Ilya Rusanen @finnishprince
Главред «Хакера», разработчик, security-энтузиаст
Information
- Rating
- Does not participate
- Location
- Москва, Москва и Московская обл., Россия
- Date of birth
- Registered
- Activity
Главред «Хакера», разработчик, security-энтузиаст
Помню легендарный Scanmail! Сейчас подобные штуки можно сделать в Notion, Asana, а тогда софта, учитывающего редакционную специфику просто не было. С номерами, выпусками, реляциями, ответственными, уведомлениями, фильтрами.
Именно по образу Scanmail создавался весь будущий инфровый софт «Хакера».
По форуму: как только так и сразу, после нового сайта. Мы выкатимся сразу с новым движком и дизом. Сейчас допиливаем верстку и тюним кеши. Текущая CMS — это тихий ужас, полностью согласен, но, увы, были причины сделать так в свое время. Все понимаем, и работаем в этом направлении. Ждать осталось совсем недолго)
А если без шуток, все от материала зависит. Это интервью с веселым и «живым» человеком, делать из его речи нудятину было бы просто кощунственно, поэтому постарались передать.
Самый простой способ засекьюрить инпут в типовом проекте (QIWI — не типовой проект!) — просто централизовать ввод, и прямо на уровне middleware проверять инпут по базе регулярок. Чуть что — бросать 400 код, и привет. Так, чтобы до типа-контроллера не долетало. Это если у нас есть какое-то подобие MVC и фреймворка, но без них тоже написать несложно)
Вот эти телодвижения выше круто работают, когда у тебя есть время и возможность делать хотя бы базовую секурити. А когда «надо срочно добавить поле «Описание» на сайт и еще там в корзине верстка разъезжается», вот тут не работает. Задача сделать быстро и чтобы работало. У типового программиста элементарно нет времени (и привычки!) думать о каком-то инпуте. Разве что, фреймворк подумает.
Я не говорю, что это нормальный и правильный подход, я говорю, что в небольших проектах так бывает. А небольшой проект !== нет денег.
Когда у тебя небольшой проект, одна точка входа и глобальный парсер инпута, несложно написать регулярки на вход. Но со временем появляются костыли, быстрофиксы, новые параметры, и где-то все равно появляется нефильтрованный ввод.
Это, конечно, к организации кода вопрос, но в жизни часто бывает как-то так :).
Наоборот. Ты — специалист, если можешь простым языком с общепринятым сленгом объяснить сложные (и порой, скучные) вещи людям.
Хотя, надо сказать что недавно в рамках дружеского пентеста, удалось положить на 2 часа достаточно крупный блогосервис простой многопоточной питоньей программой, в 300 тредов запрашивающей список всех пользователей сервиса.