Это их не касается -- сегодняшние проблемы они ж не в рамках той России которая внутри МКАД, а по большей части на перифирии. В основном ПФО накрыло, ну и в ДФО тоже отмечены проблемы у некоторых провайдеров.
Это я конечно понимаю, и как пользователь cf я осознаю такие "риски". Но как обычный пользователь, я немного недоумеваю какого, мать его, хера, я должен искать себе российскую альтернативу genshin impact, например. Да-да, помимо cf полегло очень много чего ещё в российском сегменте...
Такие примеры нужно помечать специальной маркировкой: Парсинг HTML регулярками в продакшене преследуется по закону. Прям как на банкнотах пишут. Одно дело грепнуть регуляркой вывод курла и забыть об этом, а другое дело -- тащить это в продакшен, где это говно может отстрелить яйца в любой момент. Аналогия с банкнотами на мой взгляд допустимая, ведь никто не запрещает сидеть дома и рисовать банкноты, и совсем другое дело когда ты их попытаешься впихнуть в реальную экономику =)
У ЦБ, например, уже лет 15 минимум имеется апи, через которое они отдают курсы валют в XML, который ко всему прочему можно ещё дополнительно провалидировать с помощью XSD.
Так автор, судя по всему, предлагает (самый конец статьи) студентам показывать как парсить HTML регулярками. За такое надо бить по рукам студентов превентивно, а таким вот "учителям" вообще запрещать просвятительскую деятельность :)
И да, я прекрасно понимаю что пример там безобидный, но всё же, такие попытки нужно пресекать ещё до того, как возникло желание применить регулярочки к HTML...)
Я вот переехал в орен в прошлом году, пытался найти тут хоть что-то околоайтишное -- полнейший вакуум. Даже нет каких-то местных чатиков в телеграме, а про оффлайн ивенты я вообще молчу. Но город прекрасный! Мне нравится! :)
Первый раз слышу о том, что имена ящиков описаны в RFC, спасибо, буду знать на будущее! Я действительно пытался найти "безопасный" контакт, и обычно, такое расположено где-то на странице с контактами. Но конкретно у ВТБ -- нет такого контакта там. В форме для связи с банком на сайте тоже не очень то имеется подходящий раздел. Всё же, моя задача как добросовестного и этичного человека, сообщить о проблеме нужным людям, а не штудировать RFC на предмет того, какие же имена ящиков там описаны в стандарте. :)
Я пытался найти подобный ящик, но нигде подобной информации не было. А тот самый емейл -- это был 911@vtb.ru. Туда я собственно и написал сразу с подробным описанием, и именно с ними был весь диалог, про который и сказано в статье.
А у меня наоборот, складывается такое впечатление, что вы чуть ли не непосредственное отношение к этому имеете. Может быть вы даже сможете мне ответить, почему в моём портфеле отображались чужие (ну, т.к. у меня таких не было) активы в аналитике? А вы точно уверены что там из API ничего другого нельзя выдернуть? Почему вы так уверенны в том, что там всё настолько прекрасно? Люди нигде и никогда не ошибаются? Даже в банках?
А с чего вы взяли то, что там нет авторизации? Есть там и авторизация, и двухфакторка, и прочие радости.
И я же сказал про взять слой для работы с API. Да, это по сути REST-клиент, который дергает разные эндпоинты, передаёт туда разные модельки и получает из оттуда. И как удобно изучать всё это? Ковыряясь в devtools или просто взять сорсы, где уже описаны и различные методы в API, и типы данных которые ходят туда-сюда, причем даже с кусочками документации?
Я нигде не говорил что утечка сорсов может (напрямую) повлиять на доступ к каким-то данным, к которым доступа быть не должно. Я говорю лишь о том, что утечку сорсов допускать нельзя, т.к. это открывает кучу различных возможностей, в том числе и не совсем хороших.
Если же взять к примеру брокера от тинкова, то у него есть в открытом виде и документация, и опенсорсные клиенты для работы с их API. А у других брокеров есть? Нету! И для этого наверное есть некоторые причины (ну, например, не хотят показывать говнокод миру, это как одна из причин). И если же у таких вот нежелателей показывать свой код (открывать API для всех) утекают сорсы -- это разве не инцидент? Я что в статье, что в комментариях пытаюсь донести то, что нельзя допускать никаких утечек, пусть даже они (могут быть) безобиды и не несут никакой угрозы.
Вообще, было бы не плохо конечно так сделать, но ведь брокеров много -- кому-то оно может оказаться и не нужным. А для каких-то случаев можно заюзать например открытое API тинькова. Но календарик уже написан, и решает задачи которые нужно было решать мне. Немного про него я говорил тут.
Ну тут в целом можно сразу ужать список. Во первых -- системообразующие банки, их всего 13 штук на текущий момент. Во вторых веб-версия брокерского приложения -- у сбера и альфы я не помню чтобы такое было. Ну а в третьих, единая версия для мобилок и веба -- тут уж совсем список ужимается. Но, как говорится, кто знает -- тот понял, а кто не знает -- тому найти не составит труда)
В самом начале имеется дисклеймер, в котором сказано что я считаю это утечкой, ваше мнение может отличаться от моего.
Например у Телеграм веб весь фронтенд код доступен на GitHub
Разница между данным случаем и любого другого проекта на гитхабе (пусть даже телеграм) в том, что второе -- изначально было опенсорсом. Так и задумывалось авторами.
Даже миницифированный фронтенд без сорс-мапов можно отформатировать
Одно дело разобрать какой-то небольшой кусочек кода, метода, или даже файлика. Другое же дело получить исходники проекта весом в несколько десятков мегабайт (в данном случае ~70MB) вместе с комментариями, ссылками на различные внутренние ресурсы вроде таск трекеров, фигмы, ещё чего-либо.
Как уже выше говорилось, утечка сорсов сама по себе не компрометирует всю систему. Да, узнавший об этом школьник завтра не выпустит свою копию приложения идентичную натуральному. И даже с некоторой вероятностью можно сказать что и из апи там ничего секретного/важного не вытащить (но это уже отдельная история). Но это не значит что нужно так халатно относиться к защите информации. В противном случае можно и дальше допускать утечки различных баз данных мотивируя тем, что всё и так уже утекло до нас, у нас тут (почти) ничего нового нет (это отсылка к комментарию про то, что ПО пишется с использованием библиотек которые и так доступны на гитхабе).
Ну вот в данном примере это приложение брокера. Написано оно на react native и работает на нескольких платформах, включая веб. Из этого можно сделать вывод о том, что ни о какой привязке к сим и быть не может. Функциональность в них идентичная (за исключением некоторых моментов). Что (или кто) мне помешает конкретно в данном случае взять слой для работы с API, написать для него обвязку для прохождения всего потока авторизации и выполнения нужных мне запросов? CORS? А что мне помешает указать правильный Origin?
Тут два варианта:
Всем уже надоело писать одно и то же
Это их не касается -- сегодняшние проблемы они ж не в рамках той России которая внутри МКАД, а по большей части на перифирии. В основном ПФО накрыло, ну и в ДФО тоже отмечены проблемы у некоторых провайдеров.
Ах да, отечественные решения не так давно, как вчера, внезапно решили тоже поломаться на 9 часов аж... :)
Это я конечно понимаю, и как пользователь cf я осознаю такие "риски". Но как обычный пользователь, я немного недоумеваю какого, мать его, хера, я должен искать себе российскую альтернативу genshin impact, например. Да-да, помимо cf полегло очень много чего ещё в российском сегменте...
Мне вот кстати интересно на счёт cloudflare, т.к. самого зацепило... Каким образом они на этот раз будут оправдываться? Ддосят наверное через кф...
Это если по ТК. А если по ГПХ, то не обязан.
Такие примеры нужно помечать специальной маркировкой: Парсинг HTML регулярками в продакшене преследуется по закону. Прям как на банкнотах пишут. Одно дело грепнуть регуляркой вывод курла и забыть об этом, а другое дело -- тащить это в продакшен, где это говно может отстрелить яйца в любой момент.
Аналогия с банкнотами на мой взгляд допустимая, ведь никто не запрещает сидеть дома и рисовать банкноты, и совсем другое дело когда ты их попытаешься впихнуть в реальную экономику =)
У ЦБ, например, уже лет 15 минимум имеется апи, через которое они отдают курсы валют в XML, который ко всему прочему можно ещё дополнительно провалидировать с помощью XSD.
Так автор, судя по всему, предлагает (самый конец статьи) студентам показывать как парсить HTML регулярками.
За такое надо бить по рукам студентов превентивно, а таким вот "учителям" вообще запрещать просвятительскую деятельность :)
И да, я прекрасно понимаю что пример там безобидный, но всё же, такие попытки нужно пресекать ещё до того, как возникло желание применить регулярочки к HTML...)
А почему никто ещё не принёс?
https://stackoverflow.com/a/1732454/5888698
Оххх, аж олдскулы свело... :)
Я не настоящий программист, но что там не так с vue3? Вроде бы всё собирается и работает без каких либо проблем.
Я вот переехал в орен в прошлом году, пытался найти тут хоть что-то околоайтишное -- полнейший вакуум.
Даже нет каких-то местных чатиков в телеграме, а про оффлайн ивенты я вообще молчу.
Но город прекрасный! Мне нравится! :)
Первый раз слышу о том, что имена ящиков описаны в RFC, спасибо, буду знать на будущее!
Я действительно пытался найти "безопасный" контакт, и обычно, такое расположено где-то на странице с контактами. Но конкретно у ВТБ -- нет такого контакта там.
В форме для связи с банком на сайте тоже не очень то имеется подходящий раздел.
Всё же, моя задача как добросовестного и этичного человека, сообщить о проблеме нужным людям, а не штудировать RFC на предмет того, какие же имена ящиков там описаны в стандарте. :)
Я пытался найти подобный ящик, но нигде подобной информации не было. А тот самый емейл -- это был 911@vtb.ru.
Туда я собственно и написал сразу с подробным описанием, и именно с ними был весь диалог, про который и сказано в статье.
А у меня наоборот, складывается такое впечатление, что вы чуть ли не непосредственное отношение к этому имеете.
Может быть вы даже сможете мне ответить, почему в моём портфеле отображались чужие (ну, т.к. у меня таких не было) активы в аналитике? А вы точно уверены что там из API ничего другого нельзя выдернуть?
Почему вы так уверенны в том, что там всё настолько прекрасно? Люди нигде и никогда не ошибаются? Даже в банках?
А с чего вы взяли то, что там нет авторизации?
Есть там и авторизация, и двухфакторка, и прочие радости.
И я же сказал про взять слой для работы с API. Да, это по сути REST-клиент, который дергает разные эндпоинты, передаёт туда разные модельки и получает из оттуда. И как удобно изучать всё это? Ковыряясь в devtools или просто взять сорсы, где уже описаны и различные методы в API, и типы данных которые ходят туда-сюда, причем даже с кусочками документации?
Я нигде не говорил что утечка сорсов может (напрямую) повлиять на доступ к каким-то данным, к которым доступа быть не должно. Я говорю лишь о том, что утечку сорсов допускать нельзя, т.к. это открывает кучу различных возможностей, в том числе и не совсем хороших.
Если же взять к примеру брокера от тинкова, то у него есть в открытом виде и документация, и опенсорсные клиенты для работы с их API. А у других брокеров есть? Нету! И для этого наверное есть некоторые причины (ну, например, не хотят показывать говнокод миру, это как одна из причин). И если же у таких вот нежелателей показывать свой код (открывать API для всех) утекают сорсы -- это разве не инцидент?
Я что в статье, что в комментариях пытаюсь донести то, что нельзя допускать никаких утечек, пусть даже они (могут быть) безобиды и не несут никакой угрозы.
Вообще, было бы не плохо конечно так сделать, но ведь брокеров много -- кому-то оно может оказаться и не нужным. А для каких-то случаев можно заюзать например открытое API тинькова. Но календарик уже написан, и решает задачи которые нужно было решать мне.
Немного про него я говорил тут.
Ну тут в целом можно сразу ужать список. Во первых -- системообразующие банки, их всего 13 штук на текущий момент. Во вторых веб-версия брокерского приложения -- у сбера и альфы я не помню чтобы такое было. Ну а в третьих, единая версия для мобилок и веба -- тут уж совсем список ужимается. Но, как говорится, кто знает -- тот понял, а кто не знает -- тому найти не составит труда)
В самом начале имеется дисклеймер, в котором сказано что я считаю это утечкой, ваше мнение может отличаться от моего.
Разница между данным случаем и любого другого проекта на гитхабе (пусть даже телеграм) в том, что второе -- изначально было опенсорсом. Так и задумывалось авторами.
Одно дело разобрать какой-то небольшой кусочек кода, метода, или даже файлика. Другое же дело получить исходники проекта весом в несколько десятков мегабайт (в данном случае ~70MB) вместе с комментариями, ссылками на различные внутренние ресурсы вроде таск трекеров, фигмы, ещё чего-либо.
Как уже выше говорилось, утечка сорсов сама по себе не компрометирует всю систему. Да, узнавший об этом школьник завтра не выпустит свою копию приложения идентичную натуральному. И даже с некоторой вероятностью можно сказать что и из апи там ничего секретного/важного не вытащить (но это уже отдельная история). Но это не значит что нужно так халатно относиться к защите информации.
В противном случае можно и дальше допускать утечки различных баз данных мотивируя тем, что всё и так уже утекло до нас, у нас тут (почти) ничего нового нет (это отсылка к комментарию про то, что ПО пишется с использованием библиотек которые и так доступны на гитхабе).
Ну вот в данном примере это приложение брокера. Написано оно на react native и работает на нескольких платформах, включая веб. Из этого можно сделать вывод о том, что ни о какой привязке к сим и быть не может.
Функциональность в них идентичная (за исключением некоторых моментов).
Что (или кто) мне помешает конкретно в данном случае взять слой для работы с API, написать для него обвязку для прохождения всего потока авторизации и выполнения нужных мне запросов? CORS? А что мне помешает указать правильный Origin?