Как же вы достали передёргивать. Не ключи он во дворе нашёл. Он нашёл стикер с паролем (повёрнутый паролем к стене) напротив двери с кодовом замком, зная что за этой дверью помещение, где хранятся деньги и документы сотен людей, доверившихся хозяину помещения. Конечно он может пройти мимо, а кто-то не пройдёт. Это вопрос морали и наличия\отсутствия желания сделать мир лучше, путём предотвращения "плохих" вещей заранее.
НЕ ЕГО СРАНОЕ ДЕЛО
" бойтесь людей равнодушных — именно с их молчаливого согласия происходят все самые ужасные преступления на свете"
Последний раз попробую донести это до вас(без особой надежды, правда): в анализе нет и не может быть ничего точного, есть только миллионы зацепок, единицы из которых могут оказаться реальными. Невозможно, абсолютно никак невозможно, быть уверенным, что уязвимость есть, не проверив. Для права есть выбор лишь между разрешить проверять и получать репорты или запретить проверять и получать использование злоумышленниками. Всё. Третьего не дано.
Независимо от того, поняли вы или нет можете не отвечать, продолжать с вами обмен монологами я не намерен.
Нет, это не только "их проблема", это в первую очередь проблема людей доверившихся этой компании.
И на мой взгляд ни одна нормальная фирма не будет игнорировать мэйл в котором стоят их логин/пароль с продакшена.
Если таких по большей части ошибочных мэйлов с содержанием "возможно нашёл пароль от вашей базы Х в файле У, а может и нет" пару тысяч и ещё сотня тысяч "возможно у вас уязвимость в протоколе Х в процессе У, а может и нет", то никто их читать не будет. Впрочем и писать тоже. Мы в реальном мире живём и о реальных проблемах говорим. "Гениальное и идеальное" абстрактное решение проблемы, которое может работать только в сферичексом вакууме равносильно отсутствию этого решения.
то это вполне себе может превратиться в ваши проблемы
Именно в том и суть проблемы, что может, а по логике и морали не должно. И с этим стоило бы что-то сделать, а не склонив голову делать okay-face.
Значит не представляете. Поясню: "подозрительного" мусора очень и очень много, тысячи и тысячи ложных совпадений. Достаточно для того, чтоб сделать это полностью бессмысленным, т.к. никто не будет смотреть на бесполезный спам.
А как он должен узнать, что это рабочий пароль от базы, не проверяя? На каждый чих писульки слать? Вы вообще представляете хоть приблизительно сколько "подозрительного" мусора можно встретить пока наткнёшься на реальную уязвимость?
Почему товарищ общался через блогера - вопрос, но из текста не следует, что тот блогер сразу уязвимость в паблик раскрыл, написано что передал в компанию.
А как тогда вайтхэтствовать то? Если все законопослушные товарищи в таких случаях не будут проверять наличие уязвимости от греха подальше, то НЕ законопослушным то ничто не помешает. Т.о. все такие уязвимости останутся открытыми ровно до тех пор, пока не произойдёт реальное и полноценное воровство данных. Какая-то хреновая логика, не находите?
Ну на самом деле большая часть ваших придирок именно про спички. Спичка там, спичка тут, в челом конечно пол коробка не достаёт, но каждая в отдельности таки лютая мелочь.:)
И тогда появится сборка хрома которая собирает и отдает файл системе.
А против этого как раз гугл продвигает удостоверение в надёжности браузера(или как то так, забыл как он называется) - по сути только официальные сборки будут объявлены "безопасными" и будет встроена в каждый браузер api для "проверки подлинности". Сайты вроде как могут и не испольовать эту проверку, но все мы понимаем, что если таки это протолкнут - свободному интернету конец.:)
Вы же понимаете что это, как и вся статья, призывает писать write-only код? Куча копипаста, куча велосипедов, огромное количество уникального кода и никакой абстракции? В итоге это будет абсолютно неподдерживаямпя лапша, не более того. Если вам надо поменять что-то для одного инпута — это отлично. Для всех? N часов(а позже и дней) обезьяней работы.
Ага, конечно, а любопытство, творчество, удовольствие от преодоления сложных интеллектуальных задач и всё такое прочее, что присуще истинно разумным - вы отрицаете?
Даже если вы сами никогда не получали от этого никаких положительных впечатлений, неужто не встречали подобных людей? Или считаете что все притворяются чтобы повысить шанс на продолжение рода? Так вот - ничего подобного.
Все эти идеи исходят из того, что человеки останутся статичными, такими же полуобезьянами как сейчас, что очень маловероятно. Познание мозга очевидно приведёт не только к "мысленному раю" но и к возможности сверхразума. Причём опять же не как разовая акция повышения интеллекта, а как безграничный рост. Причём достаточно одного не пожелавшего оставаться ничтожеством, чтоб запустить этот процесс. Так что вот вообще не верю в подобные миллионы и миллиарды лет стагнации.
> проще сбросить груз знаний и условно воплотиться в дегенерата с кучей бытовых проблем
Ну разве что если ты уже и так не далеко ушёл. "Всего" триллиона лет должно хватить с избытком, чтобы научиться "выходить из цикла" и свои вселенные клепать с какими угодно параметрами.
Проблема обычно в том, что либо вот такая вот не слишком удобная пила из мультитула, либо каменное рубило. Да, каменное рубило предназначено именно для этой цели и даже слегка эффективнее при навыке, однако желание им пользоваться от этого как-то не прибавляется. А уж если требуется сделать хоть малейший шажочек в сторону от основной задачи, самую чуточку - проклянёшь всё на свете.
Так что нет, выбор у нас не меж "подходящими" и "неподходящими" инструметами, увы, в дело ещё вступает удобство, эргономичность и всё такое прочее.
Слезать с густо присыпаного сахараом яыка высокого уровня на что-то низкое или, хуже, специализированое - очень и очень больно, в большинстве случаев выигрыш того не стоит.
Как же вы достали передёргивать. Не ключи он во дворе нашёл. Он нашёл стикер с паролем (повёрнутый паролем к стене) напротив двери с кодовом замком, зная что за этой дверью помещение, где хранятся деньги и документы сотен людей, доверившихся хозяину помещения. Конечно он может пройти мимо, а кто-то не пройдёт. Это вопрос морали и наличия\отсутствия желания сделать мир лучше, путём предотвращения "плохих" вещей заранее.
" бойтесь людей равнодушных — именно с их молчаливого согласия происходят все самые ужасные преступления на свете"
Последний раз попробую донести это до вас(без особой надежды, правда): в анализе нет и не может быть ничего точного, есть только миллионы зацепок, единицы из которых могут оказаться реальными. Невозможно, абсолютно никак невозможно, быть уверенным, что уязвимость есть, не проверив. Для права есть выбор лишь между разрешить проверять и получать репорты или запретить проверять и получать использование злоумышленниками. Всё. Третьего не дано.
Независимо от того, поняли вы или нет можете не отвечать, продолжать с вами обмен монологами я не намерен.
"Когда убьют тогда и приходите."
Нет, это не только "их проблема", это в первую очередь проблема людей доверившихся этой компании.
Если таких по большей части ошибочных мэйлов с содержанием "возможно нашёл пароль от вашей базы Х в файле У, а может и нет" пару тысяч и ещё сотня тысяч "возможно у вас уязвимость в протоколе Х в процессе У, а может и нет", то никто их читать не будет. Впрочем и писать тоже. Мы в реальном мире живём и о реальных проблемах говорим. "Гениальное и идеальное" абстрактное решение проблемы, которое может работать только в сферичексом вакууме равносильно отсутствию этого решения.
Именно в том и суть проблемы, что может, а по логике и морали не должно. И с этим стоило бы что-то сделать, а не склонив голову делать okay-face.
Значит не представляете. Поясню: "подозрительного" мусора очень и очень много, тысячи и тысячи ложных совпадений. Достаточно для того, чтоб сделать это полностью бессмысленным, т.к. никто не будет смотреть на бесполезный спам.
А как он должен узнать, что это рабочий пароль от базы, не проверяя? На каждый чих писульки слать? Вы вообще представляете хоть приблизительно сколько "подозрительного" мусора можно встретить пока наткнёшься на реальную уязвимость?
Почему товарищ общался через блогера - вопрос, но из текста не следует, что тот блогер сразу уязвимость в паблик раскрыл, написано что передал в компанию.
А как тогда вайтхэтствовать то? Если все законопослушные товарищи в таких случаях не будут проверять наличие уязвимости от греха подальше, то НЕ законопослушным то ничто не помешает. Т.о. все такие уязвимости останутся открытыми ровно до тех пор, пока не произойдёт реальное и полноценное воровство данных. Какая-то хреновая логика, не находите?
Ну на самом деле большая часть ваших придирок именно про спички. Спичка там, спичка тут, в челом конечно пол коробка не достаёт, но каждая в отдельности таки лютая мелочь.:)
> additional specific requirements
Это же откаты?)
А против этого как раз гугл продвигает удостоверение в надёжности браузера(или как то так, забыл как он называется) - по сути только официальные сборки будут объявлены "безопасными" и будет встроена в каждый браузер api для "проверки подлинности". Сайты вроде как могут и не испольовать эту проверку, но все мы понимаем, что если таки это протолкнут - свободному интернету конец.:)
Ну так VSCode редактор "для всего".
Если сложить "отдельные" IDE которые на самом деле срез IDEA под конкретный язык, то получим:
IntelliJ IDEA 26.82%
PyCharm 14.63%
Android Studio 16.82%
WebStorm 7.38%
PhpStorm 6.09%
CLion 4.9%
Goland 3.23%
Rider 5.57%
RubyMine 1.29%
Итого за IDEA 86.73% :)
А какие проблемы, и сейчас так можно делать:
И погнали!:)
На самом деле у тебя и выхода иного нет если нужно использовать старую либу в новом коде, не заводя собственный форк "просто потому что".
Вы же понимаете что это, как и вся статья, призывает писать write-only код? Куча копипаста, куча велосипедов, огромное количество уникального кода и никакой абстракции? В итоге это будет абсолютно неподдерживаямпя лапша, не более того. Если вам надо поменять что-то для одного инпута — это отлично. Для всех? N часов(а позже и дней) обезьяней работы.
Чтоб заллезть в электрон - есть такая штука, можно посмотреть в коде как это делается.
https://github.com/tintinweb/electron-inject
https://github.com/itsKaynine/electron-injector
Когда последний раз пробовал - насмерть залагало из-за того что у меня тысячи и тысячи закладок, в он ВСЕ закладки шерстит. =(
Как и любая иная security\protection фича за последние 10 лет - это анальный зонд.
Ага, конечно, а любопытство, творчество, удовольствие от преодоления сложных интеллектуальных задач и всё такое прочее, что присуще истинно разумным - вы отрицаете?
Даже если вы сами никогда не получали от этого никаких положительных впечатлений, неужто не встречали подобных людей? Или считаете что все притворяются чтобы повысить шанс на продолжение рода? Так вот - ничего подобного.
А аппарат тяжелее воздуха летать не может. Тупиковый путь, ага.
Что мешает переделать на иной материальной базе - непонятно.
Все эти идеи исходят из того, что человеки останутся статичными, такими же полуобезьянами как сейчас, что очень маловероятно. Познание мозга очевидно приведёт не только к "мысленному раю" но и к возможности сверхразума. Причём опять же не как разовая акция повышения интеллекта, а как безграничный рост. Причём достаточно одного не пожелавшего оставаться ничтожеством, чтоб запустить этот процесс. Так что вот вообще не верю в подобные миллионы и миллиарды лет стагнации.
> проще сбросить груз знаний и условно воплотиться в дегенерата с кучей бытовых проблем
Ну разве что если ты уже и так не далеко ушёл. "Всего" триллиона лет должно хватить с избытком, чтобы научиться "выходить из цикла" и свои вселенные клепать с какими угодно параметрами.
Проблема обычно в том, что либо вот такая вот не слишком удобная пила из мультитула, либо каменное рубило. Да, каменное рубило предназначено именно для этой цели и даже слегка эффективнее при навыке, однако желание им пользоваться от этого как-то не прибавляется. А уж если требуется сделать хоть малейший шажочек в сторону от основной задачи, самую чуточку - проклянёшь всё на свете.
Так что нет, выбор у нас не меж "подходящими" и "неподходящими" инструметами, увы, в дело ещё вступает удобство, эргономичность и всё такое прочее.
Слезать с густо присыпаного сахараом яыка высокого уровня на что-то низкое или, хуже, специализированое - очень и очень больно, в большинстве случаев выигрыш того не стоит.