Всем добрый день. Я редко что то пишу в онлайне, поэтому заранее извиняюсь за стиль. Речь идет об изучении платформы для КЭДО HRlink. Наша уважаемая HRD сходила на какое-то мероприятие где ей рассказали что есть такая штука как HRlink, что уже можно все кадровые документы подписывать и хранить в электронном виде и вообще бумага это зло. Не могу с этим не согласиться – конечно «леса надо беречь», что я собственно и сказал – не осознавая к чему всё это приведёт.
Далее в меня прилетели контакты вендора от коллег "ребята нам рассказывали как у них всё здорово", т.к. они уже миллион раз это внедрили и вообще они ТОП-1 в рейтинге, поэтому «просто свяжись и сделай».
Подход конечно так себе, но не в первой. Конечно сначала пошел чуть-чуть разобраться в матчасти. Занялся я исследованием данного решения сразу после того, как связался с ребятами и получил демо-доступ и некоторые дополнительные материалы.
Ну для начала в «персональной демо» Carrot Quest
Обожаю «облачные решения». Конечно тут и яндексовые метрики и Carrot Quest – из того что «необходимо». Несомненно именно то что нужно системе с персональными данными сотрудников. Ну да ладно, к этому уже привыкли, дальше:
Судя по «впечатляющей скорости загрузки» для фронта используется достаточно тяжелый фреймворг:
Ох уж эти стартапы, притом с оптимизацией, судя по всему, никто не парился особо.
Конечно же даже первичная загрузка не без ошибок:
Итак, что можно определить по технологиям:
Точно Angular, но для справедливости без бреда 18я актуальная (почти) версия. Ну и конечно приложение обвязано метриками. Про них уже писал выше.
Ну ладно, самое время проверить изоляцию.
Тут я решил посмотреть «в лоб». Открываем сайт, раздел «клиенты» видим, очень такой «внушительный» список. Конечно, как же без этого (интересно все ли разрешения получены на публикацию? Но это уже вроде не мой вопрос)
Выбираю 2 наугад, притом полностью на шару прямо на сайте hr-link.ru:
Притом оба адреса конечно же откроют окно авторизации браузера с вводом логина и пароля.
Прямо на основном рекламном домене, с одним эндпоинтом и с таким URL. Что-то не очень я бы хотел чтобы моя компания оказалась в этом списке клиентов.
Надо видимо копать глубже.
Итак, базовый сканер:
С заголовками видимо никто не заморачивался…. Да что уж, «работает и ладно». А вед это «Internet facing» прилажуха, с перс данными, ребята. Ну как бы, можно же чуть аккуратнее.
Ладно, продолжаем. Гуляю по странам. VPN с сервером во всеми нами любимой стране у меня, к сожалению (от греха подальше) нет, но вот остальные вполне пропускает. Whitelisting – не, не слышали.
При открытии, кстати, появляется сообщение:
Чего? Уведомления по-типу: «Уважаемые Иванов Иван Иванович, ваш оклад на должности «Топ менеджер компании ...» был изменен и составляет теперь Х баксов. Мы перевели его вам сегодня на карту с номером ххххххх.»
И такое теперь будут приходить в Телеграм? А может сразу в новостной канал выкладывать?
Тут СМС то вызывает вопросы – не самый безопасный способ. А Телеграм – сразу трансграничная передача ничем и никем не контролируемая. А нет, уже контролируемая правительством Франции, но вряд ли это то что хотелось бы.
Ладно, двигаемся дальше – чуть более «умный» сканер в целом находит +- то же самое. (заметьте, это только окно аутентификации. Если дать ему доступ в само приложение, там , уверен, будет просто «красота»). Но как бы меня это не сильно интересует на этом этапе. Если вошел с текущей «изоляцией» понятно что всё будет очень весело.
А пока самое печальное - вот:
Видимо ребята очень хотят встраиваться фреймом в Битрикс.Но при этом не хотят в вайтлистинг. Скрипты и фреймы на поддоменах своего домена разрешать в принципе норм – OWASP тут зря паникует, но вот доверять всем скриптам *.bitrix24.ru… за такое надо бы отругать. Ну и соответственно весь контент и все фреймы с битры открыты.
Ну и в конце проверим есть ли «кто-то» кто может нас остановить, если мы попытаемся «сделать гадость»:
WAF – тоже «не, не слышали». Что и ожидалось. Далее видимо «ломай не хочу». Но такой цели нет, а вот "передавать" свои и своих коллег перс. данные на хранение этим ребятам не хочется.
По поводу своих сотрудников, они видимо на уровне культуры вообще не парятся:
Во-первых, Confluence. Серьёзно? Облачный в 2025-м в РФ?
Во-вторых, паблик страница и ФИО создателей?
Ну ладно, на этом мои эксперименты с «безопасностью сервиса» закончились. В такое «облако» передавать персданные свои и своих коллег не был готов. Запросил OnPremise, как оно работает и разворачивается:
Если читают айтишники – как вам? 5-ок контейнеров и радуйтесь ребята. Возьмите один сервер и вперёд. Там Kafka Docker и сама приклада написана на Java (нам нужны все ваши сервер). Конечно это «будет работать» у меня на рабочей машине… запустится. Перечитал инструкцию. Красной надписи «только для теста» не увидел. Опечалился сильно. Вспомнил 1С, пустил слезу.
На самом деле задача решаемая – у нас есть локальный кубер и отдельные инстансы PostgreSQL. Развернуть подобное приложение возможно. Но что то мне подсказывает что в инструкции ребята много чего «недоговаривают». Опыт такого «развёртывания» уже имеется – запросил какие-нибудь картинки показывающие что у них там есть:
Так, OnPremise говорите? 3 Докер контейнера? Явно при OnPremise установки что-то теряется.
«Сервис отправки уведомлений WhatsApp» особенно порадовал. Может сразу в ФБР отсылать? Там ещё в середине некий Chat-api, чтобы не упустить и российский сегмент даркнета видимо.
Сервис отправки sms естественно сторонний. Если честно, уже обошлись бы e-mail. Но и сервис отправки e-mail зачем то сторонний.
Ну и конечно не все сервисы «устанавливаются OnPremise»:
Ну т.е. «если очень хотите можете забрать себе кусочек приложения». За деньги, кстати…
Ну не надо называть это «OnPremise» пожалуйста только. И вопрос даже не в локальном кубере, вопрос в том что как в старом анекдоте «Или крестик снимите или трусы наденьте». И не претворяйтесь уже что установка OnPremise возможна. Как бы маркетинг и бизнес это не требовал – надо уметь признавать, что «у нас только Cloud».
Вот так выглядит «настройка слива данных»
Как видите, она может быть полностью автоматической. Передавать можно много чего – не только сотрудников. Не говоря уже о том? что передача будет в фоне, без подтверждения и дополнительного логирования (да да, лог того? что передано конечно же не пишется, по крайней мере мне не удалось найти).
Для 1С конечно «доступно расширение для скачивания» - читаем «привет, команда 1С-ников, теперь обновления у вас будут еще более творческими».
Так, а как же кнопка «добавить сотрудника» в демо базе:
Её можно использовать и там и там. Притом настройка синхронизации не блокирует обмена от слова «совсем». «Мастер дата» - «не, не слышали». Не говоря уже о том что обмен может не пройти и об этом мы узнаем только в 1С (по какой то причине обмен по сути односторонний, обратного API для квитирования или helth check-а хотя бы нет). Прекрасно, просто прекрасно…
Ну а друзьям кадровым специалистам надо будет рассказать что они теперь «кадровики» (хотя в тайне они всегда это знали ) и самое интересное – что им придётся учиться работать «в новой супер системе». Они то наверное думали что внедрение их почти не коснётся – нет, не тут то было.
Так, теперь как это дело мэйнтейнится. Хочешь знать как развивается система – посмотри на страницу релизов:
22 августа. 24 года. Писал я эту статью в 2025. Не говоря уже о том, что документация размазана по 3-м-4-м «порталам». Видимо, кто где хочет, тот там и пишет, но другой страницы с историей релизов нигде не нашел.
Особенно порадовал раздел «внедрение HR-Link» - ссылка:
На одну страничку. Оно, кстати, предоставляется бесплатно. Я несомненно поверил в это.
Конечно сама по себе система поражает "обилием функционала". Выпустить подпись и подписать документ, который тебе передали дело не хитрое, но там же много сотрудников, которым надо что-то рассказать, кадровым специалистам рассказать, наверняка ещё что-то подготовить. Очень уж сомневаюсь, что работы тут на одну страницу и это ничего не стоит.
Вообщем свой отчет, часть которого вы имеете возможность созерцать, я показал ГД и HRD.
Не нашел понимания ни там ни там – «пробуйте внедряйте». Поэтому и появилась эта статья. Надеюсь данный «труд» и отзыв поможет, не только в плане знаний о текущем сервисе, но и как пример «чего стоят» рейтинги, и как можно проверять сервис который вы собираетесь внедрять в своей компании.
Далее в меня прилетели контакты вендора от коллег "ребята нам рассказывали как у них всё здорово", т.к. они уже миллион раз это внедрили и вообще они ТОП-1 в рейтинге, поэтому «просто свяжись и сделай».
Подход конечно так себе, но не в первой. Конечно сначала пошел чуть-чуть разобраться в матчасти. Занялся я исследованием данного решения сразу после того, как связался с ребятами и получил демо-доступ и некоторые дополнительные материалы.
Ну для начала в «персональной демо» Carrot Quest
Обожаю «облачные решения». Конечно тут и яндексовые метрики и Carrot Quest – из того что «необходимо». Несомненно именно то что нужно системе с персональными данными сотрудников. Ну да ладно, к этому уже привыкли, дальше:
Судя по «впечатляющей скорости загрузки» для фронта используется достаточно тяжелый фреймворг:
Ох уж эти стартапы, притом с оптимизацией, судя по всему, никто не парился особо.
Конечно же даже первичная загрузка не без ошибок:
Итак, что можно определить по технологиям:
Точно Angular, но для справедливости без бреда 18я актуальная (почти) версия. Ну и конечно приложение обвязано метриками. Про них уже писал выше.
Ну ладно, самое время проверить изоляцию.
Тут я решил посмотреть «в лоб». Открываем сайт, раздел «клиенты» видим, очень такой «внушительный» список. Конечно, как же без этого (интересно все ли разрешения получены на публикацию? Но это уже вроде не мой вопрос)
Выбираю 2 наугад, притом полностью на шару прямо на сайте hr-link.ru:
Притом оба адреса конечно же откроют окно авторизации браузера с вводом логина и пароля.
Прямо на основном рекламном домене, с одним эндпоинтом и с таким URL. Что-то не очень я бы хотел чтобы моя компания оказалась в этом списке клиентов.
Надо видимо копать глубже.
Итак, базовый сканер:
С заголовками видимо никто не заморачивался…. Да что уж, «работает и ладно». А вед это «Internet facing» прилажуха, с перс данными, ребята. Ну как бы, можно же чуть аккуратнее.
Ладно, продолжаем. Гуляю по странам. VPN с сервером во всеми нами любимой стране у меня, к сожалению (от греха подальше) нет, но вот остальные вполне пропускает. Whitelisting – не, не слышали.
При открытии, кстати, появляется сообщение:
Чего? Уведомления по-типу: «Уважаемые Иванов Иван Иванович, ваш оклад на должности «Топ менеджер компании ...» был изменен и составляет теперь Х баксов. Мы перевели его вам сегодня на карту с номером ххххххх.»
И такое теперь будут приходить в Телеграм? А может сразу в новостной канал выкладывать?
Тут СМС то вызывает вопросы – не самый безопасный способ. А Телеграм – сразу трансграничная передача ничем и никем не контролируемая. А нет, уже контролируемая правительством Франции, но вряд ли это то что хотелось бы.
Ладно, двигаемся дальше – чуть более «умный» сканер в целом находит +- то же самое. (заметьте, это только окно аутентификации. Если дать ему доступ в само приложение, там , уверен, будет просто «красота»). Но как бы меня это не сильно интересует на этом этапе. Если вошел с текущей «изоляцией» понятно что всё будет очень весело.
А пока самое печальное - вот:
Видимо ребята очень хотят встраиваться фреймом в Битрикс.Но при этом не хотят в вайтлистинг. Скрипты и фреймы на поддоменах своего домена разрешать в принципе норм – OWASP тут зря паникует, но вот доверять всем скриптам *.bitrix24.ru… за такое надо бы отругать. Ну и соответственно весь контент и все фреймы с битры открыты.
Ну и в конце проверим есть ли «кто-то» кто может нас остановить, если мы попытаемся «сделать гадость»:
WAF – тоже «не, не слышали». Что и ожидалось. Далее видимо «ломай не хочу». Но такой цели нет, а вот "передавать" свои и своих коллег перс. данные на хранение этим ребятам не хочется.
По поводу своих сотрудников, они видимо на уровне культуры вообще не парятся:
Во-первых, Confluence. Серьёзно? Облачный в 2025-м в РФ?
Во-вторых, паблик страница и ФИО создателей?
Ну ладно, на этом мои эксперименты с «безопасностью сервиса» закончились. В такое «облако» передавать персданные свои и своих коллег не был готов. Запросил OnPremise, как оно работает и разворачивается:
Если читают айтишники – как вам? 5-ок контейнеров и радуйтесь ребята. Возьмите один сервер и вперёд. Там Kafka Docker и сама приклада написана на Java (нам нужны все ваши сервер). Конечно это «будет работать» у меня на рабочей машине… запустится. Перечитал инструкцию. Красной надписи «только для теста» не увидел. Опечалился сильно. Вспомнил 1С, пустил слезу.
На самом деле задача решаемая – у нас есть локальный кубер и отдельные инстансы PostgreSQL. Развернуть подобное приложение возможно. Но что то мне подсказывает что в инструкции ребята много чего «недоговаривают». Опыт такого «развёртывания» уже имеется – запросил какие-нибудь картинки показывающие что у них там есть:
Так, OnPremise говорите? 3 Докер контейнера? Явно при OnPremise установки что-то теряется.
«Сервис отправки уведомлений WhatsApp» особенно порадовал. Может сразу в ФБР отсылать? Там ещё в середине некий Chat-api, чтобы не упустить и российский сегмент даркнета видимо.
Сервис отправки sms естественно сторонний. Если честно, уже обошлись бы e-mail. Но и сервис отправки e-mail зачем то сторонний.
Ну и конечно не все сервисы «устанавливаются OnPremise»:
Ну т.е. «если очень хотите можете забрать себе кусочек приложения». За деньги, кстати…
Ну не надо называть это «OnPremise» пожалуйста только. И вопрос даже не в локальном кубере, вопрос в том что как в старом анекдоте «Или крестик снимите или трусы наденьте». И не претворяйтесь уже что установка OnPremise возможна. Как бы маркетинг и бизнес это не требовал – надо уметь признавать, что «у нас только Cloud».
Вот так выглядит «настройка слива данных»
Как видите, она может быть полностью автоматической. Передавать можно много чего – не только сотрудников. Не говоря уже о том? что передача будет в фоне, без подтверждения и дополнительного логирования (да да, лог того? что передано конечно же не пишется, по крайней мере мне не удалось найти).
Для 1С конечно «доступно расширение для скачивания» - читаем «привет, команда 1С-ников, теперь обновления у вас будут еще более творческими».
Так, а как же кнопка «добавить сотрудника» в демо базе:
Её можно использовать и там и там. Притом настройка синхронизации не блокирует обмена от слова «совсем». «Мастер дата» - «не, не слышали». Не говоря уже о том что обмен может не пройти и об этом мы узнаем только в 1С (по какой то причине обмен по сути односторонний, обратного API для квитирования или helth check-а хотя бы нет). Прекрасно, просто прекрасно…
Ну а друзьям кадровым специалистам надо будет рассказать что они теперь «кадровики» (хотя в тайне они всегда это знали ) и самое интересное – что им придётся учиться работать «в новой супер системе». Они то наверное думали что внедрение их почти не коснётся – нет, не тут то было.
Так, теперь как это дело мэйнтейнится. Хочешь знать как развивается система – посмотри на страницу релизов:
22 августа. 24 года. Писал я эту статью в 2025. Не говоря уже о том, что документация размазана по 3-м-4-м «порталам». Видимо, кто где хочет, тот там и пишет, но другой страницы с историей релизов нигде не нашел.
Особенно порадовал раздел «внедрение HR-Link» - ссылка:
-
Ссылка скрыта от гостей
На одну страничку. Оно, кстати, предоставляется бесплатно. Я несомненно поверил в это.
Конечно сама по себе система поражает "обилием функционала". Выпустить подпись и подписать документ, который тебе передали дело не хитрое, но там же много сотрудников, которым надо что-то рассказать, кадровым специалистам рассказать, наверняка ещё что-то подготовить. Очень уж сомневаюсь, что работы тут на одну страницу и это ничего не стоит.
Вообщем свой отчет, часть которого вы имеете возможность созерцать, я показал ГД и HRD.
Не нашел понимания ни там ни там – «пробуйте внедряйте». Поэтому и появилась эта статья. Надеюсь данный «труд» и отзыв поможет, не только в плане знаний о текущем сервисе, но и как пример «чего стоят» рейтинги, и как можно проверять сервис который вы собираетесь внедрять в своей компании.
Последнее редактирование:
