Comments 13
Meta* заплатила $100 тыс. за уязвимость
Заплатить $100 тыс. нормальному программисту, который бы продумывает свой код наперёд и не допустил бы этой ошибки (ну, типа там, проверяя аргументы, не забывая проверки на NULL и т.п.?) Да нет, ерунда какая!
Какой-то глупый наезд.
Нормальный программист в мете получает больше $100 тыс, а это только прямые отчисления без бонусов. Программист, каким бы он умным ни был, может разлениться, ошибиться или банально пропустить проблему на стыке своего и чужого кода.
По описанию тут проблема вообще не в коде, а в уязвимой версии хрома, которая используется на бэке без должной изоляции. Нормальный веб-разработчик скорее всего провалит собеседование про изоляцию и процессы управления уязвимостями, и это тоже нормально, т.к. от веб-разработчика не требуется писать сэндбоксы.
«На исправление потребовался всего час» как бы намекает на то, что не фильтровались передающиеся внутрь данные.
Что-то я не понял при чем там Хром на бэке. Хром же используется для отображения фронта.
Есть такая вещь — Selenium. Когда браузер исполняется без присутствия человека. Применяется для скрейпинга.
Для анализа внешних источников с динамическим/интерактивным содержимым их приходится пропускать через headless-браузеры. Для выполнения логики и управления браузером используется что-нибудь вроде puppeteer.
Согласен. Надо нанять нормальных программистов, тогда можно разогнать весь штат тестировщиков. Нормальные программисты пишут код без ошибок.
/s
Заплатить $100 тыс. нормальному программисту, который бы продумывает свой код наперёд и не допустил бы этой ошибки
В meta платят больше. Что они (меты) делают не так? Означает ли это, что им надо урезать ЗП до $100тыс, чтобы они все стали нормальными программистами, думающие наперед?
Классика!
Meta* заплатила $100 тыс. за уязвимость, позволявшую выполнять команды на сервере Facebook**