Pentru conducerea Școlii superioare de economie
După cum știm cu toții, așa-numitul LMS funcționează în cadrul Școlii superioare de economie - sistemul electronic pentru asigurarea procesului educațional. Introducerea unui astfel de sistem este o soluție bună și progresivă, pentru care managementul nostru poate fi lăudat. Sisteme similare au fost folosite de mult timp în universitățile occidentale și în multe domenii interne.
Și totul ar fi nimic, dar sistemul are o serie de dezavantaje, din cauza căruia devine cel puțin incomod de folosit și, în unele cazuri, chiar periculos.
Restul, vom descrie în detaliu, pentru care nu suntem atât de îndrăgostiți de LMS.
1. Sistemul este incomod.
Da, desigur, vă puteți obișnui cu orice, inclusiv o interfață teribilă și neîntemeiată. Dar de ce să vă obișnuiți cu răul? Încearcă să-ți amintești cât de multe minute din viața ta foloseai LMS fără a simți că sistemul nu a fost scris de oameni și, evident, nu de oameni?
Să ne amintim, de asemenea, anumite trucuri realizare minoră: în cazul în care doi oameni, de exemplu, Andreev Anton Andreev Alexander a trimis lucrarea sa de profesori în sistemul de fișiere va avea același nume - andreev_a, care poate duce la confuzie.
2. Sistemul este "gaură" prin și prin.
Utilizat într-un sistem de management al conținutului LMS eFront are o mulțime de bug-uri mici, mici XSS-vulnerabilități și găuri mari, permițând realizarea a SQL-injectare, ridica privilegii, sau descărcați în mod arbitrar PHP-cod. Asigurați-vă de acest lucru: accesați google.com și tastați "efront exploit". Ochii tăi vor apărea zeci de pagini, care vor fi descrise în detaliu metodele de hacking, vulnerabilitate și vor primi instrucțiuni complete, după care sistemul poate sparge chiar și un elev.
Încă nu crezi că LMS este vulnerabilă? Credeți că toate acestea sunt posibile numai pentru tipii de hard-core care își amintesc de sute de comenzi consola cu inima și dorm într-o îmbrățișare cu tastatura? Apoi du-te la sistem și introduceți orice în câmpul "Căutare" care se termină cu un ghilimele, de exemplu qwerty # "Ei bine, cum? Dacă creați o interogare mai complexă, puteți trage conținutul a aproape orice tabel din baza de date din sistem. Elementele de bază ale SQL sunt tot ce trebuie să știți.
Să spunem mai multe, sunt disponibile mai multe găuri în sistemul de găuri care permit un astfel de truc să fie executat, iar pe fiecare dintre ele există informații pe Internet. Pentru a le folosi, nici măcar nu trebuie să fii înregistrat în sistem!
În cele din urmă, LMS are o serie de vulnerabilități care vă permit să creșteți privilegiile și / sau forțați serverul să execute cod PHP arbitrar. Aceasta înseamnă că un atacator poate face orice cu sistemul, începând cu corectarea propriilor estimări și a altora, terminând cu modificarea acestuia pentru propriile nevoi.
Și pentru a face acest lucru, așa cum am spus, oricine poate. Mai ales când considerați că codurile sursă ale sistemului sunt postate pe Internet.
Aici. După cum vedeți, LMS este pentru ce nu-i place. Și chiar dacă excludeți întrebări legate de afecțiunea / disprețul personal, acest lucru nu anulează faptul că sistemul este inutil pentru a fi utilizat în procesul educațional.
Noi, studenți ai Școlii superioare de economie, nu vrem să studiem într-un sistem inconvenient, prost conceput și nesigur.
Nu vrem ca indivizii individuali să profite de imperfecțiunea sistemului, să-și corecteze evaluările sau să treacă teste. Deși de studiu și nu un joc pe calculator, dar cheaters aici încă nimeni nu îi place.
Nu vrem ca datele personale sau corespondența noastră personală să fie accesibile oricărei persoane "de pe stradă" sau folosite împotriva noastră.
Îndemnăm conducerea Școlii superioare de economie:
1. Înțelegeți cine și de ce a permis introducerea unui astfel de sistem de calitate slabă. Pentru aceasta, cu siguranță banii au fost plătiți și, în plus, considerabili.
2. Cel puțin - pentru a elimina dezavantajele de mai sus, și este de dorit - să alegeți un alt sistem de implementare.
Încurajăm profesorii de la Școala superioară de economie:
1. Dacă este posibil, refuzați să utilizați acest sistem până când problemele descrise mai sus sunt rezolvate. Asta e în interesul tău.
2. Pentru a trimite managementului HSE sugestiile lor despre modul de schimbare a situației curente.
Încurajăm studenții de la Școala superioară de economie:
1. Să ceară profesorilor să refuze utilizarea acestui sistem în forma sa actuală.
Poate că aveți întrebări și ne pretindeți:
(?) Deoarece toată această agitație publică a terminat deja cu apeluri, proteste, scrisori deschise, mitinguri, iar aici ești din nou.
(!) Obișnuiți-vă cu asta. Fie obișnuiți să utilizați un sistem pe care nu-l plăcești, discutând între ei cât de teribil este sau obișnuit cu faptul că există oameni care nu-i plac această stare de lucruri.
(?) Tu practici idler chatter.
(!) Nu, am prezentat probleme specifice și le propunem să le rezolvăm. Dacă aceasta este o discuție goală, atunci care sunt afirmațiile conducerii noastre?
(?) Crizi doar, oferindu-te nimic.
(!) Oferim. Și propunerea noastră este să găsim un alt sistem în loc de eFront sau să-l scriem singur, prin forțele "turnului". Ca un compromis, am putea oferi eFront pentru a face upgrade la cea mai recentă versiune, dar nu ar rezolva problema ar fi cu interfața și cu datele personale, și multe găuri lăsate deschise.
(?) Este prea târziu să schimbi ceva, sistemul este implementat, va fi prea scump sau dificil să îl remodelați
(!) Eșecurile care au avut loc în cursul anului școlar pot fi mai scumpe - atât pentru bani, cât și pentru resursele umane. Și în acest caz pot apărea probleme atât cu studenții, cât și cu profesorii. De aceea, scriem vara, când mai este timp pentru a schimba ceva.
(?) Unde erai înainte, erai inutil?
(!) Am studiat. Am fost răbdători. Am crezut că problemele erau temporare și, cel puțin până în vară, le-ar fi corectate. Dar este evident că, dacă aceste probleme nu ar fi rezolvate fără participarea noastră timp de un an, atunci ar fi greșit să credem că vor fi rezolvate fără participarea noastră timp de o lună și jumătate.
(?) Ce intri in panica atat de mult? Sistemul încă nu este crăpat.
(!) De unde știi asta? Informațiile despre vizite sunt stocate în aceeași bază de date cu informațiile despre utilizatori și despre mesajele private. Hackerii pot elimina informațiile pe care le-au aflat în sistem sau au încercat să-l hack.
(?) Dar nu au fost incidente.
(!) În primul rând, de unde știi asta, urmărești munca LMS? În al doilea rând, atunci când sunt și dacă o fac, va fi prea târziu.
(?) Sunteți voi înșivă hackeri care ați spart sistemul și acum încercați să evitați suspiciunile.
(!) Este suficient de presupunere absurdă, având în vedere că, în primul rând, nimeni nu știa, și în al doilea rând, că un hacker este mult mai profitabil să se facă „scăzut“ și, să zicem, oferă studenților bani pentru a corecta estimările decât stick-la oameni.
(?) De unde știi atât de multe detalii despre funcționarea LMS?
(!) Toate informațiile pe care le-am postat aici sunt deschise și disponibile publicului. Surse de sistem eFront, creatorii LMS-cadru stabilite la site-ul web sourceforge.net și a datelor de vulnerabilitate este, de exemplu, sau securitylab.ru exploit-db.com. Nu trebuie să fii hacker să afli. Trebuie doar să știți cum să utilizați Google.
(?) Nu veți reuși.
(!) Putem obține cel puțin ceva: conducerea ne poate asculta și cel puțin să ne gândim dacă ei fac totul bine. Acesta este și un rezultat.
În orice caz, nu va fi mai rău.
O copie a acestei scrisori va fi trimisă administratorilor HSE și administratorilor LMS. De asemenea, puteți trimite o copie a acestei scrisori tuturor părților interesate.
Cererea LMS este periculoasă și ar trebui înlocuită cu Manualul Școlii superioare de economie. A fost creată și scrisă de Vasilikhin Rostislav Viktorovich ([email protected]). Această petiție se află pe serverul public Internet www.OnlinePetition.ru. Proprietarii serviciului și sponsorii nu sunt asociați cu petiția. Pentru întrebări tehnice și alte întrebări, vă rugăm să contactați [email protected]
Articole similare
Trimiteți-le prietenilor: