@sekurak: Czy to jest przykład z życia, czy fake? Może spróbujmy wymienić wszystkie problemy w tym kodzie od najbardziej karygodnych do najmniej szkodliwych:
1) Api wygląda tak jakby pozwalało frontowi wykonywać dowolne operacje na bazie danych. Pierwsze co przychodzi do głowy złośliwemu, to w konsoli wpisać apiService.sql("DROP TABLE users") ... ... ... 2) Dane o wszystkich użytkownikach trafiają do frontu razem z hasłami. 3) Hasła są niezahashowane. 4) Ciasteczko jest trywialne
@domenacom: Nie wiem skąd ten optymizm i wszystkie motywatory głoszące, że można mieć aż 2 rzeczy na raz. Zwykle na rynku jest albo dobrze, albo szybko, albo tanio. Dodatkowo jeśli chodzi o projekty sektora publicznego, to rzadko mają w ogóle którąkolwiek z tych cech. ( ͡°ʖ̯͡°)
@kwiatencja: Też o tym sporo myślałem i byłem przekonany, że teraz po prostu nie mają wyboru i aby uniknąć skandalu obyczajowego będą musieli przyjechać do Polski. Jednak widać, że myliłem się, a gorycz zniewagi porównywalnej z nagłówkiem "polskie obozy" w niemieckiej gazecie, przeszywa moje serce ( ͡°ʖ̯͡°)
@abramek: Hej koledzy, absolwent MIM UW here. Przecież ten egzamin jest z umiejętności programowania, a nie przemysłowego klepania kodu. Jeśli student potrafi wyrazić rozwiązanie na kartce, to będzie potrafił napisać to w dowolnym języku oraz IDE. Nie wiem po co robić to na komputerze - na kartkę łatwiej studentowi przelać ideę i również łatwiej prowadzącemu sprawdzić z niej rozwiązanie. Sprawdzanie takiej wiedzy na komputerze może utrudniać cały proces, bo student zamiast
@tomek_hydrant_duzy: Nie chciałbym być nieuprzejmy, ale proszę nie tagować takiego czerstwego kontentu #itgraduate, ponieważ poziom tego żartu jest tak niski, jakby został stworzony właśnie przez pierwotny obiekt drwin memów z #itgraduate. Czyli osobę, która coś wie, ale nie stać ją na żart programistyczny na odpowiednim poziomie. To nic osobistego - po prostu mam żal o zaniżanie poziomu tego tagu / memu.
#sekurak #programowanie
źródło: comment_dcUFy540ZkiQgpTOKLjc9jTifbg7tari.jpg
Pobierz1) Api wygląda tak jakby pozwalało frontowi wykonywać dowolne operacje na bazie danych. Pierwsze co przychodzi do głowy złośliwemu, to w konsoli wpisać apiService.sql("DROP TABLE users")
...
...
...
2) Dane o wszystkich użytkownikach trafiają do frontu razem z hasłami.
3) Hasła są niezahashowane.
4) Ciasteczko jest trywialne