Wpis z mikrobloga

Skopiuj link

17.01.2022, 15:30:53 via Android

Jak tam kiedyś pisałem zabrałem się trochę za freelancerkę w #programowanie, bo w sumie to łatwiej niż znaleźć pracę jako junior. Dla małej przychodni robiłem taki prosty system - klient mi się trafił taki narzekała, ale jakoś projekt w zeszłym miesiącu domknąłem. Gość do mnie teraz wraca, że jacyś chyba naciągacze, mu niby zrobili audyt bezpieczeństwa i że w aplikacji są błędy jakieś XXS i CSRF. Że niby w przeglądarce klienta jakieś skrypty se może odpalić. Mnie zawsze uczyli, że za to co się dzieje w przeglądarce klienta, a nie na serwerze się nie odpowiada, bo nie ma się na to wpływu. Podpowiedzcie z doświadczenia - można go olać? Bo to mi wygląda jak próba wyłudzenia ode mnie czegoś.

#programista15k #bezpieczenstwo #security #pracbaza #oszukujo #php #javascript #hacking

teddybear69 - Jak tam kiedyś pisałem zabrałem się trochę za freelancerkę w #programow... — **źródło:** comment_16424334534n83DkZhifR41dMRLKzzWH.jpg
Pobierz

nowiutki

17.01.2022, 15:33:34

@teddybear69: to jakaś pasta?

odysjestem

17.01.2022, 15:34:13

@teddybear69: Cóż, jeśli znaleźli błędy w przeglądarce, niech dealują z twórcą tego softu, a nie Tobą

CzescBartek

17.01.2022, 15:34:25 via Wykop Mobilny (Android)

@teddybear69: odpisz że zapłacili jak za gówno to i gówno mają. Z fartem mordo

A tak serio to przed CSRF możesz się zabezpieczyć po stronie BE

teddybear69

17.01.2022, 15:35:28 via Android

@odysjestem dzięki, bo już się bałem, że będę musiał wracać do tego projektu i upierdliwego klienta

kobrys13

17.01.2022, 15:37:00

@teddybear69: No jak nie masz pojęcia co to XXS i CSRF to nie dziw, że na juniora do webDev Cię nie chcą :)

Z ciekawości projekt robiłeś w Pajączku czy FrontPage?

77LatBedeNiedojrzaly

17.01.2022, 15:37:56

@teddybear69: no za błędy xxs i csrf ty odpowiadasz, nie są one krytyczne, często oznaczane jako low, ale miło by było jakby ich nie było

voot

17.01.2022, 15:38:02

@teddybear69: odysjestem sobie z Ciebie jaja robi, bo Twój wpis wygląda na jakąś pastę albo zarzutkę.
Jeśli faktycznie sprzedałeś im dziurawy soft to pewnie będziesz musiał naprawić.

Ogólnie jeśli to prawda, to ewidentnie jesteś totalnie zielony w temacie i w takiej sytuacji pchanie się we freelancerkę to proszenie się o kłopoty.

teddybear69

17.01.2022, 15:38:09 via Android

@CzescBartek no nie wiem w ogóle jak to może być groźne dla kogoś - kto się da nabrać na kliknięcie w jakiś fejkowy link. Mocno to naciągane.

CzescBartek

17.01.2022, 15:41:22 via Wykop Mobilny (Android)

@teddybear69: niestety nie odpowiem Ci bardziej szczegółowo niż to że możesz temu zapobiec po stronie serwera ponieważ nie znam specyfiki projektu nad którym pracowałeś.
Framework taki jak Django ma np wbudowane zabezpieczenie przeciwko tego typu atakom chyba nie dla beki?

Jeśli w umowie z klientem nie ma nic i bezpieczeństwie systemu i braku wad to olej a jak jest to doucz sie i napraw

teddybear69

17.01.2022, 15:42:16 via Android

@CzescBartek nie, nie ma takich zapisów na szczęście. Dzięki za pomoc.

kukold

17.01.2022, 15:47:45

XXS

@teddybear69: Po pierwsze to XSS kurła

voot

17.01.2022, 15:49:11

@CzescBartek: to, że nie ma w umowie zapisów, że soft ma być bezpieczny, nie znaczy, że można komuś sprzedać coś dziurawego, tutaj mowa o xss i csrf, ale jeśli facet jest faktycznie tak zielony w temacie, to oby jego soft nie przyniósł firmie strat finansowych czy wizerunkowych, bo wtedy już za to OP może poważnie finansowo odpowiedzieć.

@teddybear69: jeśli nie chcesz się zająć tematem, to lepiej idź do prawnika po

kinemator

17.01.2022, 15:52:35

Jeśli w umowie z klientem nie ma nic i bezpieczeństwie systemu i braku wad to olej a jak jest to doucz sie i napraw

@CzescBartek: @teddybear69: Podejrzewam, że sąd inaczej na to spojrzy i uzna, że wykonanie niezgodnie ze sztuką jest zwykłem naciągnięciem klienta.

teddybear69

17.01.2022, 15:56:49 via Android

@voot no nie wiem, jakoś bardziej ufam @CzescBartek w tej kwestii, ale dzięki za pomoc

CzescBartek

17.01.2022, 16:13:26

@voot @kinemator
Mowie tylko z wlasnego doswiadczenia. Zakladam ze koszty sadowe znacznie przewyzszaja wartosc projektu i nikomu sie nie bedzie chcialo nic robic w zwiazku z tym. W szczegolnosci biorac pod uwage fakt ze oprogramowanie wg umowy nie musi byc wolne od bledow.

Zgodnie ze sztuka != bezblednie.

Jesli jestescie programistami to zapewne spotkaliscie sie z zapisami w umowach waszych firm lub wlasnych umowach gdzie bylo jasno zaznaczone ze firma udziela np

CzescBartek

17.01.2022, 16:25:47

Jesli jednak macie jakies waptliwosci to zapraszam do lektury: http://www.twojakancelaria.com.pl/web/common_kbz/publikacje/2.pdf

Bardzo fajne opracowanie z odniesieniami i przykladami. W skrocie: Opis usuniecia wad oprogramowania musi zotac ujety w licencji lub umowie inaczej twórca nie ponosi odpowiedzialnosci. Warto tez zaznaczyc fajny cytat:

Co więcej, licencjodawcy niejednokrotnie zamieszczają w tych częściach umów

licencyjnych, które mają charakter gwarancji, zapisy expressis verbis, że nie

gwarantują działania jakiegokolwiek licencjonowanego programu w sposób

bezbłędny i nieprzerwany oraz, że nie

voot

17.01.2022, 17:38:45

@CzescBartek: niestety nie wygląda to tak pięknie jak opisujesz :) Jeśli w sofice który zrobił @teddybear69 coś się wywali i firma straci przez to dane klientów, pieniądze, wiarygodność, tajemnice firmowe, a wyjdzie, że będzie to spowodowane wadami w oprogramowaniu, które wynikają z niedbałego wykonania oprogramowania, to Teddy będzie w nieciekawej sytuacji. Nie pomogą tutaj tłumaczenia, że on jest zielony w temacie i nie wiedział co robi.

No ale @teddybear69 słuchaj, jeśli

CzescBartek

17.01.2022, 18:09:57 via Wykop Mobilny (Android)

@voot: aha ok czyli napisałeś że tak nie jest bez podania kontr dowodu. No dobra w takim razie przyznaje Ci rację i zwracam honor.
@teddybear69 zignoruj proszę to opracowanie które Ci wysłałem przygotowane przez kancelarię i posłuchaj jakiegoś typa na stronie z obrazkami.

Miłego wieczoru i bez odbioru.

voot

17.01.2022, 18:56:49

@CzescBartek: A czy Ty dałeś jakiś dowód? Opracowanie ze strony o treści: "Fatal error: Cannot use 'Object' as class name as it is reserved in /models/class.Object.php on line 11" bez żadnej informacji kto je opracował ma być wiarygodne? Szkoda mi czasu na czytanie tego, bo nie ma to żadnej wiarygodności.
Piszę to, z czym sam mam do czynienia, ale niech koleś robi co uważa, jeśli zastąpisz mu prawnika, to proszę bardzo.