Fórum Root.cz

Ostatní => Odkladiště => Téma založeno: mikesznovu 02. 05. 2021, 16:57:13

Název: Proč se webové stránky napojují na localhost
Přispěvatel: mikesznovu 02. 05. 2021, 16:57:13
Je nějaký důvod, proč internetové stránky vytváří request na websocket localhostu na portech 3389,5900 a 63(3)34?
Není naopak z hlediska bezpečnosti alarmující, když jde o internetové bankovnictví?

websocket wss://127.0.0.1:3389,5900,63334

Porty(první dva) by měly odpovídat RDP a VNC. Napadá mě vysvětlení, nějaká zpětná kontrola vzdáleného ovládání  (ale to by fungovalo jen v případě, že server běží na tomto pc, pokud by - obráceně -  pc byl připojen k vzdálenému serveru, tak se to takhle nezjistí). A následně zjištění - timeout: nic neběží, připojování:poslouchá  a je TEORETICKY možné, že by zrovna náhodou někdo mohl být připojen.. Je to tak??
Název: Re:Proč se webové stránky napojují na websocket wss://127.0.0.1:3389,5900,63334
Přispěvatel: Filip Jirsák 02. 05. 2021, 17:17:37
Aby se k tomu dalo něco napsat, musel byste nejprve uvést, o jaké internetové stránky. Pak by se pravděpodobně ukázalo, že se nikomu jinému nic takového neděje a problém by byl vyřešen.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Lukas1500 03. 05. 2021, 10:49:58
Není naopak z hlediska bezpečnosti alarmující, když jde o internetové bankovnictví?
Možná falešná stopa: nemůže to dělat antivirový program ve snaze "chránit" přístup do bankovnictví?
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: lajdak 03. 05. 2021, 22:18:47
Všimol som si podobné správanie pri Georgovi od SLSP. Teórie o tom, že sa jedná o antivírus alebo nejaký service worker neprejdú. Správa sa to rovnako aj vo Windowse aj Linuxe, aj čerstvučkom FF profile.

Predpokladám, že je to snaha o nejaký "security check" zo strany banky. Niektoré opakované akcie v bankingu po čase prestanú vyžadovať 2FA overenie, ak ich banka vyhodnotí ako bezpečné. Ale to je len môj dohad z doterajších pozorovaní.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: mikesznovu 04. 05. 2021, 09:30:10

Možná falešná stopa: nemůže to dělat antivirový program ve snaze "chránit" přístup do bankovnictví?

Kdepak, temito kramy si nenech@m rozvracet pocitac.


Ale zni to jako silena idea, ale ze by antivir delal MITM a injektoval do stranky kod k otevreni techto socketu, a nebo MITB pres nejake rozsireni, oboji je bezne(hlidac zavadnych linku co to ale pak bonzuje spolecnosti ktera ma balkanske standardy ) ve jmenu bezpecnosti: protoze se snazime ti lamo zabezpecit prohlizec, tak tok to udelame tak ze ti do Os/browseru udelame jeste vetsi bezpexnostni diru nez tam byla driv/bez toho, ale tamto uz mas opraveny
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: --ps-- 04. 05. 2021, 10:19:09
Je nějaký důvod, proč internetové stránky vytváří request na websocket localhostu na portech 3389,5900 a 63(3)34?

websocket wss://127.0.0.1:3389,5900,63334


Není nic snadnějšího, než si na tu adresu pověsit vlastní websocket server a zjistit, o co se to pokouší. Python+Twisted+Autobahn, záležitost na ~30 řádků.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: mikesznovu 04. 05. 2021, 11:02:50
Ano tim zjistim co delaji ale ne proc. A obavam se zdrojak IB bude nejaky sileny obfuskovany kod, jak byva zvykem u malware, anti-bot ochran atd
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: L.. 04. 05. 2021, 11:24:14
A prozradíš nám tedy, o jaké utajené IB se jedná, abychom si to mohli taky zkusit a přispět k vyřešení problému? Nebo jsi tohle vlákno založil jen abys mohl nadávat?
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: mikesznovu 04. 05. 2021, 13:13:02
https: https://ib.moneta.cz
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: stanislav.elbl 04. 05. 2021, 13:39:27
Nemůže to být například pro ověření nějakým hardwarem (čtečkou karty a podobně)?
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Petr Krčmář 04. 05. 2021, 13:43:51
Potvrzuji, že mi to tam taky něco poslalo. Poslouchal jsem pomocí netcat:

Kód: [Vybrat]
netcat -l -p 3389
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: L.. 04. 05. 2021, 14:09:52
https: https://ib.moneta.cz

Díky. V DevTools v prohlížeči nic nevidím. Pokud to tedy má dělat už na té úvodní stránce (účet tam nemám).

Zajímavé je, že tam mají aktivní debugging Reduxu :-)
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Petr Krčmář 04. 05. 2021, 14:20:06
Mně se v tom netcatu objevila nějaká binární data už na titulní stránce. Nemusel jsem dělat nic, taky tam nemám účet.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: bmn 04. 05. 2021, 14:54:20
Mozno je to ochrana pred takymito podvodmi https://www.youtube.com/watch?v=X4PllvUowaQ
Kedy sa podvodnik pripoji na vase PC cez VNC, teamviewer a oberie vas o peniaze v internet bankingu. Mozno je to kontrola ze ak bezi remote desktop tak to flagne ako rizikovu trasakciu.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: nehalem 04. 05. 2021, 15:19:05
Mna celkom sokuje kolko JS/TS bordelu to nataha do prehliadaca a to TS sa tam predpokladam este musi prelozit, alebo to uz prehliadace vedia nativne? Nepaci sa mi to kde sa web dostal za poslednych cca 10 rokov.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 04. 05. 2021, 15:26:34
Mna celkom sokuje kolko JS/TS bordelu to nataha do prehliadaca a to TS sa tam predpokladam este musi prelozit, alebo to uz prehliadace vedia nativne? Nepaci sa mi to kde sa web dostal za poslednych cca 10 rokov.
Ne, prohlížeče TypeScript nativně neumí a žádný TypeScript se do nich nenahrává. TypeScript se v okamžiku buildu aplikace přeloží na JavaScript a prohlížeč pak pracuje čistě s JavaScriptem.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: nehalem 04. 05. 2021, 15:39:55
No tvl, ono to tam nataha cely node_modules, babel ktory to asi preklada rovno na stroji klienta, neni to ani minifikovane. Frontendaci, je toto normal ako sa dnes pisu web appky, ci to je zas specificke riesenie pre specificky CSR trh (citaj, chceme frontendaka s 10 rokov skusenosti, musi vediet vsetko o vsetkom, mzda 70k v hrubom) alebo mne brutalne usiel vlak a dnes uz sa na nejaku co najmensiu velkost stranky nehraje. To mi poser kozy fakt, to som necakal, ze toto uvidim, naposledy ked som to skusal, tak transpilacia TS->JS v prehliadaci bolo len na ucel vyvoja ale nie na produkcne nasadenie.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: nehalem 04. 05. 2021, 15:40:34
Mna celkom sokuje kolko JS/TS bordelu to nataha do prehliadaca a to TS sa tam predpokladam este musi prelozit, alebo to uz prehliadace vedia nativne? Nepaci sa mi to kde sa web dostal za poslednych cca 10 rokov.
Ne, prohlížeče TypeScript nativně neumí a žádný TypeScript se do nich nenahrává. TypeScript se v okamžiku buildu aplikace přeloží na JavaScript a prohlížeč pak pracuje čistě s JavaScriptem.
Tak si pozri stranku tej Monety, tam mas komplet TS zdrojaky este aj s node_modules.
EDIT: pozeram to cez Firefox na MacOs, len pre istotu keby to mali urobene platform specific.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 04. 05. 2021, 15:51:22
No tvl, ono to tam nataha cely node_modules, babel ktory to asi preklada rovno na stroji klienta, neni to ani minifikovane. Frontendaci, je toto normal ako sa dnes pisu web appky, ci to je zas specificke riesenie pre specificky CSR trh (citaj, chceme frontendaka s 10 rokov skusenosti, musi vediet vsetko o vsetkom, mzda 70k v hrubom) alebo mne brutalne usiel vlak a dnes uz sa na nejaku co najmensiu velkost stranky nehraje. To mi poser kozy fakt, to som necakal, ze toto uvidim, naposledy ked som to skusal, tak transpilacia TS->JS v prehliadaci bolo len na ucel vyvoja ale nie na produkcne nasadenie.

Tak si pozri stranku tej Monety, tam mas komplet TS zdrojaky este aj s node_modules.

Ano, brutálně vám ujel vlak. To, že si při použití vývojářských nástrojů prohlížeč dotáhne zdrojové soubory, aby programátor nemusel procházet mimifikovaný kód, je naprosto normální. Na produkci se někdy tyto soubory nedávají, ale ničemu tam nevadí, protože se do prohlížeče nestáhnou do té doby, než někdo otevře vývojářské nástroje a nezačne zkoumat zdrojový kód. A když zdrojový kód zkoumat začne, je za ty zdrojové soubory rád.

Takže ještě jednou. Součástí stránky nejsou TS zdrojáky, prohlížeč nic netranspiluje.

Pokud obsahu záložky Sources v DevTools nerozumíte, tak na ni nelezte – pak vás nebude děsit. Co prohlížeč stáhl ze serveru zjistíte v záložce Networks.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: nehalem 04. 05. 2021, 15:52:51
No tvl, ono to tam nataha cely node_modules, babel ktory to asi preklada rovno na stroji klienta, neni to ani minifikovane. Frontendaci, je toto normal ako sa dnes pisu web appky, ci to je zas specificke riesenie pre specificky CSR trh (citaj, chceme frontendaka s 10 rokov skusenosti, musi vediet vsetko o vsetkom, mzda 70k v hrubom) alebo mne brutalne usiel vlak a dnes uz sa na nejaku co najmensiu velkost stranky nehraje. To mi poser kozy fakt, to som necakal, ze toto uvidim, naposledy ked som to skusal, tak transpilacia TS->JS v prehliadaci bolo len na ucel vyvoja ale nie na produkcne nasadenie.

Tak si pozri stranku tej Monety, tam mas komplet TS zdrojaky este aj s node_modules.

Ano, brutálně vám ujel vlak. To, že si při použití vývojářských nástrojů prohlížeč dotáhne zdrojové soubory, aby programátor nemusel procházet mimifikovaný kód, je naprosto normální. Na produkci se někdy tyto soubory nedávají, ale ničemu tam nevadí, protože se do prohlížeče nestáhnou do té doby, než někdo otevře vývojářské nástroje a nezačne zkoumat zdrojový kód. A když zdrojový kód zkoumat začne, je za ty zdrojové soubory rád.

Takže ještě jednou. Součástí stránky nejsou TS zdrojáky, prohlížeč nic netranspiluje.

Pokud obsahu záložky Sources v DevTools nerozumíte, tak na ni nelezte – pak vás nebude děsit. Co prohlížeč stáhl ze serveru zjistíte v záložce Networks.
Vdaka za objasnenie, som rad, ze sa to netaha vzdy. Frontendu sa vyhybam ako cert krizu a do toho vlaku uz nemienim nikdy nastupit, tak nech si ide kam chce.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Tomáš Procházka 04. 05. 2021, 16:00:40
nemuze to byt pokus o pripojeni se na dev server kvuli hot reloadu?
Vychazim z toho ze posilaji i zdrojaky, ze tam zapomeli dev flag

https://ib.moneta.cz/manifest.json
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: L.. 04. 05. 2021, 16:39:14
No vypadá to, že ten deployment mají poněkud rozverný :-)

Jinak, že je to pokus o spojení na nějaký DEV nástroj bych vzhledem k tomu, že tam mají zdrojáky a ladění Reduxu klidně věřil.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 04. 05. 2021, 16:49:53
nemuze to byt pokus o pripojeni se na dev server kvuli hot reloadu?
Vychazim z toho ze posilaji i zdrojaky, ze tam zapomeli dev flag
Jinak, že je to pokus o spojení na nějaký DEV nástroj bych vzhledem k tomu, že tam mají zdrojáky a ladění Reduxu klidně věřil.
Ano, pokus o připojení na vývojový server mi připadá jako pravděpodobné vysvětlení.

Ten vývojový režim ani nemusí být zapomenutý. Když nějaký integrační protikus nemá pořádné testovací prostředí, může být nejrychlejší nějakou věc odkrokovat na produkčním prostředí. Je to frontend, takže tam nemůžete při ladění nic zkazit, takže ničemu nevadí, když se na chvíli zapne ladicí režim.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: hurvajs spejbl 04. 05. 2021, 17:11:57
Ano, brutálně vám ujel vlak. To, že si při použití vývojářských nástrojů prohlížeč dotáhne zdrojové soubory, aby programátor nemusel procházet mimifikovaný kód, je naprosto normální. Na produkci se někdy tyto soubory nedávají, ale ničemu tam nevadí, protože se do prohlížeče nestáhnou do té doby, než někdo otevře vývojářské nástroje a nezačne zkoumat zdrojový kód. A když zdrojový kód zkoumat začne, je za ty zdrojové soubory rád.

Takže ještě jednou. Součástí stránky nejsou TS zdrojáky, prohlížeč nic netranspiluje.

Pokud obsahu záložky Sources v DevTools nerozumíte, tak na ni nelezte – pak vás nebude děsit. Co prohlížeč stáhl ze serveru zjistíte v záložce Networks.
sorry jako, ale dát source mapy k souborům, může dát jen amatér... To na produkci opravdu, ale opravdu nepatří. Ale samozřejmě to 95% firem nedělá, neumí zkonfigurovat webpack, vytvoří aplikaci jen z CRA a tím mají základ vyřešen.

Vývoj je samozřejmě něco jiného, tam je to částečně chtěné.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 04. 05. 2021, 17:33:36
To na produkci opravdu, ale opravdu nepatří.
Vadí to snad něčemu?

Vývoj je samozřejmě něco jiného, tam je to částečně chtěné.
Ne, tam je to úplně chtěné. Kdyby to nebylo chtěné, tak by nikdo pracně nevymýslel, jak to udělat, a pak by to všechny nástroje pracně neimplementovaly.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: nehalem 04. 05. 2021, 18:27:25
To na produkci opravdu, ale opravdu nepatří.
Vadí to snad něčemu?

Vývoj je samozřejmě něco jiného, tam je to částečně chtěné.
Ne, tam je to úplně chtěné. Kdyby to nebylo chtěné, tak by nikdo pracně nevymýslel, jak to udělat, a pak by to všechny nástroje pracně neimplementovaly.
Pozrel som si to aj na inych strankach a nikde som nenasiel komplet zdrojaky v citatelnom formate ako na tej Monete. Zacinam trochu pochybovat o vasom predoslom tvrdeni, ze to je chcene a je to tak dobre. Uvedomujete si, ze toto nie je vyvojova verzia stranky, ale produkcna? Len aby nedoslo k nedorozumeniu. Pri vyvoji chapem, ze je dobre to vidiet v prehliadaci, ale v produkcii? Keby som to robil ja, tak urcite by som nechcel aby kazdy mohol vidiet komplet zdrojovy kod web aplikacie. Ked sa pozriete na hocijaku inu stranku tak je to aspon minifikovane a obfuskovane. Je tu niekto iny kto robi frontend aby sa k tomu vyjadril, ja frontendu nerozumiem, no mne sa to skutocne nepozdava ako to ma Moneta urobene.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 04. 05. 2021, 18:50:26
Pozrel som si to aj na inych strankach a nikde som nenasiel komplet zdrojaky v citatelnom formate ako na tej Monete. Zacinam trochu pochybovat o vasom predoslom tvrdeni, ze to je chcene a je to tak dobre. Uvedomujete si, ze toto nie je vyvojova verzia stranky, ale produkcna? Len aby nedoslo k nedorozumeniu. Pri vyvoji chapem, ze je dobre to vidiet v prehliadaci, ale v produkcii? Keby som to robil ja, tak urcite by som nechcel aby kazdy mohol vidiet komplet zdrojovy kod web aplikacie. Ked sa pozriete na hocijaku inu stranku tak je to aspon minifikovane a obfuskovane. Je tu niekto iny kto robi frontend aby sa k tomu vyjadril, ja frontendu nerozumiem, no mne sa to skutocne nepozdava ako to ma Moneta urobene.
Já jsem psal, že si dovedu představit případy, kdy mít na produkci přístup k čitelným zdrojákům je chtěné. Nepsal jsem, že je to chtěné všude a vždy. Také jsem psal, že to ničemu nevadí, když tam ty čitelné zdrojové kódy jsou. Vy máte nějaký argument, proč by to mělo vadit?
JavaScriptové soubory v IB Monety jsou minifikované. Obfuskace jako taková se dnes nedělá, minifikace kód znečitelňuje dostatečně (včetně zkracování názvů). Navíc už dnes vývojáři považují za normální, že je vidět zdrojový kód, takže nemají pocit, že musí chránit ty úžasnosti, co napsali, aby to někdo náhodou neukradl.

Zatím jste nepřišel s žádným argumentem, který by vyvracel má tvrzení. Jenom máte pořád zmatek v tom, co je normální součást stránky a co jsou pomocné soubory stažené na základě SourceMap do vývojářských nástrojů.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: L.. 04. 05. 2021, 19:28:29
Ten vývojový režim ani nemusí být zapomenutý. Když nějaký integrační protikus nemá pořádné testovací prostředí, může být nejrychlejší nějakou věc odkrokovat na produkčním prostředí.

V nějakém startupu co si bastlí dva kluci v garáži ano. V bance fakt ne. Jsem fakt rád, že v Monetě nemám ani korunu.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 04. 05. 2021, 19:37:57
V nějakém startupu co si bastlí dva kluci v garáži ano. V bance fakt ne. Jsem fakt rád, že v Monetě nemám ani korunu.
Vidím, že se tu sešlo dost lidí se silným názorem, že mít zdrojové soubory nahrané na produkčním serveru je špatně. Škoda že se zatím nenašel nikdo, kdo by ten názor také podpořil nějakým argumentem, čemu to vadí.

Ano, je to neobvyklé. Ale pořád nikdo nenapsal, proč to vadí.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: nehalem 04. 05. 2021, 20:23:30
Popravde vec ktora mne skutocne vadi je, ze dnes sa uz weby vobec nepisu aby isli uplne bez JS. Uz to tu pisem po neviem kolky krat, web sa vydal cestou ktora sa mi nepaci. Ak je normalne mat pristupne zdrojaky v cistej, citatelnej podobe OK, koniec-koncov aj minifikovany kod sa da deminifikovat a citat relativne normalne a tym zistit ako cely ten kram funguje do posledneho detailu. Moj argument co sa mi na tom nepozdava je, ze davam potencialnemu utocnikovi na zlatom podnose komplet kod aj s komentarmi, ta obfuskacia je aspon malicka prekazka, viem, ze to nie je ziadne riesenie pripadnych bezpecnostnych hrozieb, ale proste sa mi to nepaci, dat to len tak celemu svetu uplne komplet.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Logik 04. 05. 2021, 20:42:28
nealem:
Deminifikovat to jde. Ale názvy proměnných jsou nemalou součástí dokumentace, a ty neobnovíš. Takže jde o poskytnutí dokumentace potenciálnímu útočníkovi. Ale to v podstatě píšeš.

Od opensource se to přitom liší tím, že u opensource chyby hledají nejen útočníci, ale i uživatelé. Tady žádný "whitehackeři" nejsou, takže to z bezpečnostního hlediska spojuje nevýhody open a closed-source. Samozřejmě, security by obscurity je špatně, na druhou stranu, člověk také nedává do výlohy zlodějům plánek, kde má jaké bezpečnostní kamery, protože je přesvědčenej, že svůj objekt zabezpečil dobře. Každá věc, která útok ztěžuje, je dobře.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 04. 05. 2021, 20:56:38
Popravde vec ktora mne skutocne vadi je, ze dnes sa uz weby vobec nepisu aby isli uplne bez JS.
Uživatelé chtějí interaktivní aplikace, nechtějí čekat, až se vše otočí přes server. Takže ta webová aplikace závislá na JavaScriptu je potřeba. No a vedle toho by musela vzniknout druhá aplikace, která by fungovala bez JavaScriptu. Ale proč? Množství uživatelů by bylo minimální, pokud by se vůbec nějací našli. A smysl to nedává žádný.

davam potencialnemu utocnikovi na zlatom podnose komplet kod aj s komentarmi, ta obfuskacia je aspon malicka prekazka
Veškeré bezpečnostně citlivé operace se musí dělat na backendu. Pokud by bylo něco bezpečnostně citlivého na frontendu, většinou nebude k odhalení potřeba zkoumat minifikovaný kód – bude stačit podívat se na požadavky, které prohlížeč odesílá, případně se podívat do DOMu v prohlížeči. Bezpečnost založená na frontendu by byla takový průšvih, že nějaká minifikace je absolutně bezvýznamný detail.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: L.. 04. 05. 2021, 21:29:10
Ano, je to neobvyklé. Ale pořád nikdo nenapsal, proč to vadí.

Bez urážky, teď mi trochu připomínáte juniora, co se mě ptá proč vadí, že jednu proměnnou pojmenoval obvod_kruhu, druhou ObjemValce a treti povrchKoule.

Jednak to trochu zjednodušuje hledání XSS zranitelností, ale hlavně to vypovídá o (nízké) profesionální úrovni programátorů Monety. Jsou v zásadě dvě možnosti, proč to tak je:

1) Je to přehlédnutí. Což by znamenalo, že nerozumí technologii, netuší, co dělají a to je u bankovních progamátorů na pováženou.

2) Je to schválně, protože běžně ladí na produkci. Což znamená, že nemají vhodné funkční testovací / integrační prostředí a to je opět u banky hodně, hodně na pováženou.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 04. 05. 2021, 21:56:20
Jednak to trochu zjednodušuje hledání XSS zranitelností
Ne.

ale hlavně to vypovídá o (nízké) profesionální úrovni programátorů Monety
Nebo o vysoké, protože se neřídí pocity ale skutečně rozumí tomu, co dělají. Já na základě informací, které mám, nedokážu rozhodnout, co z toho je pravda.

Je to schválně, protože běžně ladí na produkci. Což znamená, že nemají vhodné funkční testovací / integrační prostředí a to je opět u banky hodně, hodně na pováženou.
Z jednoho výskyty se nedá poznat, zda je to běžné. A jak je to s testovacími či integračními prostředími jsem psal výše. Pokud se integrujete na nějaký jiný systém, je testovací a integrační prostředí záležitost dodavatele toho cizího systému. Někdy k tomu dodavatele toho systému nedonutíte, ani jako banka. Například informační systém datových schránek má jediné prostředí, které slouží pro testování nových verzí ISDS (takže jsou tam novější verze, než na produkci, a občas tam je nějaká chyba). O nějakém prostředí pro integrační testy si můžete nechat jen zdát. I jako banka.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Pixe 04. 05. 2021, 22:20:48
...ale hlavně to vypovídá o (nízké) profesionální úrovni programátorů Monety.

Nebo také managementu, (pravděpodobně) externího dodavatele, testingu,... Neházejme všechno na programátory, jsou jenom součástí řetězce.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Jen tak 04. 05. 2021, 22:43:07
No, zrovna toto ... nemá s managementem co dělat. Občas se na leccos zapomene, a tohle je to nejmenší.

Nicméně - pokud přijmeme myšlenku, že toto je špatně, tak je to problém jdoucí za architektem (lead developerem .. apod - podle toho, jak mu říkají).

Bez ohledu na to, jestli je to nebo není bankovnictví - pokud v tom FE není žádná kritická logika, případně nějaké pokusy o  enkrypci dat, či nějaký obfuskovací kód, a de-fakto zveřejněné zdrojáky neusnadní nějaký útok na toto, je to, jestli tam jsou, nebo ne.. vcelku úplně jedno, a ta diskuse některých, kteří na základě toho tvrdí, že jsou to matláci ... je jen honění ega a řešení vlastních problémů.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 04. 05. 2021, 22:55:46
pokud v tom FE není žádná kritická logika, případně nějaké pokusy o  enkrypci dat, či nějaký obfuskovací kód
Kdyby tam něco takového bylo, je to obrovský průšvih sám o sobě. Pak by bylo úplně jedno, jestli by měl útočník triviální přístup ke zdrojáku nebo snadný přístup ke zdrojáku.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Logik 05. 05. 2021, 00:00:15
Citace
Bez ohledu na to, jestli je to nebo není bankovnictví - pokud v tom FE není žádná kritická logika, případně nějaké pokusy o  enkrypci dat, či nějaký obfuskovací kód, a de-fakto zveřejněné zdrojáky neusnadní nějaký útok na toto, je to, jestli tam jsou, nebo ne.. vcelku úplně jedno,
Kritická logika v tom asi nebude. To ovšem neznamená, že to nemůže nějak odkrýt např. strukturu API, což útočníkovi může usnadnit další útok. Ale to není to podstatné.
Koukni se někdy na nějaký seriál o leteckých nehodách. Letecké katastrofy se nestávají proto, že někdo udělá jednu obrovskou katastrofální chybu. Zpravila se stávají proto, že nebyla dodržována pravidla - a souhrn mnoha "neškodných" chyb dá dohromady průšvih. Proto je v letectví takový důraz na dodržování pravidel - i když se z vnějšku často zdají jako formalismus. A bankovnictví v oboru SW je podobně "precizní obor", jako letectví v průmyslu.

Samozřejmě, je možné, že to bylo "ojedinělé opomenutí" a jinak je jejich E-banking dobrá práce. Ale dá se o tom vcelku důvodně pochybovat. Právě proto, že nedodržují "standard practicies", nemají procesy nastaveny tak, aby se takováto věc nestala. Je tedy klidně možný, že ten jejich současný systém je neprůstřelný. Ale co až tam někdo vyrobí opravdovou díru? Všimne si ji někdo, než přijde do produkce? A každý programátor někdy díru udělá....



Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Jen tak 05. 05. 2021, 00:04:02
pokud v tom FE není žádná kritická logika, případně nějaké pokusy o  enkrypci dat, či nějaký obfuskovací kód
Kdyby tam něco takového bylo, je to obrovský průšvih sám o sobě. Pak by bylo úplně jedno, jestli by měl útočník triviální přístup ke zdrojáku nebo snadný přístup ke zdrojáku.

ano, to je samozrejme pravda
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Jen tak 05. 05. 2021, 00:05:22
Citace
Bez ohledu na to, jestli je to nebo není bankovnictví - pokud v tom FE není žádná kritická logika, případně nějaké pokusy o  enkrypci dat, či nějaký obfuskovací kód, a de-fakto zveřejněné zdrojáky neusnadní nějaký útok na toto, je to, jestli tam jsou, nebo ne.. vcelku úplně jedno,
Kritická logika v tom asi nebude. To ovšem neznamená, že to nemůže nějak odkrýt např. strukturu API, což útočníkovi může usnadnit další útok. Ale to není to podstatné.
Koukni se někdy na nějaký seriál o leteckých nehodách. Letecké katastrofy se nestávají proto, že někdo udělá jednu obrovskou katastrofální chybu. Zpravila se stávají proto, že nebyla dodržována pravidla - a souhrn mnoha "neškodných" chyb dá dohromady průšvih. Proto je v letectví takový důraz na dodržování pravidel - i když se z vnějšku často zdají jako formalismus. A bankovnictví v oboru SW je podobně "precizní obor", jako letectví v průmyslu.

Samozřejmě, je možné, že to bylo "ojedinělé opomenutí" a jinak je jejich E-banking dobrá práce. Ale dá se o tom vcelku důvodně pochybovat. Právě proto, že nedodržují "standard practicies", nemají procesy nastaveny tak, aby se takováto věc nestala. Je tedy klidně možný, že ten jejich současný systém je neprůstřelný. Ale co až tam někdo vyrobí opravdovou díru? Všimne si ji někdo, než přijde do produkce? A každý programátor někdy díru udělá....

tu (api strukturu) odkryje javascript stejne. minifikace na ni nic nezmeni.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 05. 05. 2021, 08:31:51
Citace
Bez ohledu na to, jestli je to nebo není bankovnictví - pokud v tom FE není žádná kritická logika, případně nějaké pokusy o  enkrypci dat, či nějaký obfuskovací kód, a de-fakto zveřejněné zdrojáky neusnadní nějaký útok na toto, je to, jestli tam jsou, nebo ne.. vcelku úplně jedno,
Kritická logika v tom asi nebude. To ovšem neznamená, že to nemůže nějak odkrýt např. strukturu API, což útočníkovi může usnadnit další útok. Ale to není to podstatné.
Koukni se někdy na nějaký seriál o leteckých nehodách. Letecké katastrofy se nestávají proto, že někdo udělá jednu obrovskou katastrofální chybu. Zpravila se stávají proto, že nebyla dodržována pravidla - a souhrn mnoha "neškodných" chyb dá dohromady průšvih. Proto je v letectví takový důraz na dodržování pravidel - i když se z vnějšku často zdají jako formalismus. A bankovnictví v oboru SW je podobně "precizní obor", jako letectví v průmyslu.

Samozřejmě, je možné, že to bylo "ojedinělé opomenutí" a jinak je jejich E-banking dobrá práce. Ale dá se o tom vcelku důvodně pochybovat. Právě proto, že nedodržují "standard practicies", nemají procesy nastaveny tak, aby se takováto věc nestala. Je tedy klidně možný, že ten jejich současný systém je neprůstřelný. Ale co až tam někdo vyrobí opravdovou díru? Všimne si ji někdo, než přijde do produkce? A každý programátor někdy díru udělá....
Nemůže tam být žádná logika (mimo GUI), která není zduplikovaná i na serveru.

Strukturu API odhalí hlavně výpis volání, ale i pokud byste chtěl získat další adresy, na které jste při zkoušení nenarazil, minifikovnaý kód je nijak neskryje.

K leteckým nehodám nedochází po sérii neškodných chyb, ale po sérii reálných chyb. U webové aplikace může být reálná chyba na frontendu jen v použitelnosti. Pokud půjde o bezpečnostní chybu, bude vždy na serveru. (Existuje pár okrajových výjimek, kterými tu nemá smysl se zabývat. I ty výjimky by znamenaly, že „útočník“ může poškodit maximálně sám sebe. Minifikovaný kód mu v tom nijak nezabrání ani mu to nijak významně nezkomplikuje.)

Když to přirovnáváte k letectví – pokud by někoho napadlo, že bezpečnostní kontrolu pasažérů i zavazadel si cestující mohou udělat už doma a na letiště jen přijdou s vytištěným potvrzením, zda prošli nebo neprošli (bez jakéhokoli bezpečnostního prvku na tom papíře), bude celkem zbytečné zabývat se tím, jestli ten postup domácí kontroly je pro cestující zjevný nebo je mírně skrytý. Skutečný problém by byl v tom, že si ten papír potvrzující úspěšné absolvování kontroly může vyrobit každý sám, bez ohledu na to, zda nějakou kontrolu doma dělal nebo ne. Diskutovat o tom, zda je problém, že ten postup domácí kontroly je zjevný, je v takovém případě úplně mimo.

Žádné pravidlo, že na serveru musí být jen mimifikovaný kód, neexistuje. Většinu doby, co existuje web, se na server dával přesně ten samý kód, který napsal programátor. Bez jakékoli minifikace nebo jiné úpravy. U jednoduchých webů se to tak dělá dodnes, protože nestojí za to to řešit. Minifikace, která přejmenovává věci v kódu, je jen dočasná anomálie, protože je spojená s vytvářením bundlů. Prohlížeče ale už dlouho podporují HTTP/2, dnes už podporují i JavaScript moduly a WebComponents, takže od vytváření velkých bundlů se bude upouštět ve prospěch aplikací, které budou modulární i v prohlížeči. Přejmenování se tím pádem přestane používat, protože by bylo obtížné udržet stejné přejmenování v různých verzích kódu.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Logik 05. 05. 2021, 12:56:14
Citace
Strukturu API odhalí hlavně výpis volání,
To sice ano, ovšem znalost způsobu, jakým jsou požadavky sestavovány, může podstatně ulehčit porozumění těm voláním. Je to prostě naprosto zbytečné dávání informací útočníkovi.
Otázka nezní, jak se to dá zneužít. Otázka zní: proč dělat něco, co usnadní útočníkovi útok, byť jen třeba o malý fous - když jsou standardizované postupy, jak se tomu vyhnout?
On stačí už jen ten fakt, že to vypadá neprofesionálně - což (viz reakce v této diskusi) evidentně přinejmenším části odborné veřejnosti připadá. I to je bezpečnostní riziko, protože SW, co nevypadá profesionálně, "přitahuje" hackery. I jen tento "měkký" fakt snižuje bezpečnost takovéo řešení.
Citace
K leteckým nehodám nedochází po sérii neškodných chyb, ale po sérii reálných chyb.
Nezřídka je každá z těch chyb defakto benigní. Sama o sobě by nijak bezpečnost letu neovlivnila. Ale souběh více takových chyb ano.

Citace
Žádné pravidlo, že na serveru musí být jen mimifikovaný kód, neexistuje.
Jak vidíš, poměrně dost lidí tady v diskusi to za "best practicie" považuje.
Nejen z důvodu bezpečnosti: také z důvodu rychlejšího nahrávání stránek.

Citace
Většinu doby, co existuje web, se na server dával přesně ten samý kód, který napsal programátor.
Ano. S leteckými předpisy je to úplně stejně. Na začátku dokonce předpisy nebyly vůbec. Pravidla a "best practicies" jsou až reakcí na problémy.

Citace
U jednoduchých webů se to tak dělá dodnes, protože nestojí za to to řešit.
Ano, pro ultralighty také platí podstatně mírnější pravidla, než pro komerční dopravní letectví.

Btw. píšeš, že s jednoduchými weby se to tak dělá dodnes. Tedy implicitně tvrdíš, že se složitějšími se to tak už nedělá. Tak vidíš, že je "normální to dělat". Tedy že se to "zpravidla" dělá......
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Logik 05. 05. 2021, 13:04:49
A k
Citace
minifikovnaý kód je nijak neskryje
To není ani náhodou pravda. Mohou být v minifikovaném kódu např. jako názvy samotných endpointů v rámci nějaké struktury API, parametry k nim pak se mohou doplňovat v jiných funkcích. Samozřejmě, za pomoci reverse engeneering to jde všechno dohledat, ale stojí to podstatný čas a úsilí. A to je nezřídka právě ten faktor, který rozhoduje o tom, zdali bude daný systém hacknut nebo ne.

Zámek, co máš do bytu, také není nepřekonatelný. Je jen tak obtížně překonatelný, že útočníkovi se nevyplatí na to plácat čas. Vystavit zdrojové kód je totéž, jako napsat na dveře: zloději, zámek odvrtávejte zde - a zde je místo nepokryté kamerovým systémem.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 05. 05. 2021, 13:21:07
Otázka zní: proč dělat něco, co usnadní útočníkovi útok, byť jen třeba o malý fous
To by byla dobrá otázka, kdyby to útok opravu usnadňovalo. Což je ovšem čirá spekulace, se kterou tady komentující operují opakovaně, ale zatím nikdo nepřišel ani s náznakem důkazu, že by to útok usnadňovalo.

On stačí už jen ten fakt, že to vypadá neprofesionálně - což (viz reakce v této diskusi) evidentně přinejmenším části odborné veřejnosti připadá.
Otázka je, zda laici dokáží rozpoznat, co vypadá profesionáoně a co ne.

Nezřídka je každá z těch chyb defakto benigní. Sama o sobě by nijak bezpečnost letu neovlivnila. Ale souběh více takových chyb ano.
Nikoli, jsou to chyby, které ovlivňují bezpečnost letu. Akorát v běžných případech nedojde k fatálním následkům, protože bezpečnost letu je zajištěna na více úrovních. Jedna nebo dvě chyby tedy bezpečnost ovlivní, ale nezpůsobí nehodu.

Webový frontend aplikace ovšem neptří k prvkům zajišťujícím bezpečnost aplikace.

Jak vidíš, poměrně dost lidí tady v diskusi to za "best practicie" považuje.
Nejen z důvodu bezpečnosti: také z důvodu rychlejšího nahrávání stránek.
To, že to považují za „best practice“ lidi, kteří nemají s webovým vývojem nic společného, ovšem nevypovídá o ničem. Oba „důvodyx“ (bezpečnost i rychlost nahrávání) už jsem vyvrátil.

Ano. S leteckými předpisy je to úplně stejně. Na začátku dokonce předpisy nebyly vůbec. Pravidla a "best practicies" jsou až reakcí na problémy.
Jenže zdrojové kódy před transpilací dostupné na serveru nejsou žádný problém. Transpilace usnadňuje vývoj, na bezpečnost nemá vůbec žádný vliv. Minifikace zmenšuje objem přenášených dat – ale v případě IB Monety prohlížeč používá minifikované soubory, takže to je v pořádku.

Ano, pro ultralighty také platí podstatně mírnější pravidla, než pro komerční dopravní letectví.
Pro webové stránky provozovatele ultralightů a komerčního dopravce v letectví ale platí stejná pravidla.

Btw. píšeš, že s jednoduchými weby se to tak dělá dodnes. Tedy implicitně tvrdíš, že se složitějšími se to tak už nedělá. Tak vidíš, že je "normální to dělat". Tedy že se to "zpravidla" dělá......
Že se to zpravidla dělá jsem psal už na minulé stránce, to jste nemusel tak složitě odvozovat. To, že se to zpravidla dělá, ovšem neznamená, že dělat to jinak je špatně.

Mohou být v minifikovaném kódu např. jako názvy samotných endpointů v rámci nějaké struktury API
Což uvidíte i v minifikovaném kódu, fakt to není nijak skryté.

A to je nezřídka právě ten faktor, který rozhoduje o tom, zdali bude daný systém hacknut nebo ne.
Pokud je backend děravý, pro jeho hacknutí opravdu není potřeba si číst pěkně okomentovaný kód frontendu.

Zámek, co máš do bytu, také není nepřekonatelný. Je jen tak obtížně překonatelný, že útočníkovi se nevyplatí na to plácat čas. Vystavit zdrojové kód je totéž, jako napsat na dveře: zloději, zámek odvrtávejte zde - a zde je místo nepokryté kamerovým systémem.
Ne, to není totéž. Když máte děravý backend a „zabezpečíte“ ho kódem, který si má uživatel spustit ve svém prohlížeči, je to jako kdybyste dal zloději klíče od bytu a doufal, že až bude zloděj ve vašem bytě, bude opatrný a nic nerozbije. Na to, že by dokonce mohl něco ukrást, přitom ani nepomyslíte.

Ne, bezpečnost webových aplikací vážně nikdy nikdy nikdy nemůže být založena na tom, co dělá frontendový kód. Pokud někdo tvrdí opak, může o profesionalitě nebo best practice vyprávět, co chce – že o problematice nic neví už dal najevo dávno.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: nehalem 05. 05. 2021, 14:24:14
Pan Jirsak, len FYI, ja som vase vysvetlenie akceptoval a beriem ho. Uznavam svoju neznalost, nie som frontendak, vsak preto som sa pytal, ci to je standard a ci to niecomu nevadi, vy ste to vysvetlil a ja to beriem, len aby ste si nemysleli, ze ja stale trvam na tom co som si povodne myslel z dovodu mojej neznalosti.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Jen tak 05. 05. 2021, 15:03:33
A k
Citace
minifikovnaý kód je nijak neskryje
To není ani náhodou pravda. Mohou být v minifikovaném kódu např. jako názvy samotných endpointů v rámci nějaké struktury API, parametry k nim pak se mohou doplňovat v jiných funkcích. Samozřejmě, za pomoci reverse engeneering to jde všechno dohledat, ale stojí to podstatný čas a úsilí. A to je nezřídka právě ten faktor, který rozhoduje o tom, zdali bude daný systém hacknut nebo ne.

Zámek, co máš do bytu, také není nepřekonatelný. Je jen tak obtížně překonatelný, že útočníkovi se nevyplatí na to plácat čas. Vystavit zdrojové kód je totéž, jako napsat na dveře: zloději, zámek odvrtávejte zde - a zde je místo nepokryté kamerovým systémem.

na to ale nepotřebuju ten kod ani mimifikovaný ani původní .. stačí se podívat na requesty, co jdou na server.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Logik 05. 05. 2021, 18:28:52
Filip:
Citace
To, že to považují za „best practice“ lidi, kteří nemají s webovým vývojem nic společného
Sorry, Filipe, ale opět klasika - docházejí Ti arugmenty, tak začínáš agumentovat ad hominem. Mluv za sebe, jestli o dané věci nic moc nevíš Ty ještě neznamená, že s webovým vývojem nemají zkušenosti ostatní..... :-)
Tvrdit, že já to vidím správně, protože všichni ostatní jsou laici, to je jen varianta naprosto učebnicové arogance: "já vím všechno nejlíp".


Citace
Což uvidíte i v minifikovaném kódu, fakt to není nijak skryté.
Minifikovaný kód je řádově obtížnější na čtení, než původní. Sorry, ale tady pronášíš kategorické soudy o věci, se kterou evidentně nemáš reálné praktické zkušenosti.
Citace
ale v případě IB Monety prohlížeč používá minifikované soubory, takže to je v pořádku.
Není. Nahrávat "neužitečné" skripty a provádět na klientu nějaký kód, který není k funkčnosti stránky potřeba je z hlediska UX naprosto stejný problém, jako nahrávat neminifikované soubory. Zbytečné zpomalení.

Citace
Pro webové stránky provozovatele ultralightů a komerčního dopravce v letectví ale platí stejná pravidla.
Ano, protože webové stránky dopravce nepatří ke "klíčové letecké infrastruktuře". Ovšem frontend bankovnictví klíčová infrastruktura je, neboť nemálo bezpečnostních problému (jako např. ochrana proti XSS) jsou záležitosti frontendu (zdaleka ne vše je zajištěno explicitní autentifikací na serveru po prvotním přihlášení).Takže v tomto je Tvůj příměr úplně mimo. Pokud Ti někdo úspěšně napadne frontend, tak mu to např. podstatně usnadní provádění různých variant phisingových útoků atd. atd.....
Další mimoňství toho argumentu spočívá v tom, že autor webových stránek leteckého dopravce nemá např. s piloty společného vůbec nic. Ale vývoj frontendu jde zpravidla v úzké součinnosti s vývojem backendu, že jde opět o úplně jiný případ: zatímco piloti a webaři mohou mít úplně jinou "firemní kulturu", tak pokud jsou někde lajdáci frontendáři, tak zpravidla jsou i backendáři.

Citace
Ne, bezpečnost webových aplikací vážně nikdy nikdy nikdy nemůže být založena na tom, co dělá frontendový kó
Zaprve to co tvrdíš je blbina. Bezpečnost webových aplikací závisí I NA FRONTENDU. Viz předchozí odstavec.

Zadruhé je to z Tvé strany další argumentační faul: že když neumíš vyvrátit to, co tvrdím, tak můj argument překroutíš, abys měl co kritizovat.
Netvrdil jsem, že na tom bezpečnost stojí (byť vlastně i stojí, viz výš). Tvrdil jsem, že to zesložiťuje případný útok. Bezpečnost zámku také nestojí na tom, že útočník neví, kde vrtat, ale na tom, že je z "tvrdokovu" a tedy velmi obtížně odvrtatelný. Ale znalost, kde vrtat a kam se postavit, abych nebyl vidět na kameře, urychlí a usnadní provedení útoku.

Nedodržování best-practicies v jedné věci je důvodem k tomu se domnívat, že se nedodržují i v jiných věcech. Tedy i kdyby to nakrásně byla jen chyba UI (příliš dlouhé načítání stránky kvůli zbytečně dlouhému kódu), tak je to důvod k pochybnostem, jak jsou dodržována další pravidla ohledně bezpečnosti. A to nejen pro nás, ale i pro hackery - tedy je větší šance, že se někdo takovou stránku pokusí napadnout. A nějaká chyba je snad v každém SW.


JenTak:
Citace
na to ale nepotřebuju ten kod ani mimifikovaný ani původní .. stačí se podívat na requesty, co jdou na server.
Teoreticky ano. Prakticky znalost zdrojového kódu Ti podstatně urychlí analýzu API a vyhledání potenciálně slabých míst, a to z mnoha důvodů.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 05. 05. 2021, 21:59:31
Sorry, Filipe, ale opět klasika - docházejí Ti arugmenty, tak začínáš agumentovat ad hominem. Mluv za sebe, jestli o dané věci nic moc nevíš Ty ještě neznamená, že s webovým vývojem nemají zkušenosti ostatní..... :-)
Tvrdit, že já to vidím správně, protože všichni ostatní jsou laici, to je jen varianta naprosto učebnicové arogance: "já vím všechno nejlíp".
Za se to překrucujete. Laici jsou ti, kteří když se dozví o bezpečnostní díře na backendu, vrhnou se na minifikaci frontendu a myslí si, že tím něco zachrání.

Minifikovaný kód je řádově obtížnější na čtení, než původní. Sorry, ale tady pronášíš kategorické soudy o věci, se kterou evidentně nemáš reálné praktické zkušenosti.
V prohlížeči máte takové kouzelné tlačítko, které minifikovaný kód hezky zformátuje. Takže z té původní nečitelné hrůzy zbyde nečitelné už jenom to, že jsou možná přejmenované identifikátory. Jenže prohlížeč má další kouzelná tlačítka, která umožňují vkládat breakpointy a krokovat kód. Takže ten kód nemusíte číst, můžete ho prostě krokovat. Pro pochopení fungování kódu to bohatě stačí. Vím to, protože to tak dělám.

Není. Nahrávat "neužitečné" skripty a provádět na klientu nějaký kód, který není k funkčnosti stránky potřeba je z hlediska UX naprosto stejný problém, jako nahrávat neminifikované soubory. Zbytečné zpomalení.
NO, a tady se zase ukazuje, že jste laik, který o tom nic neví. Klient žádné neužitečné skripty nenahrává a neprovádí žádný kód, který není k funkčnosti stránky potřeba. Už jsem to psal několikrát. Když neotevřete vývojářské nástroje, prohlížeč stáhne do posledního bitu to samé, jako kdyby na serveru zdrojové kódy nahrané nebyly.

Ovšem frontend bankovnictví klíčová infrastruktura je, neboť nemálo bezpečnostních problému (jako např. ochrana proti XSS) jsou záležitosti frontendu
Mýlíte se. Ochrana proti XSS je samozřejmě záležitostí backendu. Kdyby byla na frontendu, útočník si ji prostě vypne a máte po ochraně. Nejblíž frontendu má nastavení hlaviček CSP, což ovšem není záležitost apliakce běžící na frontendu, ale serveru, který tu aplikaci servíruje.

Pokud Ti někdo úspěšně napadne frontend, tak mu to např. podstatně usnadní provádění různých variant phisingových útoků atd. atd.....
Jako že si otevřu internetové bankovnictví, pak si ho v DevTools pozměním a pak těm změnám sám uvěřím a napadnu sám sebe? Abychom si ujasnili, co je frontend – frontend je to, co je nahrané v prohlížeči.

Ale vývoj frontendu jde zpravidla v úzké součinnosti s vývojem backendu, že jde opět o úplně jiný případ: zatímco piloti a webaři mohou mít úplně jinou "firemní kulturu", tak pokud jsou někde lajdáci frontendáři, tak zpravidla jsou i backendáři.
Vývoj backendu a frontendu může být úplně oddělený, mohou to dělat různé firmy. A hlavně jste pořád ještě nedokázal, že jde o nějaké lajdáctví.

Zaprve to co tvrdíš je blbina. Bezpečnost webových aplikací závisí I NA FRONTENDU. Viz předchozí odstavec.
Pochopte už konečně, že frontend má plně ve své moci uživatel. Takže na tom nemůže záviset bezpečnost, protože uživatel má možnost cokoli vypnout, změnit, upravit. Mám vám natočit video, kde budete mít bezpečnost založenou na frontendu, ve formuláři nastavím atribut required – a pak si ho v DevTools vymažu a celou vaši slavnou frontendovou bezpečnost tak vygumuju?

Zadruhé je to z Tvé strany další argumentační faul: že když neumíš vyvrátit to, co tvrdím, tak můj argument překroutíš, abys měl co kritizovat.
Netvrdil jsem, že na tom bezpečnost stojí (byť vlastně i stojí, viz výš).
Aha, takže argumentaulu se na vás opravdu někdo dopustil – akorátjste to byl vy.

Tvrdil jsem, že to zesložiťuje případný útok.
To sice tvrdíte, ale to údajné zesložitění je pod rozlišovací schopnost přístrojů. Vy vyrobíte bezpečnostní chybu, které má hodnotu 1 000 000 000, a pak začnete bazírovat na tom, že jste ale snížil závažnost chyby o 0,0000000001.

Bezpečnost zámku také nestojí na tom, že útočník neví, kde vrtat, ale na tom, že je z "tvrdokovu" a tedy velmi obtížně odvrtatelný. Ale znalost, kde vrtat a kam se postavit, abych nebyl vidět na kameře, urychlí a usnadní provedení útoku.
Jistě. Jenže vy zloději neporadíte, kde má vrtat. Vy ho přivedete do otevřeného bytu, řeknete mu, že odjíždíte na čtrnáct dní na dovolenou, dáte mu do ruky klíče. A pak se chlubíte: Já jsem ale jeho možný útok zesložitil. Dal jsem do předsíně obraz od F. R. Čecha a pokud ho zloděj nemá rád, možná se lekne a uteče. No jo, fajn, útok jste zesložitil. Ale možná by víc pomohlo neotevřít tomu zloději byt a nedat mu klíče.

Nedodržování best-practicies v jedné věci je důvodem k tomu se domnívat, že se nedodržují i v jiných věcech.
Už jsem vám napsal, že žádné takové best-practices nejsou. Ani nevíte, co a jak webový prohlížeč stahuje ze serveru, takže vaše povědomí o best-practices webového vývoje asi bude stejně hodnotné.

příliš dlouhé načítání stránky kvůli zbytečně dlouhému kódu
Vaše smůla je, že každý, kdo se alespoň trošku orientuje ve webovém vývoji, ví, jaké píšete nesmysly. Ten kód je pořád stejně dlouhý, protože se při vývoji minifikuje úplně stejně, jako u produkční verze.

tak je to důvod k pochybnostem, jak jsou dodržována další pravidla ohledně bezpečnosti
Problém je pořád v tom, že se neorientujete v problematice, a na základě své neznalosti činíte dalekosáhlé závěry.

Při hackování potřebuješ odhalit ty, které jsou chybně implementované, a to jsou zpravidla právě ty, které se nepoužívají moc často. A právě takové requesty nemusíš nasimulovat, ale v zdrojovém kódu je můžeš vyhledat. Znalost zdrojového kódu Ti často hodně pomůže porozumět významu requestu a tedy můžeš snáz odhadnout, kde nechal autor toho api "díru".
Lidé, kteří se webovému vývoji věnují, opravdu nepotřebují ten zdrojový kód krásně čitelný a opoznámkovaný. I v minifikovaném kódu najdu požadavky a porozumím významu requestu.

Váš přístup je ukázkový příklad security through obscurity, což je bad practice. Boíte se, že máte chybu v backendu, a místo toho, abyste to řešil, doufáte, že na to nikdo nepřijde, když přejmenujete funkce na frontendu.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: stefan.samecek 06. 05. 2021, 08:01:44
Je smutné že tento thread má 47 příspěvků a jenom 4 jsou od původního tazatele  :-\
a odpověď řešící dotaz žádná ...
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Vantomas 06. 05. 2021, 08:41:00
Je smutné že tento thread má 47 příspěvků a jenom 4 jsou od původního tazatele  :-\
a odpověď řešící dotaz žádná ...

Přesně tak. Pan Jirsák spouští flamewar absolutně všude s kadencí ruského trolla.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 06. 05. 2021, 08:53:06
Je smutné že tento thread má 47 příspěvků a jenom 4 jsou od původního tazatele  :-\
a odpověď řešící dotaz žádná ...
Odpověď řešící dotaz tu je – #20 (https://forum.root.cz/index.php?topic=24661.msg350506#msg350506).
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: --ps-- 06. 05. 2021, 09:25:36
Odpověď řešící dotaz je tady: #5 (https://forum.root.cz/index.php?topic=24661.msg350475#msg350475)
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: hurvajs spejbl 06. 05. 2021, 11:24:31
Vadí to snad něčemu?
Samozřejmě, minimálně tím, že source mapy jsou docela pamětově náročné (zbytečně zvyšují přenášené bajty; což ie důvod proč se obsfukují všechny zdroje). Pak jde podle mě částečně i o bezpečnostní rizika - plně čitelný kód může být lépe napadnutelný (minifikovaný kód je mnohem hůře čitelný, ikdyž neříkám, že nejde zpětně převést, ale i tak jeho čitelnost bude mnohem horší). V poslední řadě prostě ukazujete něco, co by němělo být vidět. Z mého pohledu to je jako bych na platební kartu napsal PIN. A jak jsem psal, z mého pohledu je source map na produkci amaterismus.

Ne, tam je to úplně chtěné. Kdyby to nebylo chtěné, tak by nikdo pracně nevymýslel, jak to udělat, a pak by to všechny nástroje pracně neimplementovaly.
na tohle nemám argument... :-D

Nehledě na to, že source mapy, nejsou to jediné, co tam nemá být
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: hurvajs spejbl 06. 05. 2021, 11:29:33
...ze dnes sa uz weby vobec nepisu aby isli uplne bez JS. Uz to tu pisem po neviem kolky krat, web sa vydal cestou ktora sa mi nepaci...
jste v 21. století, klient má dnes takové HW možnosti, že není důvod, vše řešit na BE. Pokud Vám to vadí, sežeňte si 486, Win 3.1 a odstěhujte se do salaše v tatrách, pak Vám nebude vadit JS, který se mimojiné nepoužívá jen na webech... ;-)
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: hurvajs spejbl 06. 05. 2021, 11:33:30
Nebo o vysoké, protože se neřídí pocity ale skutečně rozumí tomu, co dělají. Já na základě informací, které mám, nedokážu rozhodnout, co z toho je pravda.
ano, to je vidět, pokud jejich stránky proženu třeba Lighthousem... Výkon stránky 1% ze 100%.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 06. 05. 2021, 12:24:05
Samozřejmě, minimálně tím, že source mapy jsou docela pamětově náročné (zbytečně zvyšují přenášené bajty;
Myslím, že na server se ten jeden soubor navíc vejde. Přenášené bajty by to zvyšovalo, kdyby se přenášely.

Tady je seznam GET požadavků na hostname ib.moneta.cz na úvodní stránce IB Monety po vyprázdnění cache v prohlížeči. Prohlížeč je Chrome 90.0. Máte to tam i s velikostí souborů a dobou vyřízení požadavku.

Kód: [Vybrat]
https://ib.moneta.cz/ GET 200 4.1kb 37ms
https://ib.moneta.cz/static/css/main.dd038447.chunk.css GET 200 29.9kb 90ms
https://ib.moneta.cz/static/css/2.83a38660.chunk.css GET 200 170.9kb 109ms
https://ib.moneta.cz/config.json GET 200 599b 144ms
https://ib.moneta.cz/static/js/main.ab9551fd.chunk.js GET 200 3.9mb 954ms
https://ib.moneta.cz/static/js/2.699be89f.chunk.js GET 200 3.6mb 948ms
https://ib.moneta.cz/config.json GET 200 599b 28ms
https://ib.moneta.cz/static/js/pdf.worker.entry.eb113c7a.worker.js GET 200 667.3kb 124ms
https://ib.moneta.cz/static/media/login_default_background.fe96d08d.svg GET 200 1.6kb 116ms
https://ib.moneta.cz/static/media/login-old-redirect.d66fe5b3.svg GET 200 267.6kb 158ms
https://ib.moneta.cz/static/media/login_default_background.fe96d08d.svg GET 200 1.6kb 145ms
https://ib.moneta.cz/static/js/8rwzPySP46.js GET 200 205.2kb 223ms
https://ib.moneta.cz/vendors/launch/97dcc26c2440/4b6116328f07/launch-063e383bd603.min.js GET 200 155.4kb 277ms
https://ib.moneta.cz/manifest.json GET 200 306b 79ms
https://ib.moneta.cz/vendors/launch/97dcc26c2440/4b6116328f07/db4982d31bbc/hostedLibFiles/EPbde2f7ca14e540399dcc1f8208860b7b/AppMeasurement.min.js GET 200 32.7kb 84ms
https://ib.moneta.cz/vendors/launch/97dcc26c2440/4b6116328f07/db4982d31bbc/hostedLibFiles/EPbde2f7ca14e540399dcc1f8208860b7b/AppMeasurement_Module_ActivityMap.min.js GET 200 3.2kb 101ms

Snad se teď konečně dozvím, který z těch souborů je sourcemap.

Z mého pohledu to je jako bych na platební kartu napsal PIN.
Když na platební kartu napíšete PIN a ztratíte ji, někdo s ní může vybrat až do výše limitu z bankomatu. A může vybírat tak dlouho, dokud kartu nezablokujete. Když někdo ušetří pár vteřin nebo minut tím, že má kód rovnou v čitelné podobě, stejně narazí na zabezpečení na backendu. Když někdo založení bezpečnost na frontendu, je to jako napsat PIN na platební kartu a doufat, že když ji někdo najde, PINu si nevšimne.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Logik 06. 05. 2021, 12:31:19
Citace
Takže z té původní nečitelné hrůzy zbyde nečitelné už jenom to, že jsou možná přejmenované identifikátory.
Jenom? ??? ? Přejmenované identiikátory (v rozumně napsaném kódu) Ti proces ladění a porozumění kódu podstatně zpomalují. Řádově. Debugoval jsi vůbec někdy cizí kód? ???

Citace
Jenže prohlížeč má další kouzelná tlačítka, která umožňují vkládat breakpointy a krokovat kód.
Auuu. Jako takže jako budu každou funkci krokovat? A to jako si myslíš, že něco takovýho je třeba jen vzdáleně podobně efektivní, jako když si tu funkci prostě přečtu? ???
Citace
O, a tady se zase ukazuje, že jste laik, který o tom nic neví. Klient žádné neužitečné skripty nenahrává a neprovádí žádný kód, který není k funkčnosti stránky potřeba.
Je ten websocket pro uživatele k něčemu? Není. Otevírá ho nahraný kód do browseru? Otevírá.Nahrává a provádí se tedy "neužitečný kód"? Provádí.
Klasika - to, že se někdo do druhého začne navážet je vždy známka toho, že mu došli argumenty.
Citace
Mýlíte se. Ochrana proti XSS je samozřejmě záležitostí backendu. Kdyby byla na frontendu, útočník si ji prostě vypne a máte po ochraně.
Jednoznačná kravina. Některé XSS útoky jsou ošetřitelné pomocí hlaviček. Ovšem některé (např. nejtriviálnější je např. když je v kódu funkce eval na hash za URL) žádnejma hlavičkama prostě neošetříš, i kdyby ses na hlavu postavil. A i ty, které CSP zachytí: ještě jsou v provozu browsery, které CSP nepodporují, takže neřešit to, že to CSP zachytí je diletantština. CSP je ochrana proti chybám ve frontendovém kódu, ne že dáš CSP a o bezpečnost frontendu se nemusíš starat.

Sorry, ale todle jsou úplné základy. Bavit se o bezpečnosti a todle neznat - a prohlašovat ostatní za laiky? ??? ?

(A jako třešnička na dortu - to Moneta IB "samozřejmě" žádné CSP hlavičky neposílá, což je jen další známka neprofesionality té aplikace. )

Citace
Pochopte už konečně, že frontend má plně ve své moci uživatel. Takže na tom nemůže záviset bezpečnost,
A ty zkus pochopit, že existují dva způsoby narušení bezpečnosti, jeden je ochrana aplikace "před uživatelem" - tedy aby si např. uživatel nepřevedl něco z cizího účtu - a tam je Tvá námitka validní.

Ovšem bezpečnost aplikace zahrnuje i ochranu uživatele před tím, aby ho nějaká třetí strana vmanipulovala do něčeho, co nechce, i když je to z hlediska "serveru" naprosto validní požadavek (např. aby útočník nezměnil číslo účtu kam se prostředky převádějí)a pro tuto rovinu  je Tvoje námitka naprosto nesmyslná - a právě tato rovina bezpečnosti je záležitost přinejmenším stejnětak frontendu, jako backendu.
Citace
Když někdo ušetří pár vteřin nebo minut tím, že má kód rovnou v čitelné podobě, stejně narazí na zabezpečení na backendu.
???? Okradl Tě? Okradl. Tedy vyřešilo zabezpečení backendu všechny problémy? Nevyřešilo. Pro to, aby Tě neokradl, tak musí být jak zabezpečený backend, tak i frontend. Toto je z Tvé strany argumentační faul falešné generalizace, kdy z toho, že některé problémy se řeší na backendu vyvozuješ, že tam jdou vyřešit problémy všechny.

---

Ač bych mohl pokračovat ve vyvracení, tak na zbytek reagovat nebudu - sorry, ale diskuse s člověkem, co je přesvědčenej, že je jedinej profík v diskusi: a co věta to perla, to mne nějak přestalo bavit.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 06. 05. 2021, 12:53:23
Okradl Tě? Okradl.
Neokradl.

Pokud používáte na frontendu eval(), pak frontend opravdu zabezpečit potřebujete. Nejlépe tak, že si najdete jinou práci.

Vaše představa, že nechtěnému převodu na cizí účet brání JavaScriptový kód v prohlížeči, je opravdu zábavná.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Logik 06. 05. 2021, 13:15:56
Citace
Neokradl.
Psal jsi "někdo s ní může vybrat až do výše limitu z bankomatu.". Tedy ten někdo Tě prostě okradl. Tak prosím takto primitivně nelži, je to trapné.

Citace
Pokud používáte na frontendu eval
A todle je trapná výmluva a snaha se vylhat osobním útokem. Ty jsi Tvrdil, že security je čistě otázka backendu. Teď jsem Tě přinutil připustit, že existuje pravidlo pro frontend (eval se nemá používat), které je třeba pro dodržení bezpečnosti dodržet. To, že se to trapně snažíš obrátit proti mně nic nemění na tom, že evidentně jsi celou dobu tvrdil nesmysly, že zabezpečení je čistě otázka backendu.Těch pravidel co je třeba dodržet na frontendu je samozřejmě více (ošetřování vkládaného HTML závislého na uživateli, správný parsing Jsonu, správné skládání url, atd.. atd....) - jen jsem Ti na tom úplně nejtriviálnějším příkladu ukázal nesmyslnost Tvého tvrzení, že security je jen otázka backendu a tedy že neprofesionalita frontendu nemá co dělat s bezpečností bankovní aplikace.

Citace
Vaše představa, že nechtěnému převodu na cizí účet brání JavaScriptový kód v prohlížeči, je opravdu zábavná.
Ne Filipe, zábavné je, že neznáš úplné základy web-security, a přitom tu vystupuješ jako člověk, co snědl moudrost světa a snažíš se ostatní poučovat a dělat z nich blby.

To, že je tam další rovina zabezpečení např. v telefonu pomocí SMS je pravda, ovšem protože nemálo lidí čístlo účtu v došlé SMS nekontroluje, je toto zabezpečení nedostatečné. Proto ano, úspěšné nabourání JS na frontendu (které umožní pozměnit číslo účtu příjemce) je podstatné narušení bezpečnosti IB. A pokud to furt popíráš, tak další debata nemá smysl, protože pak seš evidentně schopen popřít i nos mezi očima, abys nemusel uznat omyl.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 06. 05. 2021, 13:47:27
Citace
Neokradl.
Psal jsi "někdo s ní může vybrat až do výše limitu z bankomatu.". Tedy ten někdo Tě prostě okradl. Tak prosím takto primitivně nelži, je to trapné.
Akorát že to byla reakce úplně na něco jiného.

Ty jsi Tvrdil, že security je čistě otázka backendu.
Ano, protože jsem za bezpečnost považoval aktivní kroky, které brání nějakým útokům. Pokud do bezpečnosti frontendu počítáte i to, že na frontendu nebudete mít odkaz na stažení zavirovaného EXE souboru, pak musíte opravdu bezpečnost řešit i na frontendu.

Ne Filipe, zábavné je, že neznáš úplné základy web-security, a přitom tu vystupuješ jako člověk, co snědl moudrost světa a snažíš se ostatní poučovat a dělat z nich blby.
Já z nikoho blby nedělám. Blba ze sebe dělá sám ten, kdo tvrdí, že se stahují zbytečné skripty, sourcemaps apod.

To, že je tam další rovina zabezpečení např. v telefonu pomocí SMS je pravda, ovšem protože nemálo lidí čístlo účtu v došlé SMS nekontroluje, je toto zabezpečení nedostatečné. Proto ano, úspěšné nabourání JS na frontendu (které umožní pozměnit číslo účtu příjemce) je podstatné narušení bezpečnosti IB. A pokud to furt popíráš, tak další debata nemá smysl, protože pak seš evidentně schopen popřít i nos mezi očima, abys nemusel uznat omyl.
Pokud někdo číslo účtu v SMS nekontroluje, je náchylný ke spoustě různých útoků. Ale OK, uznávám, pokud do zabezpečení aplikace zahrnujete i vyvarování se triviálně nebezpečným konstrukcím typu eval(), pak je skutečně potřeba zabezpečit i frontend.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Logik 06. 05. 2021, 15:28:56
Citace
Akorát že to byla reakce úplně na něco jiného.
To neokradl nebyla reakce na mé okradl? Nebo chceš tvrdit, že víš lépe, na co jsem reagoval svým že Tě okradl, než já? Teda, v originálnosti vejmluv mne furt překvapuješ....
Reagoval jsem na odstavec, jde jsi tvrdil, že zabezpečení backendu řeší to, že si někdo napíše PIN na kartu. Což prostě neřeší, protože v okamžiku, kdy zareaguje ochrana na backendu (limity), tak už jsi okradenej.

Citace
Blba ze sebe dělá sám ten, kdo tvrdí, že se stahují zbytečné skripty, sourcemaps apod.
Ano, děláš ze sebe blba, když tvrdíš, že stránka nic zbytečného nestahuje a nedokážeš uznat omyl.Ta stránka prokazatelně stahuje a spouští skript který umožňuje reload stránky při vývoji. A tendle skript tam prostě nemá co dělat, zpomaluje už tak nechutně nakynutý stránky.

Btw. ta stránka stahuje i plno dalších blbostí, včetně např. nějakého pdf-workeru, kterej je určitě na login-page potřeba, žejo.... Jako mít na jednoduchý login page skoro 9MB javascriptu????? Fakt profi práce....

Citace
Ano, protože jsem za bezpečnost považoval aktivní kroky, které brání nějakým útokům.
Jako že jsi si myslel že mít "neděravou aplikaci" do bezpečnosti nepatří???
Když porušíš pravidla vývoje na backendu, máš děravý backend. Když porušíš pravidla vývoje na frontendu, máš děravý frontend. Je to úplně to samé.

Nevím, za co jsi bezpečnost považoval. Ale prostě jsi evidentně netušil, co vše do bezpečnosti webové aplikace patří a ignoroval jsi problémy, které by měl v otázce bezpečnosti znát a řešit i slušný junior. Ale měl jsi tu drzost v diskusi ostatní označovat za laiky a arogantně poučovat.

Citace
Pokud někdo číslo účtu v SMS nekontroluje, je náchylný ke spoustě různých útoků.
Takže vlastně celej phishing a opatření proti němu se vlastně vůbec netýká zabezpečení prohlížeče, protože stačí dobře číst a není to problém.... Aha....
Samozřejmě, kdo nečte SMS, tak je náchylnej k různejm útokům. Třeba napadení frontendu. Jenže ono nemusí jít o nečtení, může jít např. o napadení telefonu. Nebo. Nebo. Právě proto je zabezpečenej i frontend, a není to tak, že by mohl poslat požadavek kdokoli a bezpečnost záležela jen na potvrzení SMS.
 Bezpečnost frontendu je jeden z faktorů bezpečnosti IB, úplně stejně, jako bezpečnost telefonu, kam Ti choděj SMS. Aby útočník IB zneužil, musí je překonat všechny. A právě proto, že ať už uživatel svým hloupým chováním, nebo hacker zneužitím chyby nebo kombinací může být nabourána bezpečnost jedné z vrstev bezpečnosti, je bezpečnost vícefaktorová.

Bezpečnost zahrnuje i řešení toho, že se uživatelé nechovají vždy 100% ideálně a tím oslabujou bezpečnost použitejch řešení (nečtou SMS, maj zavirovanej prohlížeč apod.). Bezpečnost spoléhající se na to, že se všichni chovájí "správně" není bezpečnost, ale iluze bezpečnosti. To je další ze školáckých pouček, kterou by měl znát každej, kdo se jen trochu ochomejtá kolem bezpečnosti - a kterou tu implicitně popíráš.
Citace
i vyvarování se triviálně nebezpečným konstrukcím typu eval(), pak
Víš, ono těch bezpečnostních problémů na frontendu je podstatně více, než jen ten triviální eval. Ale vzhledem k tomu, jak dlouho mi trvalo, než jsi aspoň částečně byl schopnej připustit, že vůbec nějakej bezpečnostní problém na frontendu může být, tak fakt nemám ani čas, ani náladu ti vysvětlovat podstatu dlaších, složitějších a v reálu k útokům použitelnejch nabourání bezpečnosti frontendu.
Smiř se s tím, že napsat frontend bezpečně není "automatické", že je k tomu třeba něco vědět a dodržovat určitá pravidla.A s dodržováním pravidel mají hoši z Monety evidentně problém, v diskusi už bylo poukázáno na X porušení pravidel dobrého webu (debugovací skripty na produkci, obecně velikost skriptů, s tím související nahrávání nepotřebného balastu potřebného až někde v hloubi webu, absence SCP....)

Btw., v tom útoku nemusí jít jen o podvržení plateb, kde Tě, když vše děláš správně, zachrání další vrstva zabezpečení. Může jít např. o krádeže výpisů z účtů, kde už další vrstva zabezpečení prostě není. Tam Ti stačí nabourat frontend a máš to, pro co sis přišel.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 06. 05. 2021, 17:56:34
Nebo chceš tvrdit, že víš lépe, na co jsem reagoval svým že Tě okradl, než já?
Máte to skvěle zmáknuté. Nejdřív napíšete něco, z čeho vůbec není patrné, na co reagujete. A pak mi vynadáte, že přece nemůžu vědět, na co jste reagoval.

Reagoval jsem na odstavec, jde jsi tvrdil, že zabezpečení backendu řeší to, že si někdo napíše PIN na kartu. Což prostě neřeší, protože v okamžiku, kdy zareaguje ochrana na backendu (limity), tak už jsi okradenej.
Ochrana na backendu je potvrzovací kód, který musíte zadat, aby transakce proběhla.

Ano, děláš ze sebe blba, když tvrdíš, že stránka nic zbytečného nestahuje a nedokážeš uznat omyl.Ta stránka prokazatelně stahuje a spouští skript který umožňuje reload stránky při vývoji. A tendle skript tam prostě nemá co dělat, zpomaluje už tak nechutně nakynutý stránky.
Prokazatelně znamená, že ve výčtu stahovaných skriptů vyší označíte ten skript, který je zbytečný. Jenže nic takového se vám prokázat nepodaří, protože žádný z těch skriptů není zbytečný. Zbytečná je možná část kódu.

Když jsem napsal, že stránka neprovádí žádnýá kód, který není potřeba, byl to opravdu omyl – zapomněl jsem na to, že je tam patrně ta podpora pro live reload. Na mou omluvu – reagoval jsem na tvrzení, že stránka stahuje sourcemapy, původní zdrojové kódy a zbytečné skripty. Že bude v bundlu pár zbytečných řádek, jsem neřešil. Ostatně ono tam toho zbytečného kódu nejspíš bude víc, bundler nepracuje tak, že by ořezal na kost přesně jenom ten kód, který je pro danou stránku bezpodmínečně nutný. Ale mohl jsem v tom být absolutně přesný a napsat, že nestahuje žádné zbytečné soubory.

Jsem zvědav, jestli svůj omyl dokážete uznat také vy.

Jako že jsi si myslel že mít "neděravou aplikaci" do bezpečnosti nepatří???
Považoval jsem to za samezřejmost, která je splněná před tím, než začnete řešit bezpečnost.

Ale prostě jsi evidentně netušil, co vše do bezpečnosti webové aplikace patří a ignoroval jsi problémy, které by měl v otázce bezpečnosti znát a řešit i slušný junior. Ale měl jsi tu drzost v diskusi ostatní označovat za laiky a arogantně poučovat.
Samozřejmě že vím, co do bezpečnosti webové aplikace patří. Akorát se snažíte zamaskovat, že vy jste netušil, že prohlížeč nestahuje sourcemapy a už vůbec ne v nich odkázané soubory, když si uživatel normálně zobrazí stránku (bez vývojářských nástrojů).

Takže vlastně celej phishing a opatření proti němu se vlastně vůbec netýká zabezpečení prohlížeče, protože stačí dobře číst a není to problém.... Aha....
Nevím, jak přečtením zjistíte, že adresa je špatně. Abyste to zjistil, musíte ji s něčím porovnat – obvykle ale není s čím. Číslo účtu v SMS je s čím porovnat – s tím číslem účtu, které jste právě zadal.

Jenže ono nemusí jít o nečtení, může jít např. o napadení telefonu.
Právě proto se používá druhý faktor. Protože aby byl útočník úspěšný, musel by napadnout uživatelův počítač a zároveň telefon.

Právě proto je zabezpečenej i frontend, a není to tak, že by mohl poslat požadavek kdokoli a bezpečnost záležela jen na potvrzení SMS.
Aha, takže ten zabezpečenej frontend mi brání v tom, abych si odchytil, jaký JSON s požadavkem prohlížeč posílá, a pak stejně strukturovaný požadavek poslal třeba přes curl. A pěkně prosím, jak přesně mi v tom ten frontend brání?

Bezpečnost frontendu je jeden z faktorů bezpečnosti IB, úplně stejně, jako bezpečnost telefonu, kam Ti choděj SMS. Aby útočník IB zneužil, musí je překonat všechny. A právě proto, že ať už uživatel svým hloupým chováním, nebo hacker zneužitím chyby nebo kombinací může být nabourána bezpečnost jedné z vrstev bezpečnosti, je bezpečnost vícefaktorová.

Bezpečnost zahrnuje i řešení toho, že se uživatelé nechovají vždy 100% ideálně a tím oslabujou bezpečnost použitejch řešení (nečtou SMS, maj zavirovanej prohlížeč apod.). Bezpečnost spoléhající se na to, že se všichni chovájí "správně" není bezpečnost, ale iluze bezpečnosti. To je další ze školáckých pouček, kterou by měl znát každej, kdo se jen trochu ochomejtá kolem bezpečnosti - a kterou tu implicitně popíráš.
Aha, takže phishing vlastně vůbec neexistzuje. Protože to by znamenalo, že útočník musí údělat web, který bude vypadat stejně, jako originální IB. A tomu přece brání bezpečný frontend.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Logik 06. 05. 2021, 19:28:13
Citace
Nejdřív napíšete něco, z čeho vůbec není patrné, na co reagujete
Víš, normální člověk, když si není jistý, na co druhý reagoval, tak se zeptá. A slušný člověk se také snaží pochopit, co druhý říká tak, aby to dávalo smysl - tedy že když mluvím o krádeži, tak asi reaguju na popisovanou krádež....

Já holt fakt nemůžu za to, že se tu v diskusi chováš jak arogantní vševěd, kterej si automaticky myslí, že všichni ostatní jsou blbci a místo, co by ses zamyslel nad tím, co tvrdí, tak se je snažíš co nejvíce setřít.

Citace
Prokazatelně znamená, že ve výčtu stahovaných skriptů vyší označíte ten skript, který je zbytečný.
Jasně, když už musíš uznat omyl, tak se snažíš aspoň něco vyhnidopišit. Je to teda dost trapný - a navíc jsi zas mimo: pokud je prokázáno, že ta stránka se zbytečně připojuje někam, tak prostě tam je prokazatelně zbytečný skript dělající to připojení. Pro toto tvrzení fakt není potřeba ukazovat na to, který to je. Spousta matematických důkazů pracuje s tím, že ukáže existenci tvrzeného, aniž by ukázala na konkrétní instanci. Viz např. Gödelova 1. věta o neúplnosti.

Citace
Nevím, jak přečtením zjistíte, že adresa je špatně. Abyste to zjistil, musíte ji s něčím porovnat – obvykle ale není s čím.
Klasika. Když ti dojdou rozumné argumenty, tak začneš tvrdit kraviny. Samozřejmě, že u nemalé části phisingu (např. zaměřené na elektronické bankovnictví) to je s čím porovnatelné, protože URL se snaží napodobovat orginální URL, které uživatel zná. Anebo není s čím, ale stejně jde z adresy snadno poznat, že je podvržená (absence HTTPS, obskurní doména apod.).
Navíc je to vlastně jedno, protože zadávat hesla na "mailem zaslaném odkazu" je stejné porušení pravidel bezpečnosti uživatelem, jako nezkontrolování čísla účtu v SMS. Takže i kdyby to co tvdíš byla pravda (jako že není), tak to nijak nevyvrací to, co jsem tvrdil: že pod otázky bezpečnosti patří i co největší prevence "uživatelských chyb" vedoucích k úspěšnému útoku.

Citace
Aha, takže ten zabezpečenej frontend mi brání v tom, abych si odchytil, jaký JSON s požadavkem prohlížeč posílá, a pak stejně strukturovaný požadavek poslal třeba přes curl. A pěkně prosím, jak přesně mi v tom ten frontend brání?
Víš, v Tvém omezeném světě, kde existují pouze útoky typu "(catch, modify and) replay", tak nijak. Ale jak jsem Ti v předchozích postech doložil, tak pod pojmem bezpečnost webové aplikace spadá podstatně více problematik a podstatně více druhů útoků, než jen ten "replay". V minulém postu Ti to už trochu došlo, teď už jsi na to zas zapomněl. A některým z těchto jiných útoků brání dobře napsaný frontend.

Tale Tvoje implikace, že některým nebrání, tedy že nebrání žádným, je jen učebnicovou ukázkou argumentačního faulu.
Nechceš toho už nechat? Jen dokolečka prokazuješ, že problematice webové bezpečnosti prostě nerozumíš. V podstatě dokolečka tady různými slovy opakuješ, že považuješ aplikaci zabezpečenou proti jednomu z mnoha druhů útoků za bezpečnou, což je prostě kravina.

Citace
Právě proto se používá druhý faktor. Protože aby byl útočník úspěšný, musel by napadnout uživatelův počítač a zároveň telefon.
Zamysli se, proč je to druhý faktor. Že by někde existoval první faktor?
Tady jen potvrzuješ, že uživatelův "počítač" - a mezi což patří i bezpečnost frontendové aplikace - mezi zabezpečení IB prostě patří.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 06. 05. 2021, 21:06:11
Víš, normální člověk, když si není jistý, na co druhý reagoval, tak se zeptá.
Normální člověk reaguje tak, aby bylo jasné, na co reaguje. Jenže to vy jste nechtěl, protože by bylo vidět, jak je vaše reakce nesmyslná.

pokud je prokázáno, že ta stránka se zbytečně připojuje někam, tak prostě tam je prokazatelně zbytečný skript dělající to připojení
„Skript“ obvykle znamená celý soubor. Pokud je v souboru 4 MB kódu a z toho možná kilobajt kódu, který dělá zbytečnou věc, neznamená to, že celý skript je zbytečný.

Samozřejmě, že u nemalé části phisingu (např. zaměřené na elektronické bankovnictví) to je s čím porovnatelné, protože URL se snaží napodobovat orginální URL, které uživatel zná.
Nezná. Málokdy zná adresu tak dobře, aby si byl jistý a rozpoznal podvod na první pohled. Jinak by phishing nefungoval.

Navíc je to vlastně jedno, protože zadávat hesla na "mailem zaslaném odkazu" je stejné porušení pravidel bezpečnosti uživatelem, jako nezkontrolování čísla účtu v SMS.
Není. Adresu otevřenou z e-mailu můžu dodatečně zkontrolovat. Když potvrdím transakci, kontrolovat něco dodatečně často nedává smysl.

Takže i kdyby to co tvdíš byla pravda (jako že není), tak to nijak nevyvrací to, co jsem tvrdil: že pod otázky bezpečnosti patří i co největší prevence "uživatelských chyb" vedoucích k úspěšnému útoku.

Víš, v Tvém omezeném světě, kde existují pouze útoky typu "(catch, modify and) replay", tak nijak. Ale jak jsem Ti v předchozích postech doložil, tak pod pojmem bezpečnost webové aplikace spadá podstatně více problematik a podstatně více druhů útoků, než jen ten "replay".
No jo, mistr světa, všechno ví, všechno zná, nikdo jiný to znát nemůže. Proč pak polemizujete s tím, že prohlížeč v případě IB Monety nestahuje žádné zbytečné soubory a tvrdíte, že stahuje zbytečné skripty? Proč tu obhajujete security through obscurity? To podle vás patří do best practice?

A některým z těchto jiných útoků brání dobře napsaný frontend.
Já bych spíš řekl, že špatně napsaný frontend některé útoky umožňuje. To, že nepoužívám eval() (což je to jediné, co z vás zatím vypadlo), není žádný dobře napsaný frontend. To je naprostý základ, a pokud někdo nedodrží ani to, je to velice špatně napsaný kód. (Samozřejmě s výjimkou případů, kdy někdo opravdu dobře ví, co dělá – ale to není nic do této diskuse.)

Nechceš toho už nechat? Jen dokolečka prokazuješ, že problematice webové bezpečnosti prostě nerozumíš.
Pokud je pro vás základem webové bezpečnosti security through obscurity, pak vaší webové bezpečnosti opravdu nerozumím.

V podstatě dokolečka tady různými slovy opakuješ, že považuješ aplikaci zabezpečenou proti jednomu z mnoha druhů útoků za bezpečnou, což je prostě kravina.
Nesmysl.

Zamysli se, proč je to druhý faktor. Že by někde existoval první faktor?
Bingo. Zkuste nad tím ještě chvíli uvažovat, třeba na to přijdete, co je ten první faktor.

Tady jen potvrzuješ, že uživatelův "počítač" - a mezi což patří i bezpečnost frontendové aplikace - mezi zabezpečení IB prostě patří.
Samozřejmě. Akorát že minifikace kódu není způsob zabezpečení.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: FKoudelka 06. 05. 2021, 21:54:03
Ahoj, aniž bych chápal o čem se bavíte:
1. Je teda to Moneta bankovnictví na webu bezpečné, nebo ne ? Protože jestli ne, asi by se to mělo eskalovat
2. Když někdo na fóru rozumí opravdu všemu, degraduje to odbornost a věrohodnost toho fóra. A tím fakt nemyslím jen a výlučně nikoho konkrétního, i když indicie tu jsou.
3. Pane Jirsáku, zcela věcně: co máte pořád proti “security through obscurity” ? Jistě, úhelný kámen bezpečnosti to být nemůže, neboť by to indukovalo falešný pocit bezpečí , ale jako doplněk je to naprosto v pořádku, prostě je to v obecném slova smyslu tajemství.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Logik 06. 05. 2021, 22:17:45
Filip:V podstatě už jen slovíčkaříš a snažíš se z toho vykecat. (Např. ze všeho - dneska se skripty standardně bundlují, takže bazírovat na tom, že není stahován v samostatném souboru, takže to není skript - to dělá buďto člověk co neví o webovém vývoji zbla... anebo troll).

Na zbytek už v podstatě nemám co říci - vše, co píšeš už jsem několikrát okomentoval, a pokud jsi zmínil něco nového, tak jen argumentační fauly, jako např.
Citace
Pokud je pro vás základem webové bezpečnosti security through obscurity, pak vaší webové bezpečnosti opravdu nerozumím.
Nikde jsem netvrdil, že bezpečnost čehokoli stojí na obscurity. Tvrdil jsem, že zbytečné poskytování informací o zabezpečeném objektu
 usnadňuje útok, takže je neprofesionální je poskytovat zbytečně. To, že máš potřebu můj názor takto překrucovat je důkazem toho, žeTakže další diskuse evidentně už fakt nemá smysl.


FKoudelka:
Citace
Je teda to Moneta bankovnictví na webu bezpečné, nebo ne ? Protože jestli ne, asi by se to mělo eskalovat
Z toho, co víme, se IMHO se nedá vyvodit, že je nebezpečné ve smyslu "víme jak ho zneužít". Ale je napsané neprofesionálně, což zavdává pochybnosti o jeho kvalitě a potažmo tedy i o kvalitě zabezpečení. To, že jsou k dispozici zdrojové kódy, je pak stav, který případný útok usnadňuje, to by snad někdo Monetě napsat měl. Ale nevěřím, že si té diskuse už nevšimli. 
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 06. 05. 2021, 22:57:39
Snažíte se z toho vykecat, ale to, co jste napsal, už nesmažete. Celé tohle začalo tím, že jste polemizoval s mým tvrzením, že prohlížeč nestahuje původní zdrojové soubory ale jen minifikované soubory. Teď se z toho snažíte vykroutit, že jste vlastně nemyslel soubory, ale jenom jejich části.

Pak jste tvrdil, že minifikovaný kód podstatně stíží útočníkovi hledání chyb – a nakonec z vás jako příklad vypadlo volání funnkce eval. Jo, to se bude v minifikovaném souboru fakt těžko hledat – otevřít soubor v editoru a dát vyhledat eval, to je fuška.

Příště, až zase budete chtít diskutovat o něčem, čemu moc nerozumíte, raději se na to vykašlete. Je to lepší, než pak své přešlapy zkoušet maskovat tím, že z ostatních děláte blby.

je napsané neprofesionálně
Zkuste si zjistit, jaký je rozdíl mezi psaním programu a jeho buildováním. Navíc jsem uváděl důvody, proč může dávat smysl mít i na produkci nějakou dobu dostupné sourcemapy a původní zdrojový kód. To, že něčemu nerozumíte, neznamená, že je to špatně.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Filip Jirsák 06. 05. 2021, 23:21:59
Je teda to Moneta bankovnictví na webu bezpečné, nebo ne ? Protože jestli ne, asi by se to mělo eskalovat
Nenarazili jsme tu na nic, co by dávalo důvod domnívat se, že to bankovnictví není bezpečné.

Pane Jirsáku, zcela věcně: co máte pořád proti “security through obscurity” ? Jistě, úhelný kámen bezpečnosti to být nemůže, neboť by to indukovalo falešný pocit bezpečí , ale jako doplněk je to naprosto v pořádku, prostě je to v obecném slova smyslu tajemství.
Ne, security through obscurity není v obecném smyslu tajemství. Za security through obscurity je označována situace, kdy se někdo snaží skrývat něco, co principiálně skrýt nejde. Je možné to trochu zakrýt, zamlžit, ale nejde to doopravdy skrýt. To je rozdíl oproti skutečnému tajemství, které můžete schovat a schováváte úplně.

Pokud o tom někdo uvažuje jako o doplňku, je to právě ten falešný pocit bezpečí. Když budete mít bezpečnostní dveře, kování odolné proti odvrtání a tři bezpečnostní zámky, nebudete na ty dveře „jako doplněk“ instalovat zámeček z nějaké dětské hry, který se rozpadne jenom když se na něj ošklivě podíváte. Každému je jasné, že kdo si poradí s tím vším zabezpečením okolo, bez mrknutí oka si poradí i s tím dětským zámečkem. Security through obscurity funguje právě jen jako vzbuzení falešného pocitu bezpečí – když jsem tomu věnoval čas a energii, tak to přece musí mít nějaký přínos, ne? Jenže ten přínos je jen teoretický, je neměřitelný, a hlavně nevypovídá vynaložené energii. Kdyby se ta energie věnovala skutečnému zabezpečení, zlepšila by se bezpečnost třeba jen málo, ale pořád by to bylo víc, než ten neměřitelný teoretický přínos security through obscurity.

Nebo se na to můžete podívat opačně. Pokud by internetové bankovnictví bylo tak špatně zabezpečené, že by na něj dokázal zaútočit i někdo, komu znatelně pomůže, že vidí i neminifikovaný kód frontendu, má to bankovnictví řádově větší problém než ten čitelný kód frontendu. Když běžci nezanedbatelně pomůže to, že ho na startu posunete krok před startovní čáru, je vám jasné, že ten běžec nepoběží ultramaraton.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Tomáš Procházka 07. 05. 2021, 13:35:30
Nebo o vysoké, protože se neřídí pocity ale skutečně rozumí tomu, co dělají. Já na základě informací, které mám, nedokážu rozhodnout, co z toho je pravda.
ano, to je vidět, pokud jejich stránky proženu třeba Lighthousem... Výkon stránky 1% ze 100%.

+ manifest.json https://ib.moneta.cz/manifest.json (https://ib.moneta.cz/manifest.json) je tak, jak ho vyplivl `create-react-app` https://reactjs.org/docs/create-a-new-react-app.html#create-react-app (https://reactjs.org/docs/create-a-new-react-app.html#create-react-app)

V monetě jsem se omylem ocitl*, a ty jejich podpisy přes iPady jsou tak super a cool, ze jsme se vždy zdrželi 15 minut na marných pokusech, a pak sem stejne podepisoval papír.
Trochu mi to přijde jako adaptace moderních technologií ve stylu cargo cultu.
Věřím, že tam mají i "SCRUM".

* klient, ne dev :) Zalozeni uctu bylo soucasti podivneho procesu pri zadosti o pujcku. Pujcku sem nevzal a pak mesic rusil ucet.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: FKoudelka 07. 05. 2021, 21:43:32


Pane Jirsáku, zcela věcně: co máte pořád proti “security through obscurity” ? Jistě, úhelný kámen bezpečnosti to být nemůže, neboť by to indukovalo falešný pocit bezpečí , ale jako doplněk je to naprosto v pořádku, prostě je to v obecném slova smyslu tajemství.
Citace
Ne, security through obscurity není v obecném smyslu tajemství. Za security through obscurity je označována situace, kdy se někdo snaží skrývat něco, co principiálně skrýt nejde. Je možné to trochu zakrýt, zamlžit, ale nejde to doopravdy skrýt. To je rozdíl oproti skutečnému tajemství, které můžete schovat a schováváte úplně.
Pokud o tom někdo uvažuje jako o doplňku, je to právě ten falešný pocit bezpečí. Když budete mít bezpečnostní dveře, kování odolné proti odvrtání a tři bezpečnostní zámky, nebudete na ty dveře „jako doplněk“ instalovat zámeček z nějaké dětské hry, který se rozpadne jenom když se na něj ošklivě podíváte. Každému je jasné, že kdo si poradí s tím vším zabezpečením okolo, bez mrknutí oka si poradí i s tím dětským zámečkem.
No nevím nač dětský zámeček, ale když před trezor dám skříň nebo ho někam schovám, tak asi nic nezkazím, že… jasně že to nikoho nezastaví, ale může to prodloužit čas nebo složitost hledání a dobývání nad kritickou mez zájmu zloděje. To, kde je ví třeba jen rodina a beru to jako naše tajemství v obecném slova  smyslu . Nehledejte v tom definici. Díky za názor.
Název: Re:Proč se webové stránky napojují na localhost
Přispěvatel: Lukas1500 18. 05. 2021, 15:52:24
No nevím nač dětský zámeček, ale když před trezor dám skříň nebo ho někam schovám, tak asi nic nezkazím, že… jasně že to nikoho nezastaví, ale může to prodloužit čas nebo složitost hledání a dobývání nad kritickou mez zájmu zloděje. To, kde je ví třeba jen rodina a beru to jako naše tajemství v obecném slova  smyslu .

To jsem chtěl také napsat, ale pak jsem si uvědomil, že v případě banky do toho trezoru leze spousta lidí, kteří tím pádem budou také vědět, že je za skříní či ve které zdi je.

Jiný případ by byl, kdyby ten obří a nedobytný trezor měl část mechanismu zámku viditelnou přes sklo. Většina lidí by si ten mechanismus neprohlížela nebo by si řekla "páni, to je složitý mechanismus" ale někomu by to třeba napovědělo. Ledaže by ten mechanismus za sklem byl falešný za účelem svedení útočníka ze správné stopy...
Název: Re:Proč se webové stránky napojují na localhost, bezpečnost na frontendu
Přispěvatel: Vietnamka 19. 05. 2021, 09:47:41
Nechci se pouštět doprostřed bojového pole pod logickou palbou, ale možná by se našel jeden příklad, kdy bezpečnost na frontendu je důležitá :
v případě použití end to end šifrování, samozřejmě to není podmínka dostačující (protože frontend kockonců generuje server někde daleko)