Браво! Вечер пятницы, устал, а тут почитал вашу статью и от души посмеялся. Честное слово, тут прекрасно все: от картин, прибитых к стене поверх ковра, до сравнения книги с поделками про Бэтмена. Короче, мне понравилось, главное всерьез к написанному не относиться, ведь это просто троллинг.
В статье ссылаетесь на какое-то конкретное исследование? Интересно было бы посмотреть источники А вообще интересно видеть, что инъекции опять на коне, особенно в БД
В рамках defense in depth можно использовать обфускацию как один из редутов обороны, почему нет. Или где-то в статье сказано, что это единственный способ защитить код приложения? Что в виду-то имели?
Мне кажется, дело в темпе разработки - условный Linux kernel разрабатывался энтузиастами в свободное время, как я понимаю, поэтому они могли себе позволить отвести на разработку больше времени и, соответственно, многословная разработка не была проблемой. В то же время, в разработке для бизнеса сроки сжатые, возможно поэтому есть тенденция писать на более выразительных языках
С автоинкрементыми ID можно какую-то информацию собрать (например, количество сущностей определенного типа) и попытаться найти ошибки доступа, перебирая такие ID
Не используйте Basic Auth. Отсутствие шифрования: Basic Authentication отправляет имя пользователя и пароль в виде открытого текста, что делает их уязвимыми для перехвата.
При чём тут шифрование?(
Сложность управления: Требует хранения паролей в виде открытого текста или обратимого шифрования.
Пароли в открытом виде хранить не требуется Кто знает, что там оригинальный автор ещё посоветует...
Я неверно выразился - на самом деле мобильное приложение ВК (если бы это был flow OAuth) было бы User Agent, а не клиентом. Клиент это сам сервер авторизации ВК, поэтому делегирование тут бессмысленно - сервер ВК не станет же просить доступа у себя самого
@sshikov имеет в виду, что делегирование аутентификации/авторизации не нужно для first-party клиента - OAuth/OpenID придумали для third-party клиентов. Приложение VK это first-party клиент по отношению, поэтому там достаточно эндпойнта с логин-паролем (и 2FA), так что нет смысла делегировать аутентификацию самому себе. YouTube делегирует аутентификацию Гуглу, скорее всего, потому что это банально разные организации и домены. А github кмк просто какую-то фигню сделали
— Видите! — с горечью восклицает Генрих, обращаясь к Ризенфельду. — Поэтому мы и войну проиграли! Во всём виноваты наша расхлябанная интеллигенция и евреи. — И велосипедисты, — добавляет Ризенфельд. — При чем тут велосипедисты? — в свою очередь, удивляется Генрих. — А при чем тут евреи? — отвечает вопросом на вопрос Ризенфельд.
Если у человека есть профильное образование, опыт больше 5 лет и опыт руководства...
...то это ещё ни о чем совершенно не говорит. Могут быть перегибы во время собесов, ведь нет и, наверно, не может быть единых стандартов их проведения, так что каждый их проводит индивидуально. Но статья, по большому счету, о массовом недостатке систематических знаний. Систематические знания в первую очередь можно получить из книг, тут с автором на 100% согласен - из видео, статей и SO можно обычно получить только отдельные факты, совершенно не понимая, как с ними обращаться в сложных ситуациях
При чем тут термин "художник"? Если я выдал полностью сгенеренную статью за свою - я нейропублицист? Может и есть смысл в такой специализации, как генерация изображений, но к художникам отношения это не имеет и поэтому является спекуляцией на творчестве действительных художников
Я не запрещаю порнографию - это сделали за меня. На то, как мне кажется, есть причины. Я отталкиваюсь от того, что отношения между мужчиной и женщиной это норма, все остальное - не более чем отклонение от нормы. Секс - естественное следствие этих отношений, порнография - замена секса, и впоследствии и отношений между мужчиной и женщиной. Без таких отношений общество перестает не только размножаться, но и просто поддерживать численность. Это не что иное как самоубийство на уровне целого общества, ничего хорошего я в этом не вижу равно как в самоубийстве любого рода. Но защитники утверждений и в самоубийствах ничего плохого, наверняка, не увидят, так что я это все пишу в порядке благотворительности. На таких, как вы, зиждится современная пропаганда. Сегодня вы порнографию защищаете, завтра ее одобряют, послезавтра насильно показывают в школах вашим же детям - классическое окно Овертона. То, что науку превратили в новую религию - объяснять абсолютно бесполезно, доказано английскими учёными. Я люблю науку, но сейчас любой бред можно оправдать ее силами - достаточно внести нужную сумму денег, и орды психиатров и всяких эндокринологов будут с пеной у рта доказывать, что смена пола это совершенно безопасная и правильная процедура для любого человека. Здравый смысл - это демагогия, 21 век наконец-то настал
Если "научного" объяснения на Западе не нашли - значит, оно просто никому не выгодно. И я не совсем понимаю, зачем вы защищаете порнографию? Это уже считается чем-то нормальным среди взрослых (не говоря про молодежь)? Люди прибегают к этому средству по разным причинам, но долгое его применение явно не приведет ни к чему хорошему, никаких научных исследований тут не надо - достаточно здравого смысла
Ну первая фраза же, честное слово
Осталось понять, зачем всё это
Браво! Вечер пятницы, устал, а тут почитал вашу статью и от души посмеялся. Честное слово, тут прекрасно все: от картин, прибитых к стене поверх ковра, до сравнения книги с поделками про Бэтмена. Короче, мне понравилось, главное всерьез к написанному не относиться, ведь это просто троллинг.
Так ведь?
В статье ссылаетесь на какое-то конкретное исследование? Интересно было бы посмотреть источники
А вообще интересно видеть, что инъекции опять на коне, особенно в БД
В рамках defense in depth можно использовать обфускацию как один из редутов обороны, почему нет. Или где-то в статье сказано, что это единственный способ защитить код приложения? Что в виду-то имели?
Мне кажется, дело в темпе разработки - условный Linux kernel разрабатывался энтузиастами в свободное время, как я понимаю, поэтому они могли себе позволить отвести на разработку больше времени и, соответственно, многословная разработка не была проблемой. В то же время, в разработке для бизнеса сроки сжатые, возможно поэтому есть тенденция писать на более выразительных языках
С автоинкрементыми ID можно какую-то информацию собрать (например, количество сущностей определенного типа) и попытаться найти ошибки доступа, перебирая такие ID
Читаешь, вроде ничего, а потом:
При чём тут шифрование?(
Пароли в открытом виде хранить не требуется
Кто знает, что там оригинальный автор ещё посоветует...
Я неверно выразился - на самом деле мобильное приложение ВК (если бы это был flow OAuth) было бы User Agent, а не клиентом. Клиент это сам сервер авторизации ВК, поэтому делегирование тут бессмысленно - сервер ВК не станет же просить доступа у себя самого
@sshikov имеет в виду, что делегирование аутентификации/авторизации не нужно для first-party клиента - OAuth/OpenID придумали для third-party клиентов. Приложение VK это first-party клиент по отношению, поэтому там достаточно эндпойнта с логин-паролем (и 2FA), так что нет смысла делегировать аутентификацию самому себе. YouTube делегирует аутентификацию Гуглу, скорее всего, потому что это банально разные организации и домены. А github кмк просто какую-то фигню сделали
Оператор бубны (diamond operator в Java). После этого практически перестал читать переводы технических книг
...то это ещё ни о чем совершенно не говорит. Могут быть перегибы во время собесов, ведь нет и, наверно, не может быть единых стандартов их проведения, так что каждый их проводит индивидуально. Но статья, по большому счету, о массовом недостатке систематических знаний. Систематические знания в первую очередь можно получить из книг, тут с автором на 100% согласен - из видео, статей и SO можно обычно получить только отдельные факты, совершенно не понимая, как с ними обращаться в сложных ситуациях
При чем тут термин "художник"? Если я выдал полностью сгенеренную статью за свою - я нейропублицист? Может и есть смысл в такой специализации, как генерация изображений, но к художникам отношения это не имеет и поэтому является спекуляцией на творчестве действительных художников
Цирк. Можно было начать с чего-то более простого - например, клейма на лоб
Ситуация со string templates напоминает анекдот, где унитаз на потолок приделали. Плохо сделали, Вася, надо переделать
Я не запрещаю порнографию - это сделали за меня. На то, как мне кажется, есть причины. Я отталкиваюсь от того, что отношения между мужчиной и женщиной это норма, все остальное - не более чем отклонение от нормы. Секс - естественное следствие этих отношений, порнография - замена секса, и впоследствии и отношений между мужчиной и женщиной. Без таких отношений общество перестает не только размножаться, но и просто поддерживать численность. Это не что иное как самоубийство на уровне целого общества, ничего хорошего я в этом не вижу равно как в самоубийстве любого рода. Но защитники утверждений и в самоубийствах ничего плохого, наверняка, не увидят, так что я это все пишу в порядке благотворительности.
На таких, как вы, зиждится современная пропаганда. Сегодня вы порнографию защищаете, завтра ее одобряют, послезавтра насильно показывают в школах вашим же детям - классическое окно Овертона.
То, что науку превратили в новую религию - объяснять абсолютно бесполезно, доказано английскими учёными. Я люблю науку, но сейчас любой бред можно оправдать ее силами - достаточно внести нужную сумму денег, и орды психиатров и всяких эндокринологов будут с пеной у рта доказывать, что смена пола это совершенно безопасная и правильная процедура для любого человека.
Здравый смысл - это демагогия, 21 век наконец-то настал
Устроит, если подробно опишите механизм стимуляции к сексу через постоянный просмотр порнографии. Я теперь до утра не усну, слишком интересно
Я секс не упоминал, речь шла только про порнографию
Если "научного" объяснения на Западе не нашли - значит, оно просто никому не выгодно.
И я не совсем понимаю, зачем вы защищаете порнографию? Это уже считается чем-то нормальным среди взрослых (не говоря про молодежь)? Люди прибегают к этому средству по разным причинам, но долгое его применение явно не приведет ни к чему хорошему, никаких научных исследований тут не надо - достаточно здравого смысла