[LUGOS] Izkušnje z FOSS rešitvami za ankete

Iztok Stotl iztok.stotl at guest.arnes.si
Wed Jan 12 11:16:37 CET 2022


Lep pozdrav,
kar se tiče anket je najverjetneje najboljša zadeva tole:
https://projectredcap.org/
Je open source, ni pa GPL. Organizacija mora pristopiti k konzorciju in
izjaviti da ne bo šlo za komercialno rabo, nato dobi vso kodo in
sodeluje v ogromnem svetovnem konzorciju.
Jaz zadevo uporabljam že kakih 15 let in moram reči, da je to noro
kvaliteten software za surveye in zbiranje podatkov za raziskovalne
podatke.
https://projectredcap.org/about/
Dodatno je certificiran za varnost s strani večih standardov in ima
hkrati ziljon drugih funkcionalnosti (priklapljanje na različne baze,
porivanje in vlečenje podatkov iz česarkoli). Koda pa je taka, kot da
bi jo kdo večkrat zlikal ;)
Če vaša organizacija kakorkoli zbira podatke in lahko pristopi k
konzorciju je verjetno nesmiselno gledat kamorkoli drugam, saj boljše
zadeve za manjši denar (zastonj) NI.
https://projectredcap.org/resources/videos/
Če želi kdo preizkusiti strežnik v živo mi lahko sporoči. 
 I.

Anton Luka Šijanec je 11. 01. 22 ob 22:01 napisal:
 
> Zdravo in srečno novo leto!
> 
> On 11 January 2022 10:55:46 CET, "Matija Šuklje" <matija at suklje.name> wrote:
>  
> > Kdorkoli, ki ima izkušnje z anketami, bi bilo zelo dobrodošlo, da:
> > 
> > • predlaga kake rešitve, ki smo jih spregledal
> > • deli svoje izkušnje, ali celo
> > • se javi, da bi pomagal pri evalvaciji
> > 
> > Tu je treba pazit, da ciljna skupina niso podatkovni znanstveniki, ampak razna 
> > društva, da se osvobodijo lahko raznih Google Forms etc.
> > 
> > Trenutno smo identificiral:
> > 
> > •    1ka – npr. na ARNES: https://ec.europa.eu/eusurvey/
> Glede 1ke nimam precej dobrega mnenja, predvsem glede kvalitete programske opreme --- recimo možnost popravljanja in iskanja hroščev je zaradi težko berljive kode otežena.
> 
> Produkcijska verzija je vsaj po mojem mnenju lahko škodljiv program za namestitev in uporabo, ker je polna XSS in verjetno celo SQLi in RCE brez velikega truda.
> 
> Priporočam nalaganje in prebiranje izvorne kode 1ke, ki je pod GPL 3.0 objavljena na https://www.1ka.si/1ka-install (https://www.1ka.si/d/sl/o-1ka/aplikacija-1ka/pogoji-namestitve) še pred namestitvijo.
> 
> Verjetno je najboljše, da se na javno ML ne pošilja nobenih PoC, da morebitni bralec arhivov ne bo s še večjo lahkoto zlorabil obstoječih sistemov (1ka.arnes.si in gov-ankete.si) (:
> 
> Taka zaščita pred napadom ni dovolj:
> https://git.sijanec.eu/anonymous/1ka/src/branch/master/function.php#L167
> https://git.sijanec.eu/anonymous/1ka/src/branch/master/function.php#L1203
> Uporaba neescapanih $_GET['xxx'] v SQL zahtevah in zgrajenem HTML ne vodi ravno v varno aplikacijo.
> 
> Bi pa tudi jaz rad slišal še o kakšnih alternativnih programih za ankete. Lahko tudi na IRC libera#lugos.
> 
> LP
> _______________________________________________
> lugos-list mailing list
> lugos-list at lugos.si
> http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list



More information about the lugos-list mailing list