Суть наверное в том, что когда вычислительные мощности крайне ограничены — разработчики стремятся оптимизировать работу продукта. А когда мощностей в избытке, то нет нужды тратить ресурсы на оптимизацию — и так сойдет.
Какое отношение данный факт имеет к предмету обсуждения?
И кстати, в новом ядре стараются уйти от этой позорной практики, медленно, но все же пытаются. Так что «поощряет» — не совсем верное определение, скорее «поддерживает по инерции».
Таким образом, из Вашей статьи и дальнейшего обсуждения следует:
коробочные решения и системные компоненты защищены и уязвимость в них не проявляется
API Битрикс позволяет разработчикам совершать ошибки при разработке собственных решений и компонентов
Вывод: в API Битрикс существует уязвимость (уязвимость типа «недалекий разработчик», видимо)
Что интересно — криворукие разработчики встречаются на любой платформе, так почему именно Битрикс? Возможно потому, что просто очередную статью о фильтрации данных форм никто бы и читать не стал. Впрочем, как Вы верно заметили, это мое мнение, как и все, написанное мной ранее — нет нужды лишний раз это подчеркивать. ;)
Т.е. «интеграторы в полном понимании этого слова» изобретают велосипеды вместо того, чтобы пользоваться готовыми решениями, упрощающими разработку, правильно я Вас понимаю? Теперь понятно, откуда ноги растут у расценок тру-интеграторов )))
Но речь не о том, что понимать под «интегратором», а что под «т.н. веб-студиями» (но попытку подмены тезиса я оценил, Вы молодец )), а в том, что в стандартных компонентах данные уже фильтруются, и уязвимости нет — проблема автором высосана из пальца. Ну а фильтровать данные в собственном решении Вам никто не запрещает
В апреле какого года? Этого? Тогда Вам будет интересно узнать, что файл, часть кода которого я предоставил на скриншоте датирован 22.10.2014. Сюрприз! ;)
Подавляющее число интеграторов Битрикс используют стандартные компоненты, в данном случае компонент регистрации. Вот что навскидку нашел в коде компонента:http://prnt.sc/c5x1x6 — уж не то ли это преобразование спецсимволов в HTML-сущности, о которых Вы пишете в статье? ;)
Сдается мне, кто-то захотел срубить кармы на врожденной неприязни у хабраюзеров к Битриксу ))
Вопрос автору: на каком решении Вы тестировали данную уязвимость? Попробовал в Битрикс-лаборатории, у поля «NAME» у пользователя ограничение в 50 символов — Ваш HTML в принципе режется при добавлении (как Вы тестировали?). Но даже если его сократить, то все равно изображение упорно отказывается отображаться ))
У Джошуа Фоера в книге «Эйнштейн гуляет по Луне» была история о мужчине, который из-за травмы мозга «обнулялся» (до состояния, предшествовавшего травме) раз в несколько часов. Судя по всему, жить так — ужасно. Но сам мужчина не может этого осознать, и от этого становится еще ужаснее.
Мне так нравится, как Вы сами задали вопрос (про разницу в мотивации и дозволенности властей) — сами на него ответили («информационный фон так говорит»), а потом стали рассказывать про то, как этот «информационный фон» формируется в США. Феноменальное умение вести дискуссию, браво!
И кстати, в новом ядре стараются уйти от этой позорной практики, медленно, но все же пытаются. Так что «поощряет» — не совсем верное определение, скорее «поддерживает по инерции».
Что интересно — криворукие разработчики встречаются на любой платформе, так почему именно Битрикс? Возможно потому, что просто очередную статью о фильтрации данных форм никто бы и читать не стал. Впрочем, как Вы верно заметили, это мое мнение, как и все, написанное мной ранее — нет нужды лишний раз это подчеркивать. ;)
Но речь не о том, что понимать под «интегратором», а что под «т.н. веб-студиями» (но попытку подмены тезиса я оценил, Вы молодец )), а в том, что в стандартных компонентах данные уже фильтруются, и уязвимости нет — проблема автором высосана из пальца. Ну а фильтровать данные в собственном решении Вам никто не запрещает
Сдается мне, кто-то захотел срубить кармы на врожденной неприязни у хабраюзеров к Битриксу ))