Сторонние исследователи - НЕ ваши сотрудники, Сбер! Писать им, что это "дубль", даже если предположить, что это действительно так - высшее неуважение и глупость, и показывает ваше отношение к людям, как барина к батракам, - неважно, работает он у вас или нет. Человек нашел уязвимость, потратил время, чтобы ее изучить, написал эксплоит для проверки. После этого не пошел куда-то "налево", чтобы продать ее за гораздо большие деньги тому, кому это нужно, а проявил настойчивость и связался с вами. Правила хорошего тона требуют, чтобы вы вознаградили человека, нашедшего уязвимость, если вы не хотите, чтобы в будущем на вас просто забили или хуже того - отправили репорт об уязвимости не к вам в компанию, а туда, где за нее хорошо заплатят. Или не подмочили вашу никудышную репутацию в медиа, как это и произошло в результате. Это элементарные вещи, как 2+2. Яндекс это понимал, вы же просто глупая бюрократическая контора "эффективных менеджеров".
Не пользуюсь никакими услугами любых компаний Сбера, уже давным-давно. Т.к. суть этой компании и ее культура были всегда налицо.
И всё-таки, будучи старшим разработчиком со стажем > 10 лет, я за всю карьеру ещё ни разу не встречал ни одного конкретного прикладного решения, разработанного на "ноу-код" платформах. Кроме формул в Экселе. Менеджеры и продавцы носятся с этими платформами, но хоть кто-нибудь имеет в "продакшене" хоть одно решение, которым стабильно пользуются больше 1 человека? Поделитесь инсайдом, что это за приклад? Пока что у меня стойкое презрение к этим поделкам, к которым каждое новое поколение возвращается, чтобы снова забросить до очередного раза. Но могу быть не прав.
С иронией вспоминаю, когда в новостях про аналогичные законы в РФ, в комментариях только ленивый не изголялся про "русский чебурнет" на фоне прогрессивного запада. Но вот в европах стали тоже гайки закручивать, а в комментариях как-то уныло и пусто. Какие же мы, айтишники, оторванные все же от реального мира. Живём в коконе своих наивных иллюзий. Простите.
Как написать много топорных слов, но так и не рассказать, какие же конкретно уязвимости может находить DAST-сканер. И как конкретно он работает - просто сканирует трафик HTTP от браузеров конечных пользователей, или понимает взаимодействие приложения с СУБД и всякими middleware-сервисами? Напишите еще статью без булшита, пж-та, только пригласите скучных айтишников, понимающих в теме, а не маркетологов. Было бы интересно почитать.
ВТБ один из худших банков в плане сервиса, в том числе цифровых услуг. До этого думал, что хуже Сбербанка ничего нет. Был пару лет назад там зарплатный проект, по настоянию работодателя, просто оплевался. После смены работы не поленился и прикрыл к херам счет в этом недобанке.
Честно говоря, не очень понял, чем Playwright отличается от cypress — не решают ли они очень похожие задачи? Буду рад любым замечаниям. Сейчас решаю для себя, какой подход применить в проекте.
Простите за любопытство, но из статьи мне не очень понятно, как такой гейм-дев окупается? 3 человека делали игру на протяжении года. Я вот прикидываю, на нее ушло не менее 1 млн. только на зарплаты, не считая маркетинга и других расходов. Кто вас «кормил» этот год и как теперь отбить этот вложенный миллион и заработать сверху, имея пока что единичные случаи внутри-игровых покупок?
В остальном было интересно почитать про ваш опыт, спасибо за статью, хочется пожелать удачи вашей игре!
Конкретно у ПВА есть еще один минус — привязка к онлайну.
Вы ошибаетесь. Одна из ключевых идей PWA, в отличие от классических веб-приложений, — обязательная поддержка работоспособности в оффлайне, это явно указано во всех руководствах по созданию PWA. Как минимум, при отсутствии сети, приложение должно нормально стартовать и отстроить пользовательский интерфейс. Как максимум — позволить пользователю нормально работать с ранее закэшированными данными и синхронизировать все изменения позже, когда появится сеть. Для поддержки offline-режима предусмотрен ряд новых технологий вроде service worker'ов и проч.
Сторонние исследователи - НЕ ваши сотрудники, Сбер! Писать им, что это "дубль", даже если предположить, что это действительно так - высшее неуважение и глупость, и показывает ваше отношение к людям, как барина к батракам, - неважно, работает он у вас или нет. Человек нашел уязвимость, потратил время, чтобы ее изучить, написал эксплоит для проверки. После этого не пошел куда-то "налево", чтобы продать ее за гораздо большие деньги тому, кому это нужно, а проявил настойчивость и связался с вами. Правила хорошего тона требуют, чтобы вы вознаградили человека, нашедшего уязвимость, если вы не хотите, чтобы в будущем на вас просто забили или хуже того - отправили репорт об уязвимости не к вам в компанию, а туда, где за нее хорошо заплатят. Или не подмочили вашу никудышную репутацию в медиа, как это и произошло в результате. Это элементарные вещи, как 2+2. Яндекс это понимал, вы же просто глупая бюрократическая контора "эффективных менеджеров".
Не пользуюсь никакими услугами любых компаний Сбера, уже давным-давно. Т.к. суть этой компании и ее культура были всегда налицо.
И всё-таки, будучи старшим разработчиком со стажем > 10 лет, я за всю карьеру ещё ни разу не встречал ни одного конкретного прикладного решения, разработанного на "ноу-код" платформах. Кроме формул в Экселе. Менеджеры и продавцы носятся с этими платформами, но хоть кто-нибудь имеет в "продакшене" хоть одно решение, которым стабильно пользуются больше 1 человека? Поделитесь инсайдом, что это за приклад? Пока что у меня стойкое презрение к этим поделкам, к которым каждое новое поколение возвращается, чтобы снова забросить до очередного раза. Но могу быть не прав.
С иронией вспоминаю, когда в новостях про аналогичные законы в РФ, в комментариях только ленивый не изголялся про "русский чебурнет" на фоне прогрессивного запада. Но вот в европах стали тоже гайки закручивать, а в комментариях как-то уныло и пусто. Какие же мы, айтишники, оторванные все же от реального мира. Живём в коконе своих наивных иллюзий. Простите.
Как написать много топорных слов, но так и не рассказать, какие же конкретно уязвимости может находить DAST-сканер. И как конкретно он работает - просто сканирует трафик HTTP от браузеров конечных пользователей, или понимает взаимодействие приложения с СУБД и всякими middleware-сервисами? Напишите еще статью без булшита, пж-та, только пригласите скучных айтишников, понимающих в теме, а не маркетологов. Было бы интересно почитать.
В остальном было интересно почитать про ваш опыт, спасибо за статью, хочется пожелать удачи вашей игре!
Вы ошибаетесь. Одна из ключевых идей PWA, в отличие от классических веб-приложений, — обязательная поддержка работоспособности в оффлайне, это явно указано во всех руководствах по созданию PWA. Как минимум, при отсутствии сети, приложение должно нормально стартовать и отстроить пользовательский интерфейс. Как максимум — позволить пользователю нормально работать с ранее закэшированными данными и синхронизировать все изменения позже, когда появится сеть. Для поддержки offline-режима предусмотрен ряд новых технологий вроде service worker'ов и проч.