Zobrazit příspěvky

Připojovací podmínky jsou smluvní závazky zákazníka (které podmiňují povinnost poskytovatele splnit smlouvu), "definice služby" je závazek poskytovatele. Evidentně jde tedy o ortogonální ustanovení uzavřené smlouvy a není to ani náhodou totéž.

Jo, takže když se ISP zaváže vytvořit přípojku v Praze a zákazník vytvoří podmínky pro připojení v Ostravě, perfektně to klapne, protože „připojovací podmínky“ a „definice služby“ jsou na sobě zcela nezávislé.

Kolikrát mám napsat, že dle zákonů ČR je ISP povinen plnit smlouvu, nikoli nějaké očekávání.

Na tomhle jsme se shodli někde na straně 2 této diskuse. Ovšem ukázalo se, že ta smlouva používá pojem, který nemá žádnou závaznou definici. Takže diskuse pokračovala dál a snažili jsme se odvodit nějakou definici pojmu „služba veřejné IP adresy“. Evidentně bez vás. Tak až si tu diskusi dostudujete a budete schopen diskutovat o tom, jak odvodit definici pojmu „služba veřejné IP adresy“, můžeme pokračovat.

Nebude možné ověřit, zdali ISP je schopen poskytnout službu VIPA tak, jak jsi ji definoval Ty. Protože pokud např. ISP poskytuje NAT 1:1 označený veřejná IP, tak podle Tvé definice:Přijde zákazník 1 objedná veřejnou IP. ISP opravdu zpřístupní služby definované tímto zákazníkem, tedy závazek splní.
Přijde zákazník 2 objedná veřejnou IP. Protože bude chtít IPSEC, tak ISP naprosto stejnou službou smluvní závazek nesplní.
Tedy je z toho vidět, že tak, jak jsi definoval veřejno IP, jde ve skutečnosti nikoli o jednu službu, ale o několik různých služeb. Tedy není bez zákazníka dobře definovaná, a tedy nejde bez zákazníka ověřit, zdali ISP poskytuje službu VIPA.Co jde ověřit je, zdali poskytuje službu NAT 1:1. Nebo zdali poskytuje (skutečnou tedy routovanou) veřejnou IP. Protože to jsou dobře definované služby "nezávislé na zákazníkovi".

Račte už konečně pochopit, že poskytování určité služby neznamená, že uspkojíte všechny zákazníky, kteří takovou službu požadují. Poskytování služby znamená, že uspokojíte nezanedbatlenou část zákazníků požadujících takovou službu. Autoservis nepochybně poskytuje službu opravy aut, opraví vám na autě nejrůznější závady – ale když se s nimi budete domlouvat, že byste přivezl své BMW, řeknou vám, že dělají pouze koncernová auta. Hospoda nepochybně nabízí služu stravování, můžete si tam dát svíčkovou, guláš, utopence – ale když tam přijde vegan, z nabídky si nevybere. Student Agency nepochybně poskytuzje službu autobusové dopravy, ale z Mostu do Bíliny vás pravidelnou linkou neodveze. Už to chápete?

Citace: FKoudelka 06. 05. 2021, 21:54:03

A jakékoli očekávání zákazníka nemá naprosto žádný vliv na to, kdy, kam a jak ten autobus pojede.

Akorát že není řeč o tom, že by zákazník určoval, jak bude služba vypadat, ale určuje, zda byla služba splněna. Když dopravce nadefinuje svou linku Praha–Brno tak, že skončí v Humpolci na náměstí, bude to sice hezké, ale nedodrží smlouvu o dopravě z Prahy do Brna. Protože zákazník očekává, že linka Praha–Brno ho doveze do Brna.

1205

Odkladiště / Re:Proč se webové stránky napojují na localhost

« kdy: 06. 05. 2021, 23:21:59 »

Je teda to Moneta bankovnictví na webu bezpečné, nebo ne ? Protože jestli ne, asi by se to mělo eskalovat

Nenarazili jsme tu na nic, co by dávalo důvod domnívat se, že to bankovnictví není bezpečné.

Citace: FKoudelka 06. 05. 2021, 21:54:03

Pane Jirsáku, zcela věcně: co máte pořád proti “security through obscurity” ? Jistě, úhelný kámen bezpečnosti to být nemůže, neboť by to indukovalo falešný pocit bezpečí , ale jako doplněk je to naprosto v pořádku, prostě je to v obecném slova smyslu tajemství.

Ne, security through obscurity není v obecném smyslu tajemství. Za security through obscurity je označována situace, kdy se někdo snaží skrývat něco, co principiálně skrýt nejde. Je možné to trochu zakrýt, zamlžit, ale nejde to doopravdy skrýt. To je rozdíl oproti skutečnému tajemství, které můžete schovat a schováváte úplně.

Pokud o tom někdo uvažuje jako o doplňku, je to právě ten falešný pocit bezpečí. Když budete mít bezpečnostní dveře, kování odolné proti odvrtání a tři bezpečnostní zámky, nebudete na ty dveře „jako doplněk“ instalovat zámeček z nějaké dětské hry, který se rozpadne jenom když se na něj ošklivě podíváte. Každému je jasné, že kdo si poradí s tím vším zabezpečením okolo, bez mrknutí oka si poradí i s tím dětským zámečkem. Security through obscurity funguje právě jen jako vzbuzení falešného pocitu bezpečí – když jsem tomu věnoval čas a energii, tak to přece musí mít nějaký přínos, ne? Jenže ten přínos je jen teoretický, je neměřitelný, a hlavně nevypovídá vynaložené energii. Kdyby se ta energie věnovala skutečnému zabezpečení, zlepšila by se bezpečnost třeba jen málo, ale pořád by to bylo víc, než ten neměřitelný teoretický přínos security through obscurity.

Nebo se na to můžete podívat opačně. Pokud by internetové bankovnictví bylo tak špatně zabezpečené, že by na něj dokázal zaútočit i někdo, komu znatelně pomůže, že vidí i neminifikovaný kód frontendu, má to bankovnictví řádově větší problém než ten čitelný kód frontendu. Když běžci nezanedbatelně pomůže to, že ho na startu posunete krok před startovní čáru, je vám jasné, že ten běžec nepoběží ultramaraton.

1206

Odkladiště / Re:Proč se webové stránky napojují na localhost

« kdy: 06. 05. 2021, 22:57:39 »

Citace: Logik 06. 05. 2021, 22:17:45

Snažíte se z toho vykecat, ale to, co jste napsal, už nesmažete. Celé tohle začalo tím, že jste polemizoval s mým tvrzením, že prohlížeč nestahuje původní zdrojové soubory ale jen minifikované soubory. Teď se z toho snažíte vykroutit, že jste vlastně nemyslel soubory, ale jenom jejich části.

Pak jste tvrdil, že minifikovaný kód podstatně stíží útočníkovi hledání chyb – a nakonec z vás jako příklad vypadlo volání funnkce eval. Jo, to se bude v minifikovaném souboru fakt těžko hledat – otevřít soubor v editoru a dát vyhledat eval, to je fuška.

Příště, až zase budete chtít diskutovat o něčem, čemu moc nerozumíte, raději se na to vykašlete. Je to lepší, než pak své přešlapy zkoušet maskovat tím, že z ostatních děláte blby.

Citace: Logik 06. 05. 2021, 22:17:45

je napsané neprofesionálně

Zkuste si zjistit, jaký je rozdíl mezi psaním programu a jeho buildováním. Navíc jsem uváděl důvody, proč může dávat smysl mít i na produkci nějakou dobu dostupné sourcemapy a původní zdrojový kód. To, že něčemu nerozumíte, neznamená, že je to špatně.

1207

Odkladiště / Re:Proč se webové stránky napojují na localhost

« kdy: 06. 05. 2021, 21:06:11 »

Víš, normální člověk, když si není jistý, na co druhý reagoval, tak se zeptá.

Normální člověk reaguje tak, aby bylo jasné, na co reaguje. Jenže to vy jste nechtěl, protože by bylo vidět, jak je vaše reakce nesmyslná.

pokud je prokázáno, že ta stránka se zbytečně připojuje někam, tak prostě tam je prokazatelně zbytečný skript dělající to připojení

„Skript“ obvykle znamená celý soubor. Pokud je v souboru 4 MB kódu a z toho možná kilobajt kódu, který dělá zbytečnou věc, neznamená to, že celý skript je zbytečný.

Samozřejmě, že u nemalé části phisingu (např. zaměřené na elektronické bankovnictví) to je s čím porovnatelné, protože URL se snaží napodobovat orginální URL, které uživatel zná.

Nezná. Málokdy zná adresu tak dobře, aby si byl jistý a rozpoznal podvod na první pohled. Jinak by phishing nefungoval.

Navíc je to vlastně jedno, protože zadávat hesla na "mailem zaslaném odkazu" je stejné porušení pravidel bezpečnosti uživatelem, jako nezkontrolování čísla účtu v SMS.

Není. Adresu otevřenou z e-mailu můžu dodatečně zkontrolovat. Když potvrdím transakci, kontrolovat něco dodatečně často nedává smysl.

Takže i kdyby to co tvdíš byla pravda (jako že není), tak to nijak nevyvrací to, co jsem tvrdil: že pod otázky bezpečnosti patří i co největší prevence "uživatelských chyb" vedoucích k úspěšnému útoku.

Víš, v Tvém omezeném světě, kde existují pouze útoky typu "(catch, modify and) replay", tak nijak. Ale jak jsem Ti v předchozích postech doložil, tak pod pojmem bezpečnost webové aplikace spadá podstatně více problematik a podstatně více druhů útoků, než jen ten "replay".

No jo, mistr světa, všechno ví, všechno zná, nikdo jiný to znát nemůže. Proč pak polemizujete s tím, že prohlížeč v případě IB Monety nestahuje žádné zbytečné soubory a tvrdíte, že stahuje zbytečné skripty? Proč tu obhajujete security through obscurity? To podle vás patří do best practice?

A některým z těchto jiných útoků brání dobře napsaný frontend.

Já bych spíš řekl, že špatně napsaný frontend některé útoky umožňuje. To, že nepoužívám eval() (což je to jediné, co z vás zatím vypadlo), není žádný dobře napsaný frontend. To je naprostý základ, a pokud někdo nedodrží ani to, je to velice špatně napsaný kód. (Samozřejmě s výjimkou případů, kdy někdo opravdu dobře ví, co dělá – ale to není nic do této diskuse.)

Nechceš toho už nechat? Jen dokolečka prokazuješ, že problematice webové bezpečnosti prostě nerozumíš.

Pokud je pro vás základem webové bezpečnosti security through obscurity, pak vaší webové bezpečnosti opravdu nerozumím.

V podstatě dokolečka tady různými slovy opakuješ, že považuješ aplikaci zabezpečenou proti jednomu z mnoha druhů útoků za bezpečnou, což je prostě kravina.

Nesmysl.

Zamysli se, proč je to druhý faktor. Že by někde existoval první faktor?

Bingo. Zkuste nad tím ještě chvíli uvažovat, třeba na to přijdete, co je ten první faktor.

Tady jen potvrzuješ, že uživatelův "počítač" - a mezi což patří i bezpečnost frontendové aplikace - mezi zabezpečení IB prostě patří.

Samozřejmě. Akorát že minifikace kódu není způsob zabezpečení.

1208

Odkladiště / Re:Proč se webové stránky napojují na localhost

« kdy: 06. 05. 2021, 17:56:34 »

Nebo chceš tvrdit, že víš lépe, na co jsem reagoval svým že Tě okradl, než já?

Máte to skvěle zmáknuté. Nejdřív napíšete něco, z čeho vůbec není patrné, na co reagujete. A pak mi vynadáte, že přece nemůžu vědět, na co jste reagoval.

Reagoval jsem na odstavec, jde jsi tvrdil, že zabezpečení backendu řeší to, že si někdo napíše PIN na kartu. Což prostě neřeší, protože v okamžiku, kdy zareaguje ochrana na backendu (limity), tak už jsi okradenej.

Ochrana na backendu je potvrzovací kód, který musíte zadat, aby transakce proběhla.

Ano, děláš ze sebe blba, když tvrdíš, že stránka nic zbytečného nestahuje a nedokážeš uznat omyl.Ta stránka prokazatelně stahuje a spouští skript který umožňuje reload stránky při vývoji. A tendle skript tam prostě nemá co dělat, zpomaluje už tak nechutně nakynutý stránky.

Prokazatelně znamená, že ve výčtu stahovaných skriptů vyší označíte ten skript, který je zbytečný. Jenže nic takového se vám prokázat nepodaří, protože žádný z těch skriptů není zbytečný. Zbytečná je možná část kódu.

Když jsem napsal, že stránka neprovádí žádnýá kód, který není potřeba, byl to opravdu omyl – zapomněl jsem na to, že je tam patrně ta podpora pro live reload. Na mou omluvu – reagoval jsem na tvrzení, že stránka stahuje sourcemapy, původní zdrojové kódy a zbytečné skripty. Že bude v bundlu pár zbytečných řádek, jsem neřešil. Ostatně ono tam toho zbytečného kódu nejspíš bude víc, bundler nepracuje tak, že by ořezal na kost přesně jenom ten kód, který je pro danou stránku bezpodmínečně nutný. Ale mohl jsem v tom být absolutně přesný a napsat, že nestahuje žádné zbytečné soubory.

Jsem zvědav, jestli svůj omyl dokážete uznat také vy.

Jako že jsi si myslel že mít "neděravou aplikaci" do bezpečnosti nepatří???

Považoval jsem to za samezřejmost, která je splněná před tím, než začnete řešit bezpečnost.

Ale prostě jsi evidentně netušil, co vše do bezpečnosti webové aplikace patří a ignoroval jsi problémy, které by měl v otázce bezpečnosti znát a řešit i slušný junior. Ale měl jsi tu drzost v diskusi ostatní označovat za laiky a arogantně poučovat.

Samozřejmě že vím, co do bezpečnosti webové aplikace patří. Akorát se snažíte zamaskovat, že vy jste netušil, že prohlížeč nestahuje sourcemapy a už vůbec ne v nich odkázané soubory, když si uživatel normálně zobrazí stránku (bez vývojářských nástrojů).

Takže vlastně celej phishing a opatření proti němu se vlastně vůbec netýká zabezpečení prohlížeče, protože stačí dobře číst a není to problém.... Aha....

Nevím, jak přečtením zjistíte, že adresa je špatně. Abyste to zjistil, musíte ji s něčím porovnat – obvykle ale není s čím. Číslo účtu v SMS je s čím porovnat – s tím číslem účtu, které jste právě zadal.

Jenže ono nemusí jít o nečtení, může jít např. o napadení telefonu.

Právě proto se používá druhý faktor. Protože aby byl útočník úspěšný, musel by napadnout uživatelův počítač a zároveň telefon.

Právě proto je zabezpečenej i frontend, a není to tak, že by mohl poslat požadavek kdokoli a bezpečnost záležela jen na potvrzení SMS.

Aha, takže ten zabezpečenej frontend mi brání v tom, abych si odchytil, jaký JSON s požadavkem prohlížeč posílá, a pak stejně strukturovaný požadavek poslal třeba přes curl. A pěkně prosím, jak přesně mi v tom ten frontend brání?

Bezpečnost frontendu je jeden z faktorů bezpečnosti IB, úplně stejně, jako bezpečnost telefonu, kam Ti choděj SMS. Aby útočník IB zneužil, musí je překonat všechny. A právě proto, že ať už uživatel svým hloupým chováním, nebo hacker zneužitím chyby nebo kombinací může být nabourána bezpečnost jedné z vrstev bezpečnosti, je bezpečnost vícefaktorová.

Bezpečnost zahrnuje i řešení toho, že se uživatelé nechovají vždy 100% ideálně a tím oslabujou bezpečnost použitejch řešení (nečtou SMS, maj zavirovanej prohlížeč apod.). Bezpečnost spoléhající se na to, že se všichni chovájí "správně" není bezpečnost, ale iluze bezpečnosti. To je další ze školáckých pouček, kterou by měl znát každej, kdo se jen trochu ochomejtá kolem bezpečnosti - a kterou tu implicitně popíráš.

Aha, takže phishing vlastně vůbec neexistzuje. Protože to by znamenalo, že útočník musí údělat web, který bude vypadat stejně, jako originální IB. A tomu přece brání bezpečný frontend.

1209

Odkladiště / Re:Proč se webové stránky napojují na localhost

« kdy: 06. 05. 2021, 13:47:27 »

Citace
Neokradl.
Psal jsi "někdo s ní může vybrat až do výše limitu z bankomatu.". Tedy ten někdo Tě prostě okradl. Tak prosím takto primitivně nelži, je to trapné.

Akorát že to byla reakce úplně na něco jiného.

Ty jsi Tvrdil, že security je čistě otázka backendu.

Ano, protože jsem za bezpečnost považoval aktivní kroky, které brání nějakým útokům. Pokud do bezpečnosti frontendu počítáte i to, že na frontendu nebudete mít odkaz na stažení zavirovaného EXE souboru, pak musíte opravdu bezpečnost řešit i na frontendu.

Ne Filipe, zábavné je, že neznáš úplné základy web-security, a přitom tu vystupuješ jako člověk, co snědl moudrost světa a snažíš se ostatní poučovat a dělat z nich blby.

Já z nikoho blby nedělám. Blba ze sebe dělá sám ten, kdo tvrdí, že se stahují zbytečné skripty, sourcemaps apod.

Citace: Logik 06. 05. 2021, 12:31:19

To, že je tam další rovina zabezpečení např. v telefonu pomocí SMS je pravda, ovšem protože nemálo lidí čístlo účtu v došlé SMS nekontroluje, je toto zabezpečení nedostatečné. Proto ano, úspěšné nabourání JS na frontendu (které umožní pozměnit číslo účtu příjemce) je podstatné narušení bezpečnosti IB. A pokud to furt popíráš, tak další debata nemá smysl, protože pak seš evidentně schopen popřít i nos mezi očima, abys nemusel uznat omyl.

Pokud někdo číslo účtu v SMS nekontroluje, je náchylný ke spoustě různých útoků. Ale OK, uznávám, pokud do zabezpečení aplikace zahrnujete i vyvarování se triviálně nebezpečným konstrukcím typu eval(), pak je skutečně potřeba zabezpečit i frontend.

1210

Odkladiště / Re:Proč se webové stránky napojují na localhost

« kdy: 06. 05. 2021, 12:53:23 »

Okradl Tě? Okradl.

Neokradl.

Pokud používáte na frontendu eval(), pak frontend opravdu zabezpečit potřebujete. Nejlépe tak, že si najdete jinou práci.

Vaše představa, že nechtěnému převodu na cizí účet brání JavaScriptový kód v prohlížeči, je opravdu zábavná.

1211

Odkladiště / Re:Proč se webové stránky napojují na localhost

« kdy: 06. 05. 2021, 12:24:05 »

Citace: hurvajs spejbl 06. 05. 2021, 11:24:31

Samozřejmě, minimálně tím, že source mapy jsou docela pamětově náročné (zbytečně zvyšují přenášené bajty;

Myslím, že na server se ten jeden soubor navíc vejde. Přenášené bajty by to zvyšovalo, kdyby se přenášely.

Tady je seznam GET požadavků na hostname ib.moneta.cz na úvodní stránce IB Monety po vyprázdnění cache v prohlížeči. Prohlížeč je Chrome 90.0. Máte to tam i s velikostí souborů a dobou vyřízení požadavku.

Kód: [Vybrat]

https://ib.moneta.cz/	GET	200	4.1kb	37ms
https://ib.moneta.cz/static/css/main.dd038447.chunk.css	GET	200	29.9kb	90ms
https://ib.moneta.cz/static/css/2.83a38660.chunk.css	GET	200	170.9kb	109ms	
https://ib.moneta.cz/config.json	GET	200	599b	144ms
https://ib.moneta.cz/static/js/main.ab9551fd.chunk.js	GET	200	3.9mb	954ms
https://ib.moneta.cz/static/js/2.699be89f.chunk.js	GET	200	3.6mb	948ms
https://ib.moneta.cz/config.json	GET	200	599b	28ms
https://ib.moneta.cz/static/js/pdf.worker.entry.eb113c7a.worker.js	GET	200	667.3kb	124ms
https://ib.moneta.cz/static/media/login_default_background.fe96d08d.svg	GET	200	1.6kb	116ms
https://ib.moneta.cz/static/media/login-old-redirect.d66fe5b3.svg	GET	200	267.6kb	158ms
https://ib.moneta.cz/static/media/login_default_background.fe96d08d.svg	GET	200	1.6kb	145ms
https://ib.moneta.cz/static/js/8rwzPySP46.js	GET	200	205.2kb	223ms
https://ib.moneta.cz/vendors/launch/97dcc26c2440/4b6116328f07/launch-063e383bd603.min.js	GET	200	155.4kb	277ms
https://ib.moneta.cz/manifest.json	GET	200	306b	79ms
https://ib.moneta.cz/vendors/launch/97dcc26c2440/4b6116328f07/db4982d31bbc/hostedLibFiles/EPbde2f7ca14e540399dcc1f8208860b7b/AppMeasurement.min.js	GET	200	32.7kb	84ms
https://ib.moneta.cz/vendors/launch/97dcc26c2440/4b6116328f07/db4982d31bbc/hostedLibFiles/EPbde2f7ca14e540399dcc1f8208860b7b/AppMeasurement_Module_ActivityMap.min.js	GET	200	3.2kb	101ms

Snad se teď konečně dozvím, který z těch souborů je sourcemap.

Citace: hurvajs spejbl 06. 05. 2021, 11:24:31

Z mého pohledu to je jako bych na platební kartu napsal PIN.

Když na platební kartu napíšete PIN a ztratíte ji, někdo s ní může vybrat až do výše limitu z bankomatu. A může vybírat tak dlouho, dokud kartu nezablokujete. Když někdo ušetří pár vteřin nebo minut tím, že má kód rovnou v čitelné podobě, stejně narazí na zabezpečení na backendu. Když někdo založení bezpečnost na frontendu, je to jako napsat PIN na platební kartu a doufat, že když ji někdo najde, PINu si nevšimne.

1212

Odkladiště / Re:Proč se webové stránky napojují na localhost

« kdy: 06. 05. 2021, 08:53:06 »

Citace: stefan.samecek 06. 05. 2021, 08:01:44

Je smutné že tento thread má 47 příspěvků a jenom 4 jsou od původního tazatele $:-\$
a odpověď řešící dotaz žádná ...

Odpověď řešící dotaz tu je – #20.

1213

Odkladiště / Re:Proč se webové stránky napojují na localhost

« kdy: 05. 05. 2021, 21:59:31 »

Sorry, Filipe, ale opět klasika - docházejí Ti arugmenty, tak začínáš agumentovat ad hominem. Mluv za sebe, jestli o dané věci nic moc nevíš Ty ještě neznamená, že s webovým vývojem nemají zkušenosti ostatní..... :-)
Tvrdit, že já to vidím správně, protože všichni ostatní jsou laici, to je jen varianta naprosto učebnicové arogance: "já vím všechno nejlíp".

Za se to překrucujete. Laici jsou ti, kteří když se dozví o bezpečnostní díře na backendu, vrhnou se na minifikaci frontendu a myslí si, že tím něco zachrání.

Minifikovaný kód je řádově obtížnější na čtení, než původní. Sorry, ale tady pronášíš kategorické soudy o věci, se kterou evidentně nemáš reálné praktické zkušenosti.

V prohlížeči máte takové kouzelné tlačítko, které minifikovaný kód hezky zformátuje. Takže z té původní nečitelné hrůzy zbyde nečitelné už jenom to, že jsou možná přejmenované identifikátory. Jenže prohlížeč má další kouzelná tlačítka, která umožňují vkládat breakpointy a krokovat kód. Takže ten kód nemusíte číst, můžete ho prostě krokovat. Pro pochopení fungování kódu to bohatě stačí. Vím to, protože to tak dělám.

Není. Nahrávat "neužitečné" skripty a provádět na klientu nějaký kód, který není k funkčnosti stránky potřeba je z hlediska UX naprosto stejný problém, jako nahrávat neminifikované soubory. Zbytečné zpomalení.

NO, a tady se zase ukazuje, že jste laik, který o tom nic neví. Klient žádné neužitečné skripty nenahrává a neprovádí žádný kód, který není k funkčnosti stránky potřeba. Už jsem to psal několikrát. Když neotevřete vývojářské nástroje, prohlížeč stáhne do posledního bitu to samé, jako kdyby na serveru zdrojové kódy nahrané nebyly.

Ovšem frontend bankovnictví klíčová infrastruktura je, neboť nemálo bezpečnostních problému (jako např. ochrana proti XSS) jsou záležitosti frontendu

Mýlíte se. Ochrana proti XSS je samozřejmě záležitostí backendu. Kdyby byla na frontendu, útočník si ji prostě vypne a máte po ochraně. Nejblíž frontendu má nastavení hlaviček CSP, což ovšem není záležitost apliakce běžící na frontendu, ale serveru, který tu aplikaci servíruje.

Pokud Ti někdo úspěšně napadne frontend, tak mu to např. podstatně usnadní provádění různých variant phisingových útoků atd. atd.....

Jako že si otevřu internetové bankovnictví, pak si ho v DevTools pozměním a pak těm změnám sám uvěřím a napadnu sám sebe? Abychom si ujasnili, co je frontend – frontend je to, co je nahrané v prohlížeči.

Ale vývoj frontendu jde zpravidla v úzké součinnosti s vývojem backendu, že jde opět o úplně jiný případ: zatímco piloti a webaři mohou mít úplně jinou "firemní kulturu", tak pokud jsou někde lajdáci frontendáři, tak zpravidla jsou i backendáři.

Vývoj backendu a frontendu může být úplně oddělený, mohou to dělat různé firmy. A hlavně jste pořád ještě nedokázal, že jde o nějaké lajdáctví.

Zaprve to co tvrdíš je blbina. Bezpečnost webových aplikací závisí I NA FRONTENDU. Viz předchozí odstavec.

Pochopte už konečně, že frontend má plně ve své moci uživatel. Takže na tom nemůže záviset bezpečnost, protože uživatel má možnost cokoli vypnout, změnit, upravit. Mám vám natočit video, kde budete mít bezpečnost založenou na frontendu, ve formuláři nastavím atribut required – a pak si ho v DevTools vymažu a celou vaši slavnou frontendovou bezpečnost tak vygumuju?

Zadruhé je to z Tvé strany další argumentační faul: že když neumíš vyvrátit to, co tvrdím, tak můj argument překroutíš, abys měl co kritizovat.
Netvrdil jsem, že na tom bezpečnost stojí (byť vlastně i stojí, viz výš).

Aha, takže argumentaulu se na vás opravdu někdo dopustil – akorátjste to byl vy.

Tvrdil jsem, že to zesložiťuje případný útok.

To sice tvrdíte, ale to údajné zesložitění je pod rozlišovací schopnost přístrojů. Vy vyrobíte bezpečnostní chybu, které má hodnotu 1 000 000 000, a pak začnete bazírovat na tom, že jste ale snížil závažnost chyby o 0,0000000001.

Bezpečnost zámku také nestojí na tom, že útočník neví, kde vrtat, ale na tom, že je z "tvrdokovu" a tedy velmi obtížně odvrtatelný. Ale znalost, kde vrtat a kam se postavit, abych nebyl vidět na kameře, urychlí a usnadní provedení útoku.

Jistě. Jenže vy zloději neporadíte, kde má vrtat. Vy ho přivedete do otevřeného bytu, řeknete mu, že odjíždíte na čtrnáct dní na dovolenou, dáte mu do ruky klíče. A pak se chlubíte: Já jsem ale jeho možný útok zesložitil. Dal jsem do předsíně obraz od F. R. Čecha a pokud ho zloděj nemá rád, možná se lekne a uteče. No jo, fajn, útok jste zesložitil. Ale možná by víc pomohlo neotevřít tomu zloději byt a nedat mu klíče.

Nedodržování best-practicies v jedné věci je důvodem k tomu se domnívat, že se nedodržují i v jiných věcech.

Už jsem vám napsal, že žádné takové best-practices nejsou. Ani nevíte, co a jak webový prohlížeč stahuje ze serveru, takže vaše povědomí o best-practices webového vývoje asi bude stejně hodnotné.

příliš dlouhé načítání stránky kvůli zbytečně dlouhému kódu

Vaše smůla je, že každý, kdo se alespoň trošku orientuje ve webovém vývoji, ví, jaké píšete nesmysly. Ten kód je pořád stejně dlouhý, protože se při vývoji minifikuje úplně stejně, jako u produkční verze.

tak je to důvod k pochybnostem, jak jsou dodržována další pravidla ohledně bezpečnosti

Problém je pořád v tom, že se neorientujete v problematice, a na základě své neznalosti činíte dalekosáhlé závěry.

Při hackování potřebuješ odhalit ty, které jsou chybně implementované, a to jsou zpravidla právě ty, které se nepoužívají moc často. A právě takové requesty nemusíš nasimulovat, ale v zdrojovém kódu je můžeš vyhledat. Znalost zdrojového kódu Ti často hodně pomůže porozumět významu requestu a tedy můžeš snáz odhadnout, kde nechal autor toho api "díru".

Lidé, kteří se webovému vývoji věnují, opravdu nepotřebují ten zdrojový kód krásně čitelný a opoznámkovaný. I v minifikovaném kódu najdu požadavky a porozumím významu requestu.

Váš přístup je ukázkový příklad security through obscurity, což je bad practice. Boíte se, že máte chybu v backendu, a místo toho, abyste to řešil, doufáte, že na to nikdo nepřijde, když přejmenujete funkce na frontendu.

1214

Odkladiště / Re:Proč se webové stránky napojují na localhost

« kdy: 05. 05. 2021, 13:21:07 »

Otázka zní: proč dělat něco, co usnadní útočníkovi útok, byť jen třeba o malý fous

To by byla dobrá otázka, kdyby to útok opravu usnadňovalo. Což je ovšem čirá spekulace, se kterou tady komentující operují opakovaně, ale zatím nikdo nepřišel ani s náznakem důkazu, že by to útok usnadňovalo.

On stačí už jen ten fakt, že to vypadá neprofesionálně - což (viz reakce v této diskusi) evidentně přinejmenším části odborné veřejnosti připadá.

Otázka je, zda laici dokáží rozpoznat, co vypadá profesionáoně a co ne.

Nezřídka je každá z těch chyb defakto benigní. Sama o sobě by nijak bezpečnost letu neovlivnila. Ale souběh více takových chyb ano.

Nikoli, jsou to chyby, které ovlivňují bezpečnost letu. Akorát v běžných případech nedojde k fatálním následkům, protože bezpečnost letu je zajištěna na více úrovních. Jedna nebo dvě chyby tedy bezpečnost ovlivní, ale nezpůsobí nehodu.

Webový frontend aplikace ovšem neptří k prvkům zajišťujícím bezpečnost aplikace.

Jak vidíš, poměrně dost lidí tady v diskusi to za "best practicie" považuje.
Nejen z důvodu bezpečnosti: také z důvodu rychlejšího nahrávání stránek.

To, že to považují za „best practice“ lidi, kteří nemají s webovým vývojem nic společného, ovšem nevypovídá o ničem. Oba „důvodyx“ (bezpečnost i rychlost nahrávání) už jsem vyvrátil.

Ano. S leteckými předpisy je to úplně stejně. Na začátku dokonce předpisy nebyly vůbec. Pravidla a "best practicies" jsou až reakcí na problémy.

Jenže zdrojové kódy před transpilací dostupné na serveru nejsou žádný problém. Transpilace usnadňuje vývoj, na bezpečnost nemá vůbec žádný vliv. Minifikace zmenšuje objem přenášených dat – ale v případě IB Monety prohlížeč používá minifikované soubory, takže to je v pořádku.

Ano, pro ultralighty také platí podstatně mírnější pravidla, než pro komerční dopravní letectví.

Pro webové stránky provozovatele ultralightů a komerčního dopravce v letectví ale platí stejná pravidla.