5/7/2011
Jeden z naszych czytelników, Michał Plichta z Częstochowy, poinformował nas o błędzie SQL injection w systemie rekrutacji do szkół ponadgimnazjalnych Nabór Optivum, który rok temu przetworzył dane 59% wszystkich absolwentów gimnazjów w Polsce. Błąd umożliwia manipulację ocenami, co może skomplikować proces rekrutacji do wybranej przez ucznia szkoły ponadgimnazjalnej. Dodatkowo, według Michała, atakujący przy pomocy tego błędu może uzyskać dostęp do danych gimnazjalistów. Autorzy systemu potwierdzają błąd, ale twierdzą, że zagrożenie jest nikłe, a atakujący nie miał możliwości dostępu do danych osobowych.
SQL injection w Nabór Optivum / KSEON
Jak informuje Michał, podczas wypełniania formularza w systemie Nabór Optivum / KSEON zauważył on pewne nieprawidłowości — błąd typu SQL injection. Michał zastrzega, że nie zostały przez niego zmienione ani odczytane żadne dane z bazy należące do innych użytkowników, ale brak tych działań ma wynikać jedynie z jego dobrej woli, bo potencjalny atakujący przy pomocy tego błędu może, według Michała:
- podbić lub obniżyć średnią ocen wybranemu gimnazjaliście
- uzyskać dostęp do danych osobowych dowolnego, zarejestrowanego w systemie gimnazjalisty (producent zaprzecza, wyjaśnienie poniżej)
Dane Osobowe, które muszą wprowadzić Gimnazjaliści
KSEON Optivum - możliwość zawyżenia średniej ocen
Jak duże jest zagrożenie?
Z ogólnie dostępnych źródeł udało nam się dowiedzieć, że system w poprzednim roku przetworzył dane 59% wszystkich absolwentów gimnazjów w Polsce (15 województw; ponad 3 000 szkół, 259 000 uczniów) — zakładamy, że w tym roku było podobnie.
Z przewodnika po systemie wynika, że dane wprowadzone do systemu są na szczęście weryfikowane ręcznie z odpowiednimi dokmentami papierowymi, ale w przypadku, kiedy wartości “elektroniczne” nie zgadzają się z wartościami “papierowymi”, proces rekrutacji może zostać mocno skomplikowany — w instrukcji do Systemu Elektronicznego Wspomagania Rekrutacji Nabór Optivum czytamy:
Jeżeli informacja w Systemie będzie różnić się od informacji na podaniu, to podczas weryfikacji podanie zostanie odrzucone.
Łatwo sobie wyobrazić, że ktoś zechce dla żartu zmienić dane gimnazjaliście, aby utrudnić mu proces rekrutacji, dlatego wszystkim tegorocznym absolwentom gimnazjum korzystającym z systemu Nabór Optivum / KSEON zalecamy pilne sprawdzenie, czy dane w systemie są prawdziwe (nie zostały zmienione). W większości szkół jest już po wszystkich “terminach” i zmiany w systemie nie powinny wpłynąć na proces rekrutacji. Informacje o błędzie po raz pierwszy otrzymaliśmy jednak 22 czerwca.
Autorzy systemu odpierają zarzuty
Pierwsza próba kontaktu z autorami Systemu Elektronicznego Wspomagania Rekrutacji Nabór Optivum zakończyła się niepowodzeniem. Nasz e-mail przesłany na trzy adresy został przeoczony. Telefoniczne ponowienie kontaktu spowodowało jednak bardzo szybką i sprawną reakcję producenta. Oto pytania jakie zadaliśmy:
-
0. Czy potwierdzacie państwo obecność w/w błędu w swoim sytemie?
1. Ilu gimnazjalistów korzysta/skorzystało w tym roku z systemu KSEON Optivum?
2. Jakie dane może uzyskać atakujący wykorzystując zacytowany powyżej błąd SQL injection?
3. Czy możliwy jest scenariusz ataku, w którym atakujący zmienia szkołę, do której się dostał na inną?
4. Czy mogą Państwo stwierdzić, czy ktokolwiek uzyskał do systemu nieautoryzowany dostęp i zmodyfikował bądź odczytał dane gimnazjalistów?
5. Kiedy można spodziewać się poprawienia błędu?
6. Czy przed startem KSEON Optivum wykonywaliście Państwo testy bezpieczeństwa / testy penetracyjne?
A to odpowiedź jaką uzyskaliśmy od Radosława Wiktorskiego z firmy Vulcan:
Opisana (…) luka w istocie występowała w jednym fragmencie jednego formularza znajdującego się w systemie – formularz osiągnięć, część dotycząca innych zajęć edukacyjnych, jednakże wydaje się, iż nie miała ona istotnego wpływu na bezpieczeństwo funkcjonowania systemu.
Fragment formularza, którego dotyczy zgłoszenie, zawiera informacje na temat nazwy dodatkowych zajęć edukacyjnych, ich ewentualnej obowiązkowości oraz oceny z nich uzyskane. W praktyce większość uczniów nie posiada dodatkowych zajęć edukacyjnych, a także niezmiernie rzadko są one brane pod uwagę przy punktacji.
Zmiana szkoły kwalifikacji bądź przyjęcia w tego typu ataku jest niemożliwa. Dane wprowadzane do systemu są weryfikowane na poziomie szkół z dostarczonymi dokumentami. W momencie zatwierdzenia danych przez szkołę (czyli stwierdzenia, że dane wyświetlone na ekranie zgadzają się z dostarczonymi kopiami świadectwa i zaświadczenia o wynikach egzaminu gimnazjalnego), wyliczane są punkty rekrutacyjne, które przechowywane są w odrębnej strukturze danych. Na pierwszeństwo kwalifikacji wpływa liczba uzyskanych punktów. Zatem mamy dwa możliwe scenariusze:
1. Zmiana dokonana przed weryfikacją danych – zostanie poprawiona w trakcie weryfikacji zgodności danych w systemie z dostarczonymi dokumentami.
2. Zmiana dokonana po weryfikacji danych – nie wpływa na punktację, która została wyliczona w momencie weryfikacji, a co za tym idzie nie wpływa na kwalifikację.
W obu tych scenariuszach wpłynięcie na wyniki rekrutacji jest niemożliwe.Zidentyfikowana luka dawała możliwość uzyskania dostępu wyłącznie do informacji o nazwie zajęcia edukacyjnego, faktu jego obowiązkowości oraz oceny z niego uzyskanej. Nie dawała natomiast dostępu do jakichkolwiek innych danych o kandydatach, w szczególności nie dawała dostępu do danych osobowych. Stosowane przez nas mechanizmy bezpieczeństwa nie stwierdziły nieautoryzowanego dostępu. Można przeprowadzić dodatkową analizę logów i historii zmian, ze szczególnym uwzględnieniem omawianego zagadnienia, jednak z oczywistych powodów nie jesteśmy w stanie tego zrobić w ciągu kilkudziesięciu minut.
System jest poddawany procesowi testowania, w tym w zakresie bezpieczeństwa. Trudno jest w chwili obecnej stwierdzić, dlaczego luka ta nie została w tym procesie zidentyfikowana. Kilkanaście minut temu wykonaliśmy aktualizację systemu, zawierającą poprawkę usuwającą wskazaną za Państwa pośrednictwem lukę, zatem opisywane zagrożenie zostało już wyeliminowane.
Autorzy systemu nie zgadzają się z tezą Michała, że dostęp do danych gimnazjalistów był możliwy. Ten potwierdza, że ze względów etycznych nie pokusił się o nieautoryzowany dostęp do danych innych użytkowników w systemie, a jedynie potwierdził, że ma możliwość uruchamiania kodu SQL. Michał, zapoznawszy się z odpowiedzią autorów systemu, zauważa jeszcze, że jeśli z jakiegoś powodu dostęp do danych innych gimnazjalistów nie był możliwy, to przy pomocy odkrytego przez niego błędu najprawdopodobniej można było unieruchomić system rekrutacji wykonując zapętlone zapytania. Michał zwraca także uwagę, że w przypadkach błędów SQL injection atakujący może uruchomić na serwerze kod na prawach użytkownika bazy, o ile ma dostęp do INTO FILE.
Obowiązkowy pasek z xkcd
Radosław Wiktorski słusznie zauważa, że system naboru elektronicznego jest systemem wspomagającym elektronicznie rekrutację, ale jej podstawą nadal pozostają dokumenty papierowe, w tym świadectwo. Ciekawe jak wyglądałaby rekrutacja, gdyby było inaczej…?
P.S. Rekrutację do szkół ponadgimnazjalnych w Polsce obsługuje nie tylko oprogramowanie KSEON Nabór Optivum, np. w województwie Wielkopolskim rekrutacja jest obsługiwana przez inny system, autorstwa PCSS.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
A ja wpadłem przy kawie na spiskową teorię:
System Elektronicznego Wspomagania Rekrutacji Nabór Optivum
Skrót: SEWRNO. Sewerno. Katastrofa. Kto pociągnie dalej? :)
Co do końcówki wpisu, system PCSS jeśli jest w całej wielkopolsce, to dopiero od tego roku, ja dobrze pamiętam, że rok temu używałem “KSEONa”. Swoją drogą, mam wrażenie, że gdyby papiery były składane po prostu ręcznie, a szkoły ostatecznie na swoich stronach publikowały listę osób które się dostały, sprawa wyglądała by dużo prościej.
Nabór (przynajmniej w Poznaniu) mamy już chyba ponad 4 lata – pamiętam go z czasów kiedy rekrutowałem się do gimnazjum.
Co do tych systemów, nie uważam ich za potrzebne. Gdyby całkowicie zastępowały tradycyjną procedurę (czyli bieganinę z papierkami), byłoby OK. Ale teraz rola systemu ogranicza się praktycznie tylko do wyboru szkoły i podania wyników.
U mnie (małe zadupie w wlkp) rekrutacja jest minimum trzeci rok, czy więcej to nie mam pojęcia, jednak przez minimum dwa lata używany był u nas KSEON, jak jest teraz – nie mam pojęcia.
moze do szkol wprowadzac przedmiot o edukacji zabezpieczen, bezpieczenstwa etc :)
Co ty??? Żadna plastyczka by tego nie ogarnęła.
trudno, nie bedzie plastyczka ..
Jeju, moja plastyczka by tego nigdy nie ogarnęła. Technika z nią była dla mnie wystarczającą torturą. Najgorzej jak mówiła właśnie o czymś od strony technicznej, a jakaśtam głupia papieroplastyka (głównie origami), którą wałkowała przez prawie cały semestr, nie ma za dużo z techniką wspólnego. I do tego roku szkolnego myślała, że ołówek zawiera ołów.
Ale moim zdaniem przydałoby się coś takiego w szkołach. I najlepiej żeby ktoś, kto tego nie zakuma, nie miał możliwości pracy nad aplikacjami, ani innymi rzeczami wymagającymi znajomości zabezpieczeń i bezpieczeństwa.
Wracając do tematu artykułu… moja szkoła stosuje trochę oprogramowania OPTIVUM… Na szczęście poczta i moodle są uniwersyteckie.
Co do rekrutacji do liceum – nie wiem. Brat w zeszłym roku szedł do liceum, jednak nie interesowałam się jakoś oprogramowaniem…
@Rocik
Mylisz się, co do tego, że byłoby prościej. Tak było w 2000 roku (a może 2001?). To była masakra. W moim liceum lista “rezerwowych” miała coś chyba koło 3 tys. pozycji. Pamiętam, ze cały korytarz był nią zalepiony. To była tragedia. Ludzie przez miesiąc nie wiedzieli na czym stoją… Chyba nikt, kto to pamięta nie chciałby powrotu do tych czasów.
tam jest raz, że gimnazjalista ma wypełniać
raz, że rekrutacja do szkoły ponadgimnazjalnej
a na zrzucie ekranu macie “planowany rok ukończenia gimnazjum”
to w końcu do gimnazjum czy do liceum ta rekrutacja bo ja już nie wiem :)
Gimnazjalista (jeszcze) wypełnia dane żeby móc zostać przyjętym do szkoły ponadgimnazjalnej.
a dobra, zmylił mnie ten planowany rok ukończenia… bo skoro kandyduje się do szkoły ponad gimnazjalnej to powinno być się absolwentem gimnazjum.
W Krakowie (w przeciwieństwie do całego woj. małpolskiego) jest e-omikron: e-omikron.pl, który jest wg mnie dużo lepszy i bardziej intuicyjny. Btw. z tego właśnie powodu uczniowie spoza Krakowa mogą mieć dwie szkoły na pierwszym priorytecie.
Mozna oszukiwac system, ale nie nikt nie zdola oszukac samego siebie. Czuc sie do konca zycia jak ostatni frajer i lamaga po podwyzszeniu sobie ocen / oszukiwaniu?
Ilez warte jest takie wyksztalcenie? ile warte sa jego ewentualne kolejne stopnie? ile wart jest czlowiek, ktory wie i rozumie niewiele, a wiekszosc to wynik kombinacji?
Nie, żebym popierał ten proceder, ale cwaniactwo to chyba najlepiej odpłacająca się cecha osobowości. Cwaniactwa nie zastąpi ani inteligencja, ani pracowitość. Wystarczy spojrzeć na nasze krajowe elity intelektualne i moralne w stylu profesorów z “małą maturą”.
W dzisiejszych czasach nie liczy się jakość, a wrażenie jakości. Podobnie nie ma znaczenie co umiesz, a jedynie, co wydaje się innym, że umiesz. Przynajmniej w dziedzinach pozatechnicznych. Zresztą, nawet o tym jakich wybitnych “informatyków” mamy na świecie można regularnie czytać chociażby tutaj.
Dostosuj się, giń albo walcz.
Dobre oceny, to dobra droga do dobrej pracy :) I to nie jest frajerstwo, tylko zaradność.
Bo co by nie gadac, to jednak wiedza szkolna jest niewiele warta. Jeśli zaoszczedzony czas poswieci sie na rozwoj siebie we wlasnym kierunku to taki czlowiek z pewnoscia bedzie wiele wart.
Heinrich: nie idź na informatykę WAT :D tam zaliczenie większości przedmiotów polega na ściąganiu itp, czyli na cwaniactwie i oszukiwaniu. i mało kto w ten sposób zaoszczędzony czas poświęca na rozwijaniu siebie w jakimś sensownym kierunku ;]
kiedyś na jednym z for internetowych�wybuchła dyskusja, jakoby ataki SQL Injection przechodziły w niepamięć, bo “to najłatwiejsze czego może nauczyć się początkujący hakier i każdy szanujący się webmaster/admin jest sobie w stanie z tym poradzić” a tu jednak proszę. Coraz więcej takich błędów. :)
Problem SQL Injection jest nadal poważny, bo wiele serwisów jest utrzymywanych latami bez modernizacji. W kilkuletnich aplikacjach z czasów php4 próżno szukać zunifikowanych i bezpiecznych rozwiązań. Najczęściej w takich rozbudowanych aplikacjach występuje kaszka – mieszanina widoków i sqla – w jednym pliku częśto gęsto mamy html, logikę i zapytania do bazy klejone wprost z danych wejściowych. Projekty takie są wieolokrotnie przerabiane – a tu dodamy przycisk, a tu formularz. Za każdym razem z nową funkcjonalnościa przychodza kolejne patyki – wtykane na siłę aby tylko działało. W takim bałaganie nie trudno o przeoczenie walidacji danych wejściowych. A ponieważ ciężko w takim projekcie spodziewać się choćby budowniczego do zapytań sql, to trudno sie dziwić, że niesprawdzone dane lądują w bazie.
@przedmowcy – ja tez nie uwazam, ze oceny sa wyznacznikiem czegokolwiek, ale jesli juz pracowac, to uczciwie wzgledem nie innych, ale przede wszystkim siebie. Jesli rzeczywiscie oceny nie maja dla mnie znaczenia, to dlaczego oszukuje, by np uzyskac jak najlepsze?
Ewidentna sprzecznosc. Albo maja dla nas znaczenie [z uwagi na np wiare w to, ze zagwarantuja nam lepsza przyszlosc] i dzialamy uczciwie wzgledem samych siebie, albo znaczenia dla nas nie maja i uzyskujemy takie, na jakie zapracowalismy.
Tu naprawde nie powinno chodzic o innych ludzi, lecz o nas samych [skoro samorozwoj – z czym absolutnie sie zgadzam – powinien byc najwazniejszy].
Samorozwoj to rozwoj samego siebie, taki rzeczywisty, a nie pozorowanie wiedzy, czy umiejetnosci przed innymi.
Przez takie pozoranctwo i cwaniactwo mamy wielu beznadziejnych lekarzy, architektow, prawnikow, mechanikow, informatykow … ktorzy wybrali zawod dla pieniedzy, po drodze nierzadko cwaniaczac, a nie z jakiegos powolania [czyt. “pasji”] …
Chcesz cos zmienic? zacznij od siebie i *nie wpisuj sie* w zenujacy system …
Przecież to uczeń wprowadza oceny, zarówno z przedmiotów obowiązkowych, jak i z dodatkowych. Może wprowadzić dowolne oceny, nawet same 6. Wprowadzone oceny są później sprawdzane ze świadectwem.
Nie wiem także co ma udowadniać screenshot z wpisanymi przez was przedmiotami dodatkowymi. W tym przypadku uczeń wpisuje zarówno ocenę, jak i nazwę przedmiotu. I może wpisać dowolnie głupią nazwę (tak jak przedmioty mogą mieć dowolnie głupie nazwy). To jest normalna funkcjonalność systemu. Przedmioty dodatkowe są przecież tak samo sprawdzane ze świadectwem.
I nie ma znaczenia czy to uczeń zmienia sam sobie wpisuje, czy ktoś zmienia jego dane – świadectwo decyduje.
Piszecie także o dostępie do danych osobowych uczniów, ale nie podajecie żadnych dowodów, bo wspomniany atakujący nie odczytał z bazy danych innych użytkowników. No to w końcu był dostęp, czy nie? :) Na jakiej podstawie sądzi że odczyt był możliwy skoro tego nie sprawdził? Jeśli nie wysłał odpowiedniego zapytania do bazy to skąd wie, że zostałoby ono obsłużone poprawnie? Pic or didn’t happen.
Jak już wyjaśniłem w odpowiedzi dla @Radom, oceny nie zostały wpisane jako liczby, a wynik działań arytmetycznych na wartościach zwracanych przez funkcje MySQL (dopiszę to zaraz do tekstu).
W artykule jasno stoi, że nie wprowadzenie błędnych ocen, a desynchronizacja z papierem może być utrudnieniem w procesie rekrutacji (por. zacytowany fragment przewodnika po systemie, w którym wspomina się o odrzuconych podaniach).
Co do danych osobowych innych użytkowników, to pomimo podesłania nam szczegółowych informacji o błędzie my nigdy nie uruchamiamy podawanych przez czytelników zapytań SQL, ani nie próbujemy ich rozbudowywać, żeby “wykraść więcej” (zgadnij dlaczego). Przesyłamy je natomiast do autorów aplikacji, której dotyczą i prosimy o weryfikację/komentarz, a następnie obiektywnie staramy się zaprezentować opinie obu stron. Z medialnego punktu widzenia, to oczywiście rozumiem Twój wielki smutek, że Michał nie zrobił dumpa bazy; z profesjonalnego, moim zdaniem wielki plus, że postąpił etycznie, mimo, że teraz oczywiście nie ma możliwości udowodnienia, czy dało się dostać do danych użytkowników, czy nie. Chyba, że znajdzie kolejny SQLi ;)
Z Waszego opisu, odpowiedzi producenta i screenów wynika jedynie, że możliwe było w części “inne zajęcia edukacyjne” samemu dodać dowolne zajęcie i wpisać ocenę. Czyli coś do czego dana część formularza została stworzona. Jedyny błąd jaki widać to brak walidacji oceny w zakresie 1-6 i to rzeczywiście może podnieść średnią jak wpiszę 127 j w przykładzie. Trochę takie bicie piany i rozdmuchiwanie problemu, bo ani tu SQLi ani problem wielki chyba, że Autor podał konkretne zapytanie SQL, a tylko w celach ochronnych nie zostało ono podane
W większości szkół do rekrutacji wykorzystywane jest raczej tylko część przedmiotów, a i tak trzeba sprawdzić z papierem. Póki nie będzie całego obiegu elektronicznego całej dokumentacji ucznia: świadectwa, arkusze ocen, dane ucznia itp to takie systemy będą tylko “wspomagaczami”. U nas używamy autorskiego wspomagacza do tworzenia list i dane z niego nigdy nie wychodzą poza lokalny komputer brak nawet fizycznego połączenia z siecią, jedynie na pendrivie można wynieść bazę. Za to u “konkurencji”, która sobie zrobiła elektroniczną rejestrację jest dostęp do całej bazy. Ale tak to jest jak przyszły technik informatyk korzysta z gotowych rozwiązań nie zmieniając nawet domyślnych login:pass. (Dysponuje screenem :)
Pozdrawiam
P.S.
Swego czasu byłem na szkoleniu z elektronicznego dziennika gdzie prelegent chwalił się, że są zabezpieczeni bo “mamy https i kłudeczkę w adresie”
Według nadesłanych przez Michała informacji, parametr oceny z dodatkowego przedmiotu był podatny na SQLi. Liczby (oceny) które widzisz, nie zostały wpisane jako liczby, ale wynik działania arytmetycznego na wartościach zwracanych przez funkcje w MySQL. Walidacja w JS akurat była, ale tylko client-side.
Chyba jest nieścisłość w Waszym tekście. Lukę opisujecie, że dotyczyła osiągnięć, a z instrukcji cytujecie odrzucenie podania. Wg tej samej instrukcji to są dwa różne etapy. Etap 2 to sprawdzenie podania, a etap 3 to sprawdzenie świadectwa. Czy nie jest to błędny cytat wobec tego?
Z tego co wiem nie można złożyć podania do szkoły w innym województwie. Mieszkam na pograniczu województw. I już w tej szkole mówiono ale sam sprawdziłem, wybrałem swoje województwo, a tej do której się wybieram nie było na liście.
Oczywiście, że można. Musisz się tylko dodatkowo zarejestrować w systemie z innego województwa;)
To w tedy nie wiem czy moje dane i moja szkoła przejdzie, bo znów jej nie będzie :P
Moglibyście zainwestować w ipv6 :)
A co, ipv4 umarło?
[…] W tego typu aplikacji poza udostępnieniem danych typu: Nazwisko, Imię, Data_ur, Adres, Gimnazjum, Kierunek, Tel.Kontaktowy, IP i możliwością ich usunięcia nic się nie uzyska. Cały czas uczniów przyjmuje się drogą manualną przyjmując papierowe podania takie aplikacje mogą tylko trochę ułatwić organizację danych. Póki nie będzie pełnej cyfryzacji dokumentacji szkolnej to żadne systemy nam nie pomogą. Nawet pisane przez profesjonalistów tak rozbudowane i również wadliwe jak tutaj […]
stara urzędnicza zasada, żeby wszystko sprawdzać z papierem ratuje ten system. Z opowieści urzędników usłyszałem, że nawet excela sprawdzali z kalkulatorem jak dopiero go wdrażali ;)
“Nap 2011.07.05 10:51 | # |
a dobra, zmylił mnie ten planowany rok ukończenia… bo skoro kandyduje się do szkoły ponad gimnazjalnej to powinno być się absolwentem gimnazjum.”
Nie do końca. W województwie łódzkim szkoły uczeń wybiera bodajże w marcu czy kwietniu. Jeszcze wcześniej gimnazja wprowadzają do systemu dane o kandydatach – wraz z tym rokiem.
“Radom 2011.07.05 16:55 | # | Reply
Z Waszego opisu, odpowiedzi producenta i screenów wynika jedynie, że możliwe było w części “inne zajęcia edukacyjne” samemu dodać dowolne zajęcie i wpisać ocenę. Czyli coś do czego dana część formularza została stworzona. Jedyny błąd jaki widać to brak walidacji oceny w zakresie 1-6 i to rzeczywiście może podnieść średnią jak wpiszę 127 j w przykładzie. ”
Nie jestem pewien. Wiem, że zera nie przyjmowało.
Tak w ogóle to samodzielnie oceny do systemu wprowadza naprawdę mały odsetek uczniów – dokładnie ci, których gimnazja nie uczestniczą w systemie naboru danego województwa. Oni muszą się sami zarejestrować, a później wpisać oceny. Pozostali rejestrowani są przez gimnazjum. Nie znam tej części systemu, ale wydaje mi się że powinna być opcja importu danych z zewnętrznego źródła, a więc gdy gimnazjum dysponuje już danymi uczniów w postaci elektronicznej (np. jeśli prowadzi dziennik elektroniczny), wprowadzanie danych uczniów jest mocno uproszczone. Później te dane szkoła ponadgimnazjalna może wyeksportować do pliku CSV i zaimportować do dziennika elektronicznego, czy też później do programu do drukowania świadectw (sam stałem się tego “ofiarą” – gimnazjum nie wpisało do systemu drugiego imienia, później nie miałem go na świadectwie w I kl. liceum – które zresztą i tak musiało być wymienione ze względu na inny błąd).
No i nie zgodzę się z twierdzeniem, że system ten nic nie daje. Niby ciągle wszystko odbywa się na papierze. Ale wcześniej jeśli uczeń chciał złożyć podanie do kilku szkół, musiał napisać kilka podań i do tych szkół osobiście się wybrać. I zająć tym samym w nich miejsca (później część z nich zwolnić). Przy wykorzystaniu systemu, uczeń wybiera szkoły w systemie, drukuje jedno podanie i zanosi je do gimnazjum (ew. do jednej z wybranych szkół jeśli gimnazjum nie uczestniczy w systemie, co przynajmniej w woj. łódzkim występuje rzadko – tylko w przypadku części szkół prywatnych, kilku gimnazjów publicznych, gdzie system jeszcze nie działa oraz w przypadku szkół spoza województwa). Oceny wprowadza gimnajum. Tylko w przypadku tego niewielkiego odsetka gimnazjalistów, wprowadzają oni je samodzielnie i zanoszą ksero świadectwa do szkoły ponadgimnazjalnej wybranej na pierwszym miejscu (tak jak wcześniej podanie), która je weryfikuje i ew. poprawia. Często są to uczniowie zupełnie nieświadomi co do funkcjonowania systemu, którzy się nawet nie zarejestrowali – wtedy szkoła ponadgimnazjalna wprowadza wszystko od początku sama. To wina kiepskiej informacji, a także samych uczniów, którzy nie interesują się naborem. Uczniowie z gimnazjów objętych systemem, ze szkołą ponadgimnazjalną kontakt mają dopiero w momencie dostarczenia oryginałów świadectw do szkół, do których się dostali.
Oceny wprowadzane przez gimnazja nie są już przez nikogo weryfikowane – i tutaj pojawia się problem. W tym roku w woj. łódzkim był co najmniej jeden przypadek, gdzie gimnazjum wprowadziło uczniowi oceny, ale nie wpisało wyników egzaminu gimnazjalnego. W pola z wynikami wskoczyły, jak można się było spodziewać, zera. Zaświadczenie o wynikach egzaminu zostało dostarczone do szkoły ponadgimnazjalnej, a więc egzamin został zdany. W ten sposób uczeń ten nie dostał się do szkoły ponadgimnazjalnej – chociaż powinien. Dobrze, że zostało to zauważone przez szkołę i uczeń został wpisany na listę w ramach rekrutacji uzupełniającej.
No i oceny czy wyniki egzaminu nie mają nic wspólnego z podaniem, a na pewno na nim nie widnieją. Podania, przynajmniej w woj. łódzkim, składa się bodajże w kwietniu, kiedy ani oceny ani wyniki egzaminu nie są jeszcze znane – odbywa się to w ogóle przed napisaniem egzaminu.
Po raz kolejny sprawdza się moja opinia że każde SQL-injection należy wykorzystywać DO BÓLU (w tym wypadku np. skrypt zmieniający wybrane losowo oceny losowym gimnazjalistom – przecież się nie da więc w czym problem) bo w przeciwnym razie słyszymy tylko techniczny korpobełkot jacy to jesteśmy najlepsi i że do nas nie da się włamać. I tak uczciwy odkrywca ma szczęście że nie został oskarżony o przełamywanie zabezpieczeń i nie musi się stawiać na Policji