GPT-3 прав насчёт первых двух уязвимостей, однако третья уязвимость ложноположительная — obj.username экранирован, хотя GPT-3 утверждает, что это не так.
Он заглянул уровнем ниже, в escape, проанализировал код этой функции, и пришёл к выводу что она не экранирует username ?
я, обычно, проверяю локально, чтобы приложение было совместимо со всеми последними версиями зависимостей, и только потом деплою
ваше утверждение тоже верно, так как если я заброшу поддержку приложения, и вдруг обновятся зависимости, то всё упадёт, но я говорю про приложение, над которым ещё идёт (или в перспективе будет идти) разработка, и которое не упадёт в паблик для всех
я просто не знаю: вдруг 90% разработчиков реально разрабатывают opensource для всех, тогда да, я не прав, но в большинстве случаев при обновлении зависимостей происходит исправление каких-то глюков этих самых зависимостей
а почему доменное имя роутера будет менее приоритетным, чем полученое от внешнего днс сервера? возможно (я не могу утверждать что так можно сделать) лучше было-бы в роутере вообще это хардкорно сделать, условие вставить: чтобы если %requestedUrl% == %routerDomain% возвращать страницу домена
если заранее использовать какой-то маловероятный домен (например, как я привёл выше, а маловероятный — потому что некоторые компании уже получают именные домены первого уровня), то можно обезопасить себя от возможной утери домена, а в будущем, если денег хватит на регистрацию домена первого уровня в честь себя — рекламировать свою продукцию (напомню, что клиенты, купившие роутер, железно будут перенаправлятся на страницу настроек)
со стороны производителя правильнее было-бы использовать какой-нить несуществующий домен (аля router.tplink)
тогда владельцы роутеров видели-бы настройки, а остальные — 404
по поводу утверждения автора о неактуальности гильош на ценных бумагах википедия говорит «Согласно существующим нормативам, гильоширные элементы должны занимать не менее 70 % площади ценных бумаг»
открыл кошелёк, достал купюру (2 грн), убедился что википедия не врёт
Он заглянул уровнем ниже, в escape, проанализировал код этой функции, и пришёл к выводу что она не экранирует username ?
ваше утверждение тоже верно, так как если я заброшу поддержку приложения, и вдруг обновятся зависимости, то всё упадёт, но я говорю про приложение, над которым ещё идёт (или в перспективе будет идти) разработка, и которое не упадёт в паблик для всех
я просто не знаю: вдруг 90% разработчиков реально разрабатывают opensource для всех, тогда да, я не прав, но в большинстве случаев при обновлении зависимостей происходит исправление каких-то глюков этих самых зависимостей
0. maintenance mode on
1. git pull (svn export)
2. composer update
3. ./yii migrate
4. maintenance mode off
зачастую это происходит по хуку с github'а при апдейте master'а, и выполняется автоматизировано
p.s. если у кого проект не на vcs, то шаг 1 выглядит как выгрузка файлов по ftp
если заранее использовать какой-то маловероятный домен (например, как я привёл выше, а маловероятный — потому что некоторые компании уже получают именные домены первого уровня), то можно обезопасить себя от возможной утери домена, а в будущем, если денег хватит на регистрацию домена первого уровня в честь себя — рекламировать свою продукцию (напомню, что клиенты, купившие роутер, железно будут перенаправлятся на страницу настроек)
тогда владельцы роутеров видели-бы настройки, а остальные — 404
открыл кошелёк, достал купюру (2 грн), убедился что википедия не врёт