Wpis z mikrobloga

Skopiuj link

konto usunięte 07.01.2018, 23:56:11

Czy szanowni webdevi widzieli artykuł, dlaczego wasze SPA jest praktycznie na 100% podatne na przechwytywanie danych mimo https, csp itp? Scenariusz jak z 'black mirror' ale w żaden sposób nie naciągany i całkiem prawdpodobny.

medium
#webdev #programowanie #programista15k #frontend

xDrope

08.01.2018, 00:43:42 via Android

@Programista7k czy jak zwykle wystarczy mieć IQ>20?

rotflolmaomgeez

08.01.2018, 01:58:14

@Programista7k: Artykuł ciekawy, ale gość ma trochę za dużo wyobraźni :)
Atak >być może< byłby skuteczny jako stargetowany i na małą skalę, ale przy bardziej popularnych paczkach raczej szybko zostałby wykryty. Z tą stroną logowania google to już popłynął totalnie.

P.....k

konto usunięte 08.01.2018, 09:00:40

@rotflolmaomgeez: no nie wiem, to że w większości (wszytkich?) apkach ponad 80% kodu to często zewnętrze libki to fakt. To, że praktycznie nikt nie sprawdza każdej zależności z osobna też. Ale o tym że kod na npmie może być różny od kody githubowego nie wiedziałem, myślałem, że to jest 1:1.
Ale zgodze się, że jakby ktoś nagle dodał coś takiego np do lodasha to ma małe szanse sukcesu.

rotflolmaomgeez

08.01.2018, 09:09:38 via Android

@Programista7k mówisz "no nie wiem", a potem piszesz to samo co ja tylko innymi słowami ;) ogólnie jakby taki kod przypadkiem trafił na naprawdę dużą stronę, to porządne firmy mają całe działy od zapewniania bezpieczeństwa i w tym analizowania podejrzanych requestów, jeśli takie by się trafiły. W domowym zastosowaniu nikt tego nie robi, ale na takich stronach nie podaje się kart płatniczych (jeżeli masz instynkt samozachowawczy).

P.....k

konto usunięte 08.01.2018, 09:15:06

@rotflolmaomgeez: no nie przesadzałbym z tymi działami bezpieczeństwa i ich jakością :) Tam też pracują normalni ludzie, których można oszukać bardziej nietypowymi trickami, o których nawet artykuł wspominał. Pracowłem też w korpo i powiedziałbym, że tam jest znacznie większy burdel niż w małych startupach i jakby to miało przejść niezauważone to właśnie tam

rotflolmaomgeez

08.01.2018, 09:17:59 via Android

@Programista7k pracuję aktualnie w korpo, to nie ludzie wykrywają takie requesty, tylko systemy monitoringu podłączone pod boty mimikujące zachowania użytkownika. Nie tylko na serwerze testowym, ale także na produkcji. Szansa na powodzenie ataku to 0%.

P.....k

konto usunięte 08.01.2018, 09:22:32

@rotflolmaomgeez: czyli według ciebie ten twój korpo system jest 100% skuteczny? xD No tak skoro tam jest maszyna/program, a nie człowiek to nic nie przepuści. A nie wait, ten system projektował ... człowiek. Szkoda, że wielkie poważne firmy nie miały tego systemu co ty i doszło do tylu wycieków. EOT, pozdro

rotflolmaomgeez

08.01.2018, 09:28:37 via Android

@Programista7k no nie wiem, takie firmy jak PayPal, Google, Amazon nie miały nic takiego :) myślisz że ludzie po prostu nie próbują, czy po prostu ich systemy bezpieczeństwa są skuteczne?