Крик души

User avatar
Dmitry67
Уже с Приветом
Posts: 28283
Joined: 29 Aug 2000 09:01
Location: SPB --> Gloucester, MA, US --> SPB --> Paris

Крик души

Post by Dmitry67 »

Заказал тут проектикиу фрилансера на Хабр фриланс
Я сам чисто бэкэнд и с вебом у меня плохо поэтому решил писать не сам

Запускаю и вижу
image.png
Рукалицо
You do not have the required permissions to view the files attached to this post.
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
mitnlag
Администратор
Posts: 2127
Joined: 18 Apr 2010 18:09

Re: Крик души

Post by mitnlag »

бгг что заплатили то и получили небось?
User avatar
Dmitry67
Уже с Приветом
Posts: 28283
Joined: 29 Aug 2000 09:01
Location: SPB --> Gloucester, MA, US --> SPB --> Paris

Re: Крик души

Post by Dmitry67 »

mitnlag wrote: 15 May 2021 19:56 бгг что заплатили то и получили небось?
Похоже джуниоры школота (((
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
mitnlag
Администратор
Posts: 2127
Joined: 18 Apr 2010 18:09

Re: Крик души

Post by mitnlag »

слушайте, кто-то должен платить за их образование
dama123
Уже с Приветом
Posts: 742
Joined: 08 Apr 2021 01:54

Re: Крик души

Post by dama123 »

Просто сделайте https и усе будет ок
https://stackoverflow.com/questions/262 ... s-http-ssl
User avatar
Dmitry67
Уже с Приветом
Posts: 28283
Joined: 29 Aug 2000 09:01
Location: SPB --> Gloucester, MA, US --> SPB --> Paris

Re: Крик души

Post by Dmitry67 »

dama123 wrote: 16 May 2021 05:56 Просто сделайте https и усе будет ок
https://stackoverflow.com/questions/262 ... s-http-ssl
Нет, не будет.
Вы понимаете почему?
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
User avatar
ie
Уже с Приветом
Posts: 10989
Joined: 15 May 2002 02:09
Location: Boston, MA

Re: Крик души

Post by ie »

Dmitry67 wrote: 16 May 2021 10:01
dama123 wrote: 16 May 2021 05:56 Просто сделайте https и усе будет ок
https://stackoverflow.com/questions/262 ... s-http-ssl
Нет, не будет.
Вы понимаете почему?
ну... зашифруйте всю query string... в чем проблема то? :pain1:
пароль все равно придется передавать. ну или там токен какой.
я что-то не понимаю?
User avatar
Dmitry67
Уже с Приветом
Posts: 28283
Joined: 29 Aug 2000 09:01
Location: SPB --> Gloucester, MA, US --> SPB --> Paris

Re: Крик души

Post by Dmitry67 »

Делаю я презентацию, а все мой пароль видят...
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
User avatar
ie
Уже с Приветом
Posts: 10989
Joined: 15 May 2002 02:09
Location: Boston, MA

Re: Крик души

Post by ie »

Dmitry67 wrote: 16 May 2021 13:02 Делаю я презентацию, а все мой пароль видят...
если вы делаете презентацию для програмистов, они все равно ваш пароль увидят,
куда бы вы его не засунули.

если это повер поинт презентация для топ манагеров...
то.... тут вопще не понятно зачем им паказывать всякие URL с паролями..


:gen1:
iDesperado
Уже с Приветом
Posts: 1349
Joined: 28 Nov 2008 17:50

Re: Крик души

Post by iDesperado »

ie wrote: 16 May 2021 13:23 если вы делаете презентацию для програмистов, они все равно ваш пароль увидят,
куда бы вы его не засунули.
как они увидят без доступа в базу и к исходникам ? понятно что программеры ушли на первых минутах презентации увидев пароль в урле.
мне тоже не понятно категория людей, которая бы сохранила интерес к проекте после такого. если не справились с логин/пароль, то что же там дальше твориться лично я бы не стал выяснять.
User avatar
ie
Уже с Приветом
Posts: 10989
Joined: 15 May 2002 02:09
Location: Boston, MA

Re: Крик души

Post by ie »

iDesperado wrote: 16 May 2021 14:04
ie wrote: 16 May 2021 13:23 если вы делаете презентацию для програмистов, они все равно ваш пароль увидят,
куда бы вы его не засунули.
как они увидят без доступа в базу и к исходникам ? понятно что программеры ушли на первых минутах презентации увидев пароль в урле.
мне тоже не понятно категория людей, которая бы сохранила интерес к проекте после такого. если не справились с логин/пароль, то что же там дальше твориться лично я бы не стал выяснять.
вопщето дима нислова не сказал про базу данных.
а его URL говорит про web api:
localhost:8080/api
если речь идет а пароле к api то его прдется как-то передавать.
зашифровать URL params занимает 3 минуты.

в чем проблема?
iDesperado
Уже с Приветом
Posts: 1349
Joined: 28 Nov 2008 17:50

Re: Крик души

Post by iDesperado »

ie wrote: 16 May 2021 14:21 вопщето дима нислова не сказал про базу данных.
а его URL говорит про web api:
localhost:8080/api
если речь идет а пароле к api то его прдется как-то передавать.
зашифровать URL params занимает 3 минуты.

в чем проблема?
то что никакое шифрование не дает 100% гарантии и это просто глупо. зачем светить даже шифрованный пароль ?
я бы не стал выяснять что сподвигло людей заниматься глупостями с шифрованием урла и прошел бы мимо.
User avatar
ie
Уже с Приветом
Posts: 10989
Joined: 15 May 2002 02:09
Location: Boston, MA

Re: Крик души

Post by ie »

iDesperado wrote: 16 May 2021 14:34 то что никакое шифрование не дает 100% гарантии и это просто глупо. зачем светить даже шифрованный пароль ?
я бы не стал выяснять что сподвигло людей заниматься глупостями с шифрованием урла и прошел бы мимо.
а как вы будете защищать api не передовая логин инфо?
научите... правда интересно.
User avatar
Dmitry67
Уже с Приветом
Posts: 28283
Joined: 29 Aug 2000 09:01
Location: SPB --> Gloucester, MA, US --> SPB --> Paris

Re: Крик души

Post by Dmitry67 »

Там ещё есть шедевр. В params2 передаются группы, в которые вхож юзер. Исправив url, пользователь может получить любые права.

Шифровать то можно, но разве передача такой информации в url не дикий антипаттерн? Да, если чел пришел на интервью с расстегнутой ширинкой и воняя потом то он как бы ничего юридически не нарушил. Но ..
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
iDesperado
Уже с Приветом
Posts: 1349
Joined: 28 Nov 2008 17:50

Re: Крик души

Post by iDesperado »

ie wrote: 16 May 2021 14:40 а как вы будете защищать api не передовая логин инфо?
научите... правда интересно.
речь про урл, а не передачу. обычный пост по защищенному https дает достаточно гарантий.
User avatar
ie
Уже с Приветом
Posts: 10989
Joined: 15 May 2002 02:09
Location: Boston, MA

Re: Крик души

Post by ie »

Dmitry67 wrote: 16 May 2021 14:42 Шифровать то можно, но разве передача такой информации в url не дикий антипаттерн?
ну хорошо. а как правильно передавать?
научите. зарыть гденить в хэдер, так типа будет секюр и злые русские хакеры никагда не дагадеются туда посмотерть? :wink:
User avatar
ie
Уже с Приветом
Posts: 10989
Joined: 15 May 2002 02:09
Location: Boston, MA

Re: Крик души

Post by ie »

iDesperado wrote: 16 May 2021 14:50
ie wrote: 16 May 2021 14:40 а как вы будете защищать api не передовая логин инфо?
научите... правда интересно.
речь про урл, а не передачу. обычный пост по защищенному https дает достаточно гарантий.
так как передовать то? куда складывют пароли нармальные пасаны респектфул девелоперы?
User avatar
Dmitry67
Уже с Приветом
Posts: 28283
Joined: 29 Aug 2000 09:01
Location: SPB --> Gloucester, MA, US --> SPB --> Paris

Re: Крик души

Post by Dmitry67 »

ie wrote: 16 May 2021 14:51
Dmitry67 wrote: 16 May 2021 14:42 Шифровать то можно, но разве передача такой информации в url не дикий антипаттерн?
ну хорошо. а как правильно передавать?
научите. зарыть гденить в хэдер, так типа будет секюр и злые русские хакеры никагда не дагадеются туда посмотерть? :wink:
Дело не в какерах
Поделка вообще для глубокого интранет
Но если бы я это не заметил и мои коллеги увидели бы мой пароль на экране во время презентации, то я стал бы посмешищем
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
iDesperado
Уже с Приветом
Posts: 1349
Joined: 28 Nov 2008 17:50

Re: Крик души

Post by iDesperado »

ie wrote: 16 May 2021 14:52 так как передовать то? куда складывют пароли нармальные пасаны респектфул девелоперы?
обычный http post. ну и пост мне кажется обычно идет на веб сервер, который уже делает рест вызов на соответствующий вебсервис, а не как тут api торчит наружу.
User avatar
ie
Уже с Приветом
Posts: 10989
Joined: 15 May 2002 02:09
Location: Boston, MA

Re: Крик души

Post by ie »

Dmitry67 wrote: 16 May 2021 14:55 Дело не в какерах
Поделка вообще для глубокого интранет
вот видите какие детали всплывают.
Dmitry67 wrote: 16 May 2021 14:55 Но если бы я это не заметил и мои коллеги увидели бы мой пароль на экране во время презентации, то я стал бы посмешищем
ну понятно.. тут эмошнл аспект очень сильный...
User avatar
ie
Уже с Приветом
Posts: 10989
Joined: 15 May 2002 02:09
Location: Boston, MA

Re: Крик души

Post by ie »

iDesperado wrote: 16 May 2021 14:59
ie wrote: 16 May 2021 14:52 так как передовать то? куда складывют пароли нармальные пасаны респектфул девелоперы?
обычный http post. ну и пост мне кажется обычно идет на веб сервер, который уже делает рест вызов на соответствующий вебсервис, а не как тут api торчит наружу.
http пост с паролем или без?
и что вам мешает сделать http post на localhost:8080/api ?
url не нравиться?
iDesperado
Уже с Приветом
Posts: 1349
Joined: 28 Nov 2008 17:50

Re: Крик души

Post by iDesperado »

ie wrote: 16 May 2021 15:09 http пост с паролем или без?
и что вам мешает сделать http post на localhost:8080/api ?
url не нравиться?
с паролем.
ничего не мешает.
не нравится.
к чему этот тупой тролинг ?
Palych
Уже с Приветом
Posts: 13643
Joined: 16 Jan 2001 10:01

Re: Крик души

Post by Palych »

Думаю главные монстры будут внутри кода. Креативность там наверняка затмит самые смелые предложения.
User avatar
Dmitry67
Уже с Приветом
Posts: 28283
Joined: 29 Aug 2000 09:01
Location: SPB --> Gloucester, MA, US --> SPB --> Paris

Re: Крик души

Post by Dmitry67 »

Palych wrote: 16 May 2021 17:53 Думаю главные монстры будут внутри кода. Креативность там наверняка затмит самые смелые предложения.
Я уже смотрел
Таки да (((
Количество багов пропорционально числу найденных
А количество идиотизма пропорционально сразу увиденному
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
User avatar
Flash-04
Уже с Приветом
Posts: 63377
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: Крик души

Post by Flash-04 »

Хм, ну не делают так, даже с https.
Credentials передают в POST.
Почему? Очень просто: сейчас, любая уважающая себя организация держит логи. При таком подходе в них будут все пароли пользователей, а это недопустимо.
В моей практике был случай, когда в логах было даже содержимое POST запросов. После указания на этот факт, их перестали записывать.
Not everyone believes what I believe but my beliefs do not require them to.

Return to “Вопросы и новости IT”