Заказал тут проектикиу фрилансера на Хабр фриланс
Я сам чисто бэкэнд и с вебом у меня плохо поэтому решил писать не сам
Запускаю и вижу
Рукалицо
Крик души
-
mitnlag
- Администратор
- Posts: 2127
- Joined: 18 Apr 2010 18:09
Re: Крик души
бгг что заплатили то и получили небось?
-
Dmitry67
- Уже с Приветом
- Posts: 28283
- Joined: 29 Aug 2000 09:01
- Location: SPB --> Gloucester, MA, US --> SPB --> Paris
Re: Крик души
Похоже джуниоры школота (((
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
-
mitnlag
- Администратор
- Posts: 2127
- Joined: 18 Apr 2010 18:09
Re: Крик души
слушайте, кто-то должен платить за их образование
-
dama123
- Уже с Приветом
- Posts: 742
- Joined: 08 Apr 2021 01:54
Re: Крик души
Просто сделайте https и усе будет ок
https://stackoverflow.com/questions/262 ... s-http-ssl
https://stackoverflow.com/questions/262 ... s-http-ssl
-
Dmitry67
- Уже с Приветом
- Posts: 28283
- Joined: 29 Aug 2000 09:01
- Location: SPB --> Gloucester, MA, US --> SPB --> Paris
Re: Крик души
Нет, не будет.dama123 wrote: ↑16 May 2021 05:56 Просто сделайте https и усе будет ок
https://stackoverflow.com/questions/262 ... s-http-ssl
Вы понимаете почему?
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
-
ie
- Уже с Приветом
- Posts: 11093
- Joined: 15 May 2002 02:09
- Location: Boston, MA
Re: Крик души
ну... зашифруйте всю query string... в чем проблема то?Dmitry67 wrote: ↑16 May 2021 10:01Нет, не будет.dama123 wrote: ↑16 May 2021 05:56 Просто сделайте https и усе будет ок
https://stackoverflow.com/questions/262 ... s-http-ssl
Вы понимаете почему?
пароль все равно придется передавать. ну или там токен какой.
я что-то не понимаю?
-
Dmitry67
- Уже с Приветом
- Posts: 28283
- Joined: 29 Aug 2000 09:01
- Location: SPB --> Gloucester, MA, US --> SPB --> Paris
Re: Крик души
Делаю я презентацию, а все мой пароль видят...
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
-
ie
- Уже с Приветом
- Posts: 11093
- Joined: 15 May 2002 02:09
- Location: Boston, MA
Re: Крик души
если вы делаете презентацию для програмистов, они все равно ваш пароль увидят,
куда бы вы его не засунули.
если это повер поинт презентация для топ манагеров...
то.... тут вопще не понятно зачем им паказывать всякие URL с паролями..
-
iDesperado
- Уже с Приветом
- Posts: 1422
- Joined: 28 Nov 2008 17:50
Re: Крик души
как они увидят без доступа в базу и к исходникам ? понятно что программеры ушли на первых минутах презентации увидев пароль в урле.
мне тоже не понятно категория людей, которая бы сохранила интерес к проекте после такого. если не справились с логин/пароль, то что же там дальше твориться лично я бы не стал выяснять.
-
ie
- Уже с Приветом
- Posts: 11093
- Joined: 15 May 2002 02:09
- Location: Boston, MA
Re: Крик души
вопщето дима нислова не сказал про базу данных.iDesperado wrote: ↑16 May 2021 14:04как они увидят без доступа в базу и к исходникам ? понятно что программеры ушли на первых минутах презентации увидев пароль в урле.
мне тоже не понятно категория людей, которая бы сохранила интерес к проекте после такого. если не справились с логин/пароль, то что же там дальше твориться лично я бы не стал выяснять.
а его URL говорит про web api:
если речь идет а пароле к api то его прдется как-то передавать.localhost:8080/api
зашифровать URL params занимает 3 минуты.
в чем проблема?
-
iDesperado
- Уже с Приветом
- Posts: 1422
- Joined: 28 Nov 2008 17:50
Re: Крик души
то что никакое шифрование не дает 100% гарантии и это просто глупо. зачем светить даже шифрованный пароль ?
я бы не стал выяснять что сподвигло людей заниматься глупостями с шифрованием урла и прошел бы мимо.
-
ie
- Уже с Приветом
- Posts: 11093
- Joined: 15 May 2002 02:09
- Location: Boston, MA
Re: Крик души
а как вы будете защищать api не передовая логин инфо?iDesperado wrote: ↑16 May 2021 14:34 то что никакое шифрование не дает 100% гарантии и это просто глупо. зачем светить даже шифрованный пароль ?
я бы не стал выяснять что сподвигло людей заниматься глупостями с шифрованием урла и прошел бы мимо.
научите... правда интересно.
-
Dmitry67
- Уже с Приветом
- Posts: 28283
- Joined: 29 Aug 2000 09:01
- Location: SPB --> Gloucester, MA, US --> SPB --> Paris
Re: Крик души
Там ещё есть шедевр. В params2 передаются группы, в которые вхож юзер. Исправив url, пользователь может получить любые права.
Шифровать то можно, но разве передача такой информации в url не дикий антипаттерн? Да, если чел пришел на интервью с расстегнутой ширинкой и воняя потом то он как бы ничего юридически не нарушил. Но ..
Шифровать то можно, но разве передача такой информации в url не дикий антипаттерн? Да, если чел пришел на интервью с расстегнутой ширинкой и воняя потом то он как бы ничего юридически не нарушил. Но ..
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
-
iDesperado
- Уже с Приветом
- Posts: 1422
- Joined: 28 Nov 2008 17:50
-
ie
- Уже с Приветом
- Posts: 11093
- Joined: 15 May 2002 02:09
- Location: Boston, MA
-
ie
- Уже с Приветом
- Posts: 11093
- Joined: 15 May 2002 02:09
- Location: Boston, MA
Re: Крик души
так как передовать то? куда складывют пароли нармальные пасаны респектфул девелоперы?iDesperado wrote: ↑16 May 2021 14:50речь про урл, а не передачу. обычный пост по защищенному https дает достаточно гарантий.
-
Dmitry67
- Уже с Приветом
- Posts: 28283
- Joined: 29 Aug 2000 09:01
- Location: SPB --> Gloucester, MA, US --> SPB --> Paris
Re: Крик души
Дело не в какерах
Поделка вообще для глубокого интранет
Но если бы я это не заметил и мои коллеги увидели бы мой пароль на экране во время презентации, то я стал бы посмешищем
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
-
iDesperado
- Уже с Приветом
- Posts: 1422
- Joined: 28 Nov 2008 17:50
-
ie
- Уже с Приветом
- Posts: 11093
- Joined: 15 May 2002 02:09
- Location: Boston, MA
Re: Крик души
вот видите какие детали всплывают.
ну понятно.. тут эмошнл аспект очень сильный...
-
ie
- Уже с Приветом
- Posts: 11093
- Joined: 15 May 2002 02:09
- Location: Boston, MA
Re: Крик души
http пост с паролем или без?iDesperado wrote: ↑16 May 2021 14:59обычный http post. ну и пост мне кажется обычно идет на веб сервер, который уже делает рест вызов на соответствующий вебсервис, а не как тут api торчит наружу.
и что вам мешает сделать http post на localhost:8080/api ?
url не нравиться?
-
iDesperado
- Уже с Приветом
- Posts: 1422
- Joined: 28 Nov 2008 17:50
-
Palych
- Уже с Приветом
- Posts: 13987
- Joined: 16 Jan 2001 10:01
Re: Крик души
Думаю главные монстры будут внутри кода. Креативность там наверняка затмит самые смелые предложения.
-
Dmitry67
- Уже с Приветом
- Posts: 28283
- Joined: 29 Aug 2000 09:01
- Location: SPB --> Gloucester, MA, US --> SPB --> Paris
Re: Крик души
Я уже смотрел
Таки да (((
Количество багов пропорционально числу найденных
А количество идиотизма пропорционально сразу увиденному
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
-
Flash-04
- Уже с Приветом
- Posts: 63377
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
Re: Крик души
Хм, ну не делают так, даже с https.
Credentials передают в POST.
Почему? Очень просто: сейчас, любая уважающая себя организация держит логи. При таком подходе в них будут все пароли пользователей, а это недопустимо.
В моей практике был случай, когда в логах было даже содержимое POST запросов. После указания на этот факт, их перестали записывать.
Credentials передают в POST.
Почему? Очень просто: сейчас, любая уважающая себя организация держит логи. При таком подходе в них будут все пароли пользователей, а это недопустимо.
В моей практике был случай, когда в логах было даже содержимое POST запросов. После указания на этот факт, их перестали записывать.
Not everyone believes what I believe but my beliefs do not require them to.