Otázka zní: proč dělat něco, co usnadní útočníkovi útok, byť jen třeba o malý fous
To by byla dobrá otázka, kdyby to útok opravu usnadňovalo. Což je ovšem čirá spekulace, se kterou tady komentující operují opakovaně, ale zatím nikdo nepřišel ani s náznakem důkazu, že by to útok usnadňovalo.
On stačí už jen ten fakt, že to vypadá neprofesionálně - což (viz reakce v této diskusi) evidentně přinejmenším části odborné veřejnosti připadá.
Otázka je, zda laici dokáží rozpoznat, co vypadá profesionáoně a co ne.
Nezřídka je každá z těch chyb defakto benigní. Sama o sobě by nijak bezpečnost letu neovlivnila. Ale souběh více takových chyb ano.
Nikoli, jsou to chyby, které ovlivňují bezpečnost letu. Akorát v běžných případech nedojde k fatálním následkům, protože bezpečnost letu je zajištěna na více úrovních. Jedna nebo dvě chyby tedy bezpečnost ovlivní, ale nezpůsobí nehodu.
Webový frontend aplikace ovšem neptří k prvkům zajišťujícím bezpečnost aplikace.
Jak vidíš, poměrně dost lidí tady v diskusi to za "best practicie" považuje.
Nejen z důvodu bezpečnosti: také z důvodu rychlejšího nahrávání stránek.
To, že to považují za „best practice“ lidi, kteří nemají s webovým vývojem nic společného, ovšem nevypovídá o ničem. Oba „důvodyx“ (bezpečnost i rychlost nahrávání) už jsem vyvrátil.
Ano. S leteckými předpisy je to úplně stejně. Na začátku dokonce předpisy nebyly vůbec. Pravidla a "best practicies" jsou až reakcí na problémy.
Jenže zdrojové kódy před transpilací dostupné na serveru nejsou žádný problém. Transpilace usnadňuje vývoj, na bezpečnost nemá vůbec žádný vliv. Minifikace zmenšuje objem přenášených dat – ale v případě IB Monety prohlížeč používá minifikované soubory, takže to je v pořádku.
Ano, pro ultralighty také platí podstatně mírnější pravidla, než pro komerční dopravní letectví.
Pro webové stránky provozovatele ultralightů a komerčního dopravce v letectví ale platí stejná pravidla.
Btw. píšeš, že s jednoduchými weby se to tak dělá dodnes. Tedy implicitně tvrdíš, že se složitějšími se to tak už nedělá. Tak vidíš, že je "normální to dělat". Tedy že se to "zpravidla" dělá......
Že se to zpravidla dělá jsem psal už na minulé stránce, to jste nemusel tak složitě odvozovat. To, že se to zpravidla dělá, ovšem neznamená, že dělat to jinak je špatně.
Mohou být v minifikovaném kódu např. jako názvy samotných endpointů v rámci nějaké struktury API
Což uvidíte i v minifikovaném kódu, fakt to není nijak skryté.
A to je nezřídka právě ten faktor, který rozhoduje o tom, zdali bude daný systém hacknut nebo ne.
Pokud je backend děravý, pro jeho hacknutí opravdu není potřeba si číst pěkně okomentovaný kód frontendu.
Zámek, co máš do bytu, také není nepřekonatelný. Je jen tak obtížně překonatelný, že útočníkovi se nevyplatí na to plácat čas. Vystavit zdrojové kód je totéž, jako napsat na dveře: zloději, zámek odvrtávejte zde - a zde je místo nepokryté kamerovým systémem.
Ne, to není totéž. Když máte děravý backend a „zabezpečíte“ ho kódem, který si má uživatel spustit ve svém prohlížeči, je to jako kdybyste dal zloději klíče od bytu a doufal, že až bude zloděj ve vašem bytě, bude opatrný a nic nerozbije. Na to, že by dokonce mohl něco ukrást, přitom ani nepomyslíte.
Ne, bezpečnost webových aplikací vážně nikdy nikdy nikdy nemůže být založena na tom, co dělá frontendový kód. Pokud někdo tvrdí opak, může o profesionalitě nebo best practice vyprávět, co chce – že o problematice nic neví už dal najevo dávno.