Korzystając z Profilu Zaufanego – aplikacji administracji państwowej – spotkałem się z trudnościami logowania się do systemu, który pomimo mojej staranności informatycznej, przekazywał informację o błędzie. Tę sytuację postanowiłem zasygnalizować mejlem zespołowi Service Desk (?) Centralnego Ośrodka Informatyki. Na moje zgłoszenie uzyskałem informację, a potem nawet ponaglenie dotyczące konieczności wykonania pewnych czynności oraz przesłania kilku danych. Nieco tym zdziwiony przygotowałem wspomnianemu zespołowi szerszą odpowiedź,  którą chcę się tutaj z Wami podzielić.  

„Koleżanki Informatyczki, koledzy Informatycy,

Piszę do Was w odpowiedzi na prośbę skierowaną do mnie w mejlu z dnia 30.08.2022, a dotyczącą Wniosku o usługę o nr. 2 454 545. Bardzo mnie rozczuliliście proponując na wstępie zastosowanie Ctrl+Shift+Delete dla wszystkich przeglądanych stron. Czy naprawdę muszę to zrobić, tracąc potem wiele czasu na ponowne czytanie nudnych opowieści o ciasteczkach (oraz często już bezsensownych, acz obowiązkowych zasad RODO) i ustalanie zakresu ich działania oraz ponowne logowanie się do wielu stale używanych portali (np. gazet, czasopism, itp.)? Czy może gdzieś widzieliście, aby w celu używania portalu jakiegoś banku trzeba było wcześniej kasować wszędzie ciasteczka?

Ciekawa jest też propozycja zmiany przeglądarki. Może lepiej gdzieś napisać, których przeglądarek polska administracja cyfrowa nie wspiera (aha – lepiej tego nie robić, nie chcąc się narażać na pozew z tytułu ochrony praw konkurencji). Nie powinno się też wyłączać HTML5, rekomendowanego w 2014 roku przez W3C. Oczywiście strony gov.pl powinny też dobrze działać na starszych wersjach przeglądarek. Dlaczego to stanowi problem nie do ogarnięcia?

Dzisiaj potrzebowałem użyć portalu gwd.nfosigw.gov.pl (dogrzebanie się do niego wymagało nieco starań). Portal ten (o siermiężnej grafice) jest dostępny po zalogowaniu przez profil zaufany. Niestety, przy powrocie na GWD wystąpił podobny (jak ten uprzednio) błąd oznaczony ciągiem znaków alfanumerycznych. Co ciekawe, zostałem o tym poinformowany przez Was również mejlem.

Zacząłem jeszcze raz, ale tym razem na stronie prywatnej przeglądarki. O tym tipie (tej wskazówce) kiedyś poinformowała mnie Pani z jakiegoś Centrum Pomocy. I udało się, ale potem ku mojemu zdziwieniu, należało się jeszcze zalogować się w GWD podając jako login adres mejlowy oraz (uwaga!) hasło – zgadłem, że identyczne jak w profilu zaufanym. Zadziałało.

W tym miejscu mam istotną uwagę o dziwnym powiązaniu tych portali domeny gov.pl poprzez portal Profilu Zaufanego do logowania, np. (tylko 3 przykłady) [uwaga adresy stron portali skróciłem o frazę https://]:

  • ikp.gov.pl –> login.gov.pl/login… –> pacjent.gov.pl,
  • epuap.gov.pl –> login.gov.pl/login… –> epuap.gov.pl/wps/myportal,
  • moja.warszawa19115.pl/ –> login.gov.pl/login… –> https://moja.warszawa19115.pl/user-dashboard,
  • przy istnieniu też portalu –> pz.gov.pl/dt/pages/accountDetails, również przeznaczonego do logowania przez profil zaufany.

Ten sposób powiązania stron w celu przejścia przez stronę logowania jest dziwny i wzbudza sporo obaw u mnie i zapewne u wielu użytkowników. Nie mam dostępu i nie wnikałem w jego implementację, ale zapewne wykorzystuje on ciasteczka przekazujące dane pomiędzy tymi stronami. Stąd jest ta rada czyszczenia wszystkich ciasteczek w przeglądarce, gdy są kłopoty z otrzymaniem esemesa z kodami – ogólnie z logowaniem, bo się te ciasteczka tym stronom poplątały.

Po co tak to zrobiono? Czy może widzieliście jakieś podobne rozwiązanie dla logowania się do aplikacji bankowych? Czy ktoś oprócz gov.pl zastosował takie rozwiązanie? A według mojej informatycznej intuicji jest ono potencjalnie niespójne i mało odporne na oszustwa – bardzo chciałbym nie mieć tutaj racji. W każdym razie mam nadzieję, że czytujecie wpisy w niebezpieczniku.pl.

Zresztą przykładów bałaganu organizacyjnego w tym systemie jest więcej. Zacznijmy od tego, że istnieje jedna wersja rozpoczynająca się na stronie mobywatel.gov.pl oraz druga na stronie epuap.gov.pl. Obie z nich oferują podobne usługi, tylko w innym układzie wizualnym. Przy logowaniu niekiedy można zobaczyć wpisywane hasło, a w innym przypadku nie. Żądanie wpisania kodu z potwierdzającego esemesa czasem pojawia się natychmiast, a czasem dopiero na następnej i jeszcze następnej stronie. Wyszukanie interesującej nas instytucji czy urzędu wymaga dokładnej znajomości ich nazwy, inaczej trzeba jej szukać na długiej liście urzędów miasta między przedszkolami. Poszukiwanie potem interesującej nas sprawy do załatwienia również wymaga znajomości jej oficjalnej nazwy, ale też znalazłem dla Grodziska Maz. sprawę Ełckiej Karty Seniora.