?
Извинете. В страницата не можеше да се влезе от София. От Пловдив, например, можеше.
Заради това момичета от Пловдив въвеждаха данните и записваха деца на познати от София. Какво по този въпрос?
Stilgar
17 years ago
Hackerite kazaha sa izpolzvali specializiran software za ataka. Az znam kakuv e tozi software. Naricha se browser i atakata se osushtestviava posredstvom butona F5. Inache az gi opravdavam za sriva. V kraina smetka e trudnichko po vsichki televizii i site-ove da zadadut vuprosa “shte padne li site-a” i toi da ne padne. Normalno e ciala Bulgaria da gi “hackne” po goreposochenia metod. Obache mnogo me drazni za deto taka lujat za tazi bezumno skupa sistema. V kraina smetka tva e edna glupava forma za registracia deto struva 380K. Daje unikalnostta ne sa garantirali. Az taka kakto go vijdam tazi sistema ima 2 problema koito programistite triabva da reshat. Zapisvaneto v bazata (tam sa se osrali shtoto unikalnostta ne se garantira) i ogromnia load v purvite chasove. To tazi sistema drugo ne pravi.