Bez ohledu na to, jestli je to nebo není bankovnictví - pokud v tom FE není žádná kritická logika, případně nějaké pokusy o enkrypci dat, či nějaký obfuskovací kód, a de-fakto zveřejněné zdrojáky neusnadní nějaký útok na toto, je to, jestli tam jsou, nebo ne.. vcelku úplně jedno,
Kritická logika v tom asi nebude. To ovšem neznamená, že to nemůže nějak odkrýt např. strukturu API, což útočníkovi může usnadnit další útok. Ale to není to podstatné.
Koukni se někdy na nějaký seriál o leteckých nehodách. Letecké katastrofy se nestávají proto, že někdo udělá jednu obrovskou katastrofální chybu. Zpravila se stávají proto, že nebyla dodržována pravidla - a souhrn mnoha "neškodných" chyb dá dohromady průšvih. Proto je v letectví takový důraz na dodržování pravidel - i když se z vnějšku často zdají jako formalismus. A bankovnictví v oboru SW je podobně "precizní obor", jako letectví v průmyslu.
Samozřejmě, je možné, že to bylo "ojedinělé opomenutí" a jinak je jejich E-banking dobrá práce. Ale dá se o tom vcelku důvodně pochybovat. Právě proto, že nedodržují "standard practicies", nemají procesy nastaveny tak, aby se takováto věc nestala. Je tedy klidně možný, že ten jejich současný systém je neprůstřelný. Ale co až tam někdo vyrobí opravdovou díru? Všimne si ji někdo, než přijde do produkce? A každý programátor někdy díru udělá....
Nemůže tam být žádná logika (mimo GUI), která není zduplikovaná i na serveru.
Strukturu API odhalí hlavně výpis volání, ale i pokud byste chtěl získat další adresy, na které jste při zkoušení nenarazil, minifikovnaý kód je nijak neskryje.
K leteckým nehodám nedochází po sérii neškodných chyb, ale po sérii reálných chyb. U webové aplikace může být reálná chyba na frontendu jen v použitelnosti. Pokud půjde o bezpečnostní chybu, bude vždy na serveru. (Existuje pár okrajových výjimek, kterými tu nemá smysl se zabývat. I ty výjimky by znamenaly, že „útočník“ může poškodit maximálně sám sebe. Minifikovaný kód mu v tom nijak nezabrání ani mu to nijak významně nezkomplikuje.)
Když to přirovnáváte k letectví – pokud by někoho napadlo, že bezpečnostní kontrolu pasažérů i zavazadel si cestující mohou udělat už doma a na letiště jen přijdou s vytištěným potvrzením, zda prošli nebo neprošli (bez jakéhokoli bezpečnostního prvku na tom papíře), bude celkem zbytečné zabývat se tím, jestli ten postup domácí kontroly je pro cestující zjevný nebo je mírně skrytý. Skutečný problém by byl v tom, že si ten papír potvrzující úspěšné absolvování kontroly může vyrobit každý sám, bez ohledu na to, zda nějakou kontrolu doma dělal nebo ne. Diskutovat o tom, zda je problém, že ten postup domácí kontroly je zjevný, je v takovém případě úplně mimo.
Žádné pravidlo, že na serveru musí být jen mimifikovaný kód, neexistuje. Většinu doby, co existuje web, se na server dával přesně ten samý kód, který napsal programátor. Bez jakékoli minifikace nebo jiné úpravy. U jednoduchých webů se to tak dělá dodnes, protože nestojí za to to řešit. Minifikace, která přejmenovává věci v kódu, je jen dočasná anomálie, protože je spojená s vytvářením bundlů. Prohlížeče ale už dlouho podporují HTTP/2, dnes už podporují i JavaScript moduly a WebComponents, takže od vytváření velkých bundlů se bude upouštět ve prospěch aplikací, které budou modulární i v prohlížeči. Přejmenování se tím pádem přestane používat, protože by bylo obtížné udržet stejné přejmenování v různých verzích kódu.
Zobrazit příspěvky
