Det här är jag som skriver ett skript för att räkna upp parametrar för en POST-förfrågan till gov.tr, som sitter framför gränsen till Kroatien.
Hur det hela började
Min fru och jag reser världen runt och jobbar på distans. Vi flyttade nyligen från Turkiet till Kroatien (den bästa punkten att besöka Europa). För att inte gå i karantän i Kroatien måste du ha ett intyg på ett negativt covid-test gjort senast 48 timmar före inresa.
Vi fick reda på att det är relativt lönsamt (2500 rubel) och snabbt (alla resultat kommer inom 5 timmar) att ta ett test på Istanbuls flygplats, från vilken vi precis flög ut.
Vi anlände till flygplatsen 7 timmar före avgång, hittade en testpunkt. De gör allt kaotiskt: du kommer upp, ger ditt pass, betalar, får 2 klistermärken med streckkod, går till det mobila laboratoriet, där de tar en av dessa klistermärken från dig för att identifiera din analys. När du har lämnat, och de säger till dig: gå till den här webbplatsen: , kör in din streckkod och de sista 4 siffrorna i ditt pass, efter ett tag kommer det ett resultat.
Men om du anger data direkt efter att ha klarat analysen ger sidan ett fel.
Även då smög sig tankar om den "vackra" UX in i mitt huvud, där det, med något misstag från operatören som körde in passdata, inte finns något sätt att ta reda på ditt resultat.
Före avgång
Avgångstiden kommer, jag anger mina uppgifter och ser att dokumenten för dem redan finns där, även om det inte finns något testresultat än.
Det är till och med klart att testerna kom till laboratoriet för 1.5 timme sedan. Men min frus datainmatning ger fortfarande ett felmeddelande om att posten inte hittades. Och viktigast av allt, du kommer inte att kunna bara gå och fråga vad som är fel, för. Vi klarade provet i zonen innan passkontrollen.
När vi gick ombord på flyget blev vi tillfrågade om testresultat, men lyckligtvis kunde vi övertyga flygplatsrepresentanten om att de snart skulle dyka upp (visade dem streckkoderna), och som en sista utväg skulle vi gå i karantän.
Så fort jag kom på planet visade min kod att jag hade ett negativt test.
Vid ankomsten
Och det är här det roliga börjar! Så fort vi flög in och kopplade till det lokala wifi-nätverket visade det sig att min frus register inte fanns i databasen. Och vid själva gränsen närmade man sig dokumenten mycket försiktigt: gränsvakten tog ett test för coronavirus och tog det till ett separat rum för att kontrollera dess verklighet. Vi bestämde oss för att berätta vår förtroendehistoria som den är och ta reda på vilka alternativ vi har.
Medan vi stod i kö bestämde jag mig för att kolla efter korrekt (min) och felaktig data, hur valideringssidan reagerar.
Det visade sig att hon skickar en postförfrågan till , med följande parametrar:
streckkodNr=XX
kimlikNo=YY
kimlikTipi=2
där streckkodNr – streckkodsnummer, kimlikNr - Pass, kimlik Tipi – fast parameter lika med 2 (om endast de två första fälten är ifyllda). Inga tokens var synliga. Begäran returnerade 1 för de korrekta parametrarna (mina data) och 0 för de felaktiga.
Från brevbäraren försökte jag sortera igenom 40 kombinationer (plötsligt ett fel på en karaktär), men det blev inget av det.
I det ögonblicket närmade vi oss gränsvakten, han lyssnade på vår historia och föreslog karantän. Men vi ville helt klart inte sitta i lägenheten på 14 dagar, så vi bad att få vänta lite i transitzonen för att försöka lösa problemet på ett par timmar. Gränsvakten gick in i vår position, gick för att se om vi kunde sitta i den vita zonen och sa med chefens samtycke: "okej, bara ett par timmar."
Jag började leta efter telefonerna till de som gjorde krontestet och bestämde mig parallellt för att testa en galen hypotes: om det här systemet har en så fruktansvärd UX, borde säkerhetssystemet inte vara bra, även om gov.tr domän.
Som ett resultat, medan jag satt på samtal, skrev jag ett litet manus som sorterade igenom alla nummer från 0000 till 9999 i kimlikNo-fältet. barkodNo hade vi på ett klistermärke, så det kunde inte vara fel.
Föreställ dig min förvåning när jag inte ens efter 500 kontinuerliga förfrågningar blev bannad och skriptet fortsatte att köras med 20 förfrågningar per sekund från flygplatsens WiFi.
Samtalen gav inte mycket framgång: jag blev omdirigerad från en avdelning till en annan. Men mycket snart gav manuset det eftertraktade värdet 6505, vilket inte alls var som de riktiga 4 siffrorna i passet.
Efter att ha laddat upp dokumentet visade det sig att det uppenbarligen inte var min frus pass (ryska utlänningar har inte ens sådana nummer), men alla andra uppgifter (inklusive förnamn, efternamn och födelsedatum) är korrekta.
Det mest intressanta är att streckkoderna inte heller är slumpmässiga, utan går nästan en efter en. Således kunde jag i teorin hitta kontakter som fick min frus passnummer och i allmänhet smidigt pumpa ut andras privata data.
Men klockan var 9 och en natt utan sömn, jag var sen till ett onlinemöte och var glad att de släppte igenom oss utan karantän, så jag började precis min resa runt Europa.
Källa: will.com