Proč se webové stránky napojují na localhost

Re:Proč se webové stránky napojují na localhost
« Odpověď #45 kdy: 05. 05. 2021, 15:03:33 »
A k
Citace
minifikovnaý kód je nijak neskryje
To není ani náhodou pravda. Mohou být v minifikovaném kódu např. jako názvy samotných endpointů v rámci nějaké struktury API, parametry k nim pak se mohou doplňovat v jiných funkcích. Samozřejmě, za pomoci reverse engeneering to jde všechno dohledat, ale stojí to podstatný čas a úsilí. A to je nezřídka právě ten faktor, který rozhoduje o tom, zdali bude daný systém hacknut nebo ne.

Zámek, co máš do bytu, také není nepřekonatelný. Je jen tak obtížně překonatelný, že útočníkovi se nevyplatí na to plácat čas. Vystavit zdrojové kód je totéž, jako napsat na dveře: zloději, zámek odvrtávejte zde - a zde je místo nepokryté kamerovým systémem.

na to ale nepotřebuju ten kod ani mimifikovaný ani původní .. stačí se podívat na requesty, co jdou na server.


Logik

  • *****
  • 1 022
    • Zobrazit profil
    • E-mail
Re:Proč se webové stránky napojují na localhost
« Odpověď #46 kdy: 05. 05. 2021, 18:28:52 »
Filip:
Citace
To, že to považují za „best practice“ lidi, kteří nemají s webovým vývojem nic společného
Sorry, Filipe, ale opět klasika - docházejí Ti arugmenty, tak začínáš agumentovat ad hominem. Mluv za sebe, jestli o dané věci nic moc nevíš Ty ještě neznamená, že s webovým vývojem nemají zkušenosti ostatní..... :-)
Tvrdit, že já to vidím správně, protože všichni ostatní jsou laici, to je jen varianta naprosto učebnicové arogance: "já vím všechno nejlíp".


Citace
Což uvidíte i v minifikovaném kódu, fakt to není nijak skryté.
Minifikovaný kód je řádově obtížnější na čtení, než původní. Sorry, ale tady pronášíš kategorické soudy o věci, se kterou evidentně nemáš reálné praktické zkušenosti.
Citace
ale v případě IB Monety prohlížeč používá minifikované soubory, takže to je v pořádku.
Není. Nahrávat "neužitečné" skripty a provádět na klientu nějaký kód, který není k funkčnosti stránky potřeba je z hlediska UX naprosto stejný problém, jako nahrávat neminifikované soubory. Zbytečné zpomalení.

Citace
Pro webové stránky provozovatele ultralightů a komerčního dopravce v letectví ale platí stejná pravidla.
Ano, protože webové stránky dopravce nepatří ke "klíčové letecké infrastruktuře". Ovšem frontend bankovnictví klíčová infrastruktura je, neboť nemálo bezpečnostních problému (jako např. ochrana proti XSS) jsou záležitosti frontendu (zdaleka ne vše je zajištěno explicitní autentifikací na serveru po prvotním přihlášení).Takže v tomto je Tvůj příměr úplně mimo. Pokud Ti někdo úspěšně napadne frontend, tak mu to např. podstatně usnadní provádění různých variant phisingových útoků atd. atd.....
Další mimoňství toho argumentu spočívá v tom, že autor webových stránek leteckého dopravce nemá např. s piloty společného vůbec nic. Ale vývoj frontendu jde zpravidla v úzké součinnosti s vývojem backendu, že jde opět o úplně jiný případ: zatímco piloti a webaři mohou mít úplně jinou "firemní kulturu", tak pokud jsou někde lajdáci frontendáři, tak zpravidla jsou i backendáři.

Citace
Ne, bezpečnost webových aplikací vážně nikdy nikdy nikdy nemůže být založena na tom, co dělá frontendový kó
Zaprve to co tvrdíš je blbina. Bezpečnost webových aplikací závisí I NA FRONTENDU. Viz předchozí odstavec.

Zadruhé je to z Tvé strany další argumentační faul: že když neumíš vyvrátit to, co tvrdím, tak můj argument překroutíš, abys měl co kritizovat.
Netvrdil jsem, že na tom bezpečnost stojí (byť vlastně i stojí, viz výš). Tvrdil jsem, že to zesložiťuje případný útok. Bezpečnost zámku také nestojí na tom, že útočník neví, kde vrtat, ale na tom, že je z "tvrdokovu" a tedy velmi obtížně odvrtatelný. Ale znalost, kde vrtat a kam se postavit, abych nebyl vidět na kameře, urychlí a usnadní provedení útoku.

Nedodržování best-practicies v jedné věci je důvodem k tomu se domnívat, že se nedodržují i v jiných věcech. Tedy i kdyby to nakrásně byla jen chyba UI (příliš dlouhé načítání stránky kvůli zbytečně dlouhému kódu), tak je to důvod k pochybnostem, jak jsou dodržována další pravidla ohledně bezpečnosti. A to nejen pro nás, ale i pro hackery - tedy je větší šance, že se někdo takovou stránku pokusí napadnout. A nějaká chyba je snad v každém SW.


JenTak:
Citace
na to ale nepotřebuju ten kod ani mimifikovaný ani původní .. stačí se podívat na requesty, co jdou na server.
Teoreticky ano. Prakticky znalost zdrojového kódu Ti podstatně urychlí analýzu API a vyhledání potenciálně slabých míst, a to z mnoha důvodů.
  • na server Ti nikdy nepůjdou všechny requesty na všechny api, co server nabízí. Při hackování potřebuješ odhalit ty, které jsou chybně implementované, a to jsou zpravidla právě ty, které se nepoužívají moc často. A právě takové requesty nemusíš nasimulovat, ale v zdrojovém kódu je můžeš vyhledat.
  • z console browseru sice vidíš requesty, ale nevidíš význam parametrů. Znalost zdrojového kódu Ti často hodně pomůže porozumět významu requestu a tedy můžeš snáz odhadnout, kde nechal autor toho api "díru".
  • ....

Re:Proč se webové stránky napojují na localhost
« Odpověď #47 kdy: 05. 05. 2021, 21:59:31 »
Sorry, Filipe, ale opět klasika - docházejí Ti arugmenty, tak začínáš agumentovat ad hominem. Mluv za sebe, jestli o dané věci nic moc nevíš Ty ještě neznamená, že s webovým vývojem nemají zkušenosti ostatní..... :-)
Tvrdit, že já to vidím správně, protože všichni ostatní jsou laici, to je jen varianta naprosto učebnicové arogance: "já vím všechno nejlíp".
Za se to překrucujete. Laici jsou ti, kteří když se dozví o bezpečnostní díře na backendu, vrhnou se na minifikaci frontendu a myslí si, že tím něco zachrání.

Minifikovaný kód je řádově obtížnější na čtení, než původní. Sorry, ale tady pronášíš kategorické soudy o věci, se kterou evidentně nemáš reálné praktické zkušenosti.
V prohlížeči máte takové kouzelné tlačítko, které minifikovaný kód hezky zformátuje. Takže z té původní nečitelné hrůzy zbyde nečitelné už jenom to, že jsou možná přejmenované identifikátory. Jenže prohlížeč má další kouzelná tlačítka, která umožňují vkládat breakpointy a krokovat kód. Takže ten kód nemusíte číst, můžete ho prostě krokovat. Pro pochopení fungování kódu to bohatě stačí. Vím to, protože to tak dělám.

Není. Nahrávat "neužitečné" skripty a provádět na klientu nějaký kód, který není k funkčnosti stránky potřeba je z hlediska UX naprosto stejný problém, jako nahrávat neminifikované soubory. Zbytečné zpomalení.
NO, a tady se zase ukazuje, že jste laik, který o tom nic neví. Klient žádné neužitečné skripty nenahrává a neprovádí žádný kód, který není k funkčnosti stránky potřeba. Už jsem to psal několikrát. Když neotevřete vývojářské nástroje, prohlížeč stáhne do posledního bitu to samé, jako kdyby na serveru zdrojové kódy nahrané nebyly.

Ovšem frontend bankovnictví klíčová infrastruktura je, neboť nemálo bezpečnostních problému (jako např. ochrana proti XSS) jsou záležitosti frontendu
Mýlíte se. Ochrana proti XSS je samozřejmě záležitostí backendu. Kdyby byla na frontendu, útočník si ji prostě vypne a máte po ochraně. Nejblíž frontendu má nastavení hlaviček CSP, což ovšem není záležitost apliakce běžící na frontendu, ale serveru, který tu aplikaci servíruje.

Pokud Ti někdo úspěšně napadne frontend, tak mu to např. podstatně usnadní provádění různých variant phisingových útoků atd. atd.....
Jako že si otevřu internetové bankovnictví, pak si ho v DevTools pozměním a pak těm změnám sám uvěřím a napadnu sám sebe? Abychom si ujasnili, co je frontend – frontend je to, co je nahrané v prohlížeči.

Ale vývoj frontendu jde zpravidla v úzké součinnosti s vývojem backendu, že jde opět o úplně jiný případ: zatímco piloti a webaři mohou mít úplně jinou "firemní kulturu", tak pokud jsou někde lajdáci frontendáři, tak zpravidla jsou i backendáři.
Vývoj backendu a frontendu může být úplně oddělený, mohou to dělat různé firmy. A hlavně jste pořád ještě nedokázal, že jde o nějaké lajdáctví.

Zaprve to co tvrdíš je blbina. Bezpečnost webových aplikací závisí I NA FRONTENDU. Viz předchozí odstavec.
Pochopte už konečně, že frontend má plně ve své moci uživatel. Takže na tom nemůže záviset bezpečnost, protože uživatel má možnost cokoli vypnout, změnit, upravit. Mám vám natočit video, kde budete mít bezpečnost založenou na frontendu, ve formuláři nastavím atribut required – a pak si ho v DevTools vymažu a celou vaši slavnou frontendovou bezpečnost tak vygumuju?

Zadruhé je to z Tvé strany další argumentační faul: že když neumíš vyvrátit to, co tvrdím, tak můj argument překroutíš, abys měl co kritizovat.
Netvrdil jsem, že na tom bezpečnost stojí (byť vlastně i stojí, viz výš).
Aha, takže argumentaulu se na vás opravdu někdo dopustil – akorátjste to byl vy.

Tvrdil jsem, že to zesložiťuje případný útok.
To sice tvrdíte, ale to údajné zesložitění je pod rozlišovací schopnost přístrojů. Vy vyrobíte bezpečnostní chybu, které má hodnotu 1 000 000 000, a pak začnete bazírovat na tom, že jste ale snížil závažnost chyby o 0,0000000001.

Bezpečnost zámku také nestojí na tom, že útočník neví, kde vrtat, ale na tom, že je z "tvrdokovu" a tedy velmi obtížně odvrtatelný. Ale znalost, kde vrtat a kam se postavit, abych nebyl vidět na kameře, urychlí a usnadní provedení útoku.
Jistě. Jenže vy zloději neporadíte, kde má vrtat. Vy ho přivedete do otevřeného bytu, řeknete mu, že odjíždíte na čtrnáct dní na dovolenou, dáte mu do ruky klíče. A pak se chlubíte: Já jsem ale jeho možný útok zesložitil. Dal jsem do předsíně obraz od F. R. Čecha a pokud ho zloděj nemá rád, možná se lekne a uteče. No jo, fajn, útok jste zesložitil. Ale možná by víc pomohlo neotevřít tomu zloději byt a nedat mu klíče.

Nedodržování best-practicies v jedné věci je důvodem k tomu se domnívat, že se nedodržují i v jiných věcech.
Už jsem vám napsal, že žádné takové best-practices nejsou. Ani nevíte, co a jak webový prohlížeč stahuje ze serveru, takže vaše povědomí o best-practices webového vývoje asi bude stejně hodnotné.

příliš dlouhé načítání stránky kvůli zbytečně dlouhému kódu
Vaše smůla je, že každý, kdo se alespoň trošku orientuje ve webovém vývoji, ví, jaké píšete nesmysly. Ten kód je pořád stejně dlouhý, protože se při vývoji minifikuje úplně stejně, jako u produkční verze.

tak je to důvod k pochybnostem, jak jsou dodržována další pravidla ohledně bezpečnosti
Problém je pořád v tom, že se neorientujete v problematice, a na základě své neznalosti činíte dalekosáhlé závěry.

Při hackování potřebuješ odhalit ty, které jsou chybně implementované, a to jsou zpravidla právě ty, které se nepoužívají moc často. A právě takové requesty nemusíš nasimulovat, ale v zdrojovém kódu je můžeš vyhledat. Znalost zdrojového kódu Ti často hodně pomůže porozumět významu requestu a tedy můžeš snáz odhadnout, kde nechal autor toho api "díru".
Lidé, kteří se webovému vývoji věnují, opravdu nepotřebují ten zdrojový kód krásně čitelný a opoznámkovaný. I v minifikovaném kódu najdu požadavky a porozumím významu requestu.

Váš přístup je ukázkový příklad security through obscurity, což je bad practice. Boíte se, že máte chybu v backendu, a místo toho, abyste to řešil, doufáte, že na to nikdo nepřijde, když přejmenujete funkce na frontendu.

Re:Proč se webové stránky napojují na localhost
« Odpověď #48 kdy: 06. 05. 2021, 08:01:44 »
Je smutné že tento thread má 47 příspěvků a jenom 4 jsou od původního tazatele  :-\
a odpověď řešící dotaz žádná ...

Re:Proč se webové stránky napojují na localhost
« Odpověď #49 kdy: 06. 05. 2021, 08:41:00 »
Je smutné že tento thread má 47 příspěvků a jenom 4 jsou od původního tazatele  :-\
a odpověď řešící dotaz žádná ...

Přesně tak. Pan Jirsák spouští flamewar absolutně všude s kadencí ruského trolla.


Re:Proč se webové stránky napojují na localhost
« Odpověď #50 kdy: 06. 05. 2021, 08:53:06 »
Je smutné že tento thread má 47 příspěvků a jenom 4 jsou od původního tazatele  :-\
a odpověď řešící dotaz žádná ...
Odpověď řešící dotaz tu je – #20.

Re:Proč se webové stránky napojují na localhost
« Odpověď #51 kdy: 06. 05. 2021, 09:25:36 »
Odpověď řešící dotaz je tady: #5

Re:Proč se webové stránky napojují na localhost
« Odpověď #52 kdy: 06. 05. 2021, 11:24:31 »
Vadí to snad něčemu?
Samozřejmě, minimálně tím, že source mapy jsou docela pamětově náročné (zbytečně zvyšují přenášené bajty; což ie důvod proč se obsfukují všechny zdroje). Pak jde podle mě částečně i o bezpečnostní rizika - plně čitelný kód může být lépe napadnutelný (minifikovaný kód je mnohem hůře čitelný, ikdyž neříkám, že nejde zpětně převést, ale i tak jeho čitelnost bude mnohem horší). V poslední řadě prostě ukazujete něco, co by němělo být vidět. Z mého pohledu to je jako bych na platební kartu napsal PIN. A jak jsem psal, z mého pohledu je source map na produkci amaterismus.

Ne, tam je to úplně chtěné. Kdyby to nebylo chtěné, tak by nikdo pracně nevymýslel, jak to udělat, a pak by to všechny nástroje pracně neimplementovaly.
na tohle nemám argument... :-D

Nehledě na to, že source mapy, nejsou to jediné, co tam nemá být

Re:Proč se webové stránky napojují na localhost
« Odpověď #53 kdy: 06. 05. 2021, 11:29:33 »
...ze dnes sa uz weby vobec nepisu aby isli uplne bez JS. Uz to tu pisem po neviem kolky krat, web sa vydal cestou ktora sa mi nepaci...
jste v 21. století, klient má dnes takové HW možnosti, že není důvod, vše řešit na BE. Pokud Vám to vadí, sežeňte si 486, Win 3.1 a odstěhujte se do salaše v tatrách, pak Vám nebude vadit JS, který se mimojiné nepoužívá jen na webech... ;-)

Re:Proč se webové stránky napojují na localhost
« Odpověď #54 kdy: 06. 05. 2021, 11:33:30 »
Nebo o vysoké, protože se neřídí pocity ale skutečně rozumí tomu, co dělají. Já na základě informací, které mám, nedokážu rozhodnout, co z toho je pravda.
ano, to je vidět, pokud jejich stránky proženu třeba Lighthousem... Výkon stránky 1% ze 100%.

Re:Proč se webové stránky napojují na localhost
« Odpověď #55 kdy: 06. 05. 2021, 12:24:05 »
Samozřejmě, minimálně tím, že source mapy jsou docela pamětově náročné (zbytečně zvyšují přenášené bajty;
Myslím, že na server se ten jeden soubor navíc vejde. Přenášené bajty by to zvyšovalo, kdyby se přenášely.

Tady je seznam GET požadavků na hostname ib.moneta.cz na úvodní stránce IB Monety po vyprázdnění cache v prohlížeči. Prohlížeč je Chrome 90.0. Máte to tam i s velikostí souborů a dobou vyřízení požadavku.

Kód: [Vybrat]
https://ib.moneta.cz/ GET 200 4.1kb 37ms
https://ib.moneta.cz/static/css/main.dd038447.chunk.css GET 200 29.9kb 90ms
https://ib.moneta.cz/static/css/2.83a38660.chunk.css GET 200 170.9kb 109ms
https://ib.moneta.cz/config.json GET 200 599b 144ms
https://ib.moneta.cz/static/js/main.ab9551fd.chunk.js GET 200 3.9mb 954ms
https://ib.moneta.cz/static/js/2.699be89f.chunk.js GET 200 3.6mb 948ms
https://ib.moneta.cz/config.json GET 200 599b 28ms
https://ib.moneta.cz/static/js/pdf.worker.entry.eb113c7a.worker.js GET 200 667.3kb 124ms
https://ib.moneta.cz/static/media/login_default_background.fe96d08d.svg GET 200 1.6kb 116ms
https://ib.moneta.cz/static/media/login-old-redirect.d66fe5b3.svg GET 200 267.6kb 158ms
https://ib.moneta.cz/static/media/login_default_background.fe96d08d.svg GET 200 1.6kb 145ms
https://ib.moneta.cz/static/js/8rwzPySP46.js GET 200 205.2kb 223ms
https://ib.moneta.cz/vendors/launch/97dcc26c2440/4b6116328f07/launch-063e383bd603.min.js GET 200 155.4kb 277ms
https://ib.moneta.cz/manifest.json GET 200 306b 79ms
https://ib.moneta.cz/vendors/launch/97dcc26c2440/4b6116328f07/db4982d31bbc/hostedLibFiles/EPbde2f7ca14e540399dcc1f8208860b7b/AppMeasurement.min.js GET 200 32.7kb 84ms
https://ib.moneta.cz/vendors/launch/97dcc26c2440/4b6116328f07/db4982d31bbc/hostedLibFiles/EPbde2f7ca14e540399dcc1f8208860b7b/AppMeasurement_Module_ActivityMap.min.js GET 200 3.2kb 101ms

Snad se teď konečně dozvím, který z těch souborů je sourcemap.

Z mého pohledu to je jako bych na platební kartu napsal PIN.
Když na platební kartu napíšete PIN a ztratíte ji, někdo s ní může vybrat až do výše limitu z bankomatu. A může vybírat tak dlouho, dokud kartu nezablokujete. Když někdo ušetří pár vteřin nebo minut tím, že má kód rovnou v čitelné podobě, stejně narazí na zabezpečení na backendu. Když někdo založení bezpečnost na frontendu, je to jako napsat PIN na platební kartu a doufat, že když ji někdo najde, PINu si nevšimne.

Logik

  • *****
  • 1 022
    • Zobrazit profil
    • E-mail
Re:Proč se webové stránky napojují na localhost
« Odpověď #56 kdy: 06. 05. 2021, 12:31:19 »
Citace
Takže z té původní nečitelné hrůzy zbyde nečitelné už jenom to, že jsou možná přejmenované identifikátory.
Jenom? ??? ? Přejmenované identiikátory (v rozumně napsaném kódu) Ti proces ladění a porozumění kódu podstatně zpomalují. Řádově. Debugoval jsi vůbec někdy cizí kód? ???

Citace
Jenže prohlížeč má další kouzelná tlačítka, která umožňují vkládat breakpointy a krokovat kód.
Auuu. Jako takže jako budu každou funkci krokovat? A to jako si myslíš, že něco takovýho je třeba jen vzdáleně podobně efektivní, jako když si tu funkci prostě přečtu? ???
Citace
O, a tady se zase ukazuje, že jste laik, který o tom nic neví. Klient žádné neužitečné skripty nenahrává a neprovádí žádný kód, který není k funkčnosti stránky potřeba.
Je ten websocket pro uživatele k něčemu? Není. Otevírá ho nahraný kód do browseru? Otevírá.Nahrává a provádí se tedy "neužitečný kód"? Provádí.
Klasika - to, že se někdo do druhého začne navážet je vždy známka toho, že mu došli argumenty.
Citace
Mýlíte se. Ochrana proti XSS je samozřejmě záležitostí backendu. Kdyby byla na frontendu, útočník si ji prostě vypne a máte po ochraně.
Jednoznačná kravina. Některé XSS útoky jsou ošetřitelné pomocí hlaviček. Ovšem některé (např. nejtriviálnější je např. když je v kódu funkce eval na hash za URL) žádnejma hlavičkama prostě neošetříš, i kdyby ses na hlavu postavil. A i ty, které CSP zachytí: ještě jsou v provozu browsery, které CSP nepodporují, takže neřešit to, že to CSP zachytí je diletantština. CSP je ochrana proti chybám ve frontendovém kódu, ne že dáš CSP a o bezpečnost frontendu se nemusíš starat.

Sorry, ale todle jsou úplné základy. Bavit se o bezpečnosti a todle neznat - a prohlašovat ostatní za laiky? ??? ?

(A jako třešnička na dortu - to Moneta IB "samozřejmě" žádné CSP hlavičky neposílá, což je jen další známka neprofesionality té aplikace. )

Citace
Pochopte už konečně, že frontend má plně ve své moci uživatel. Takže na tom nemůže záviset bezpečnost,
A ty zkus pochopit, že existují dva způsoby narušení bezpečnosti, jeden je ochrana aplikace "před uživatelem" - tedy aby si např. uživatel nepřevedl něco z cizího účtu - a tam je Tvá námitka validní.

Ovšem bezpečnost aplikace zahrnuje i ochranu uživatele před tím, aby ho nějaká třetí strana vmanipulovala do něčeho, co nechce, i když je to z hlediska "serveru" naprosto validní požadavek (např. aby útočník nezměnil číslo účtu kam se prostředky převádějí)a pro tuto rovinu  je Tvoje námitka naprosto nesmyslná - a právě tato rovina bezpečnosti je záležitost přinejmenším stejnětak frontendu, jako backendu.
Citace
Když někdo ušetří pár vteřin nebo minut tím, že má kód rovnou v čitelné podobě, stejně narazí na zabezpečení na backendu.
???? Okradl Tě? Okradl. Tedy vyřešilo zabezpečení backendu všechny problémy? Nevyřešilo. Pro to, aby Tě neokradl, tak musí být jak zabezpečený backend, tak i frontend. Toto je z Tvé strany argumentační faul falešné generalizace, kdy z toho, že některé problémy se řeší na backendu vyvozuješ, že tam jdou vyřešit problémy všechny.

---

Ač bych mohl pokračovat ve vyvracení, tak na zbytek reagovat nebudu - sorry, ale diskuse s člověkem, co je přesvědčenej, že je jedinej profík v diskusi: a co věta to perla, to mne nějak přestalo bavit.

Re:Proč se webové stránky napojují na localhost
« Odpověď #57 kdy: 06. 05. 2021, 12:53:23 »
Okradl Tě? Okradl.
Neokradl.

Pokud používáte na frontendu eval(), pak frontend opravdu zabezpečit potřebujete. Nejlépe tak, že si najdete jinou práci.

Vaše představa, že nechtěnému převodu na cizí účet brání JavaScriptový kód v prohlížeči, je opravdu zábavná.

Logik

  • *****
  • 1 022
    • Zobrazit profil
    • E-mail
Re:Proč se webové stránky napojují na localhost
« Odpověď #58 kdy: 06. 05. 2021, 13:15:56 »
Citace
Neokradl.
Psal jsi "někdo s ní může vybrat až do výše limitu z bankomatu.". Tedy ten někdo Tě prostě okradl. Tak prosím takto primitivně nelži, je to trapné.

Citace
Pokud používáte na frontendu eval
A todle je trapná výmluva a snaha se vylhat osobním útokem. Ty jsi Tvrdil, že security je čistě otázka backendu. Teď jsem Tě přinutil připustit, že existuje pravidlo pro frontend (eval se nemá používat), které je třeba pro dodržení bezpečnosti dodržet. To, že se to trapně snažíš obrátit proti mně nic nemění na tom, že evidentně jsi celou dobu tvrdil nesmysly, že zabezpečení je čistě otázka backendu.Těch pravidel co je třeba dodržet na frontendu je samozřejmě více (ošetřování vkládaného HTML závislého na uživateli, správný parsing Jsonu, správné skládání url, atd.. atd....) - jen jsem Ti na tom úplně nejtriviálnějším příkladu ukázal nesmyslnost Tvého tvrzení, že security je jen otázka backendu a tedy že neprofesionalita frontendu nemá co dělat s bezpečností bankovní aplikace.

Citace
Vaše představa, že nechtěnému převodu na cizí účet brání JavaScriptový kód v prohlížeči, je opravdu zábavná.
Ne Filipe, zábavné je, že neznáš úplné základy web-security, a přitom tu vystupuješ jako člověk, co snědl moudrost světa a snažíš se ostatní poučovat a dělat z nich blby.

To, že je tam další rovina zabezpečení např. v telefonu pomocí SMS je pravda, ovšem protože nemálo lidí čístlo účtu v došlé SMS nekontroluje, je toto zabezpečení nedostatečné. Proto ano, úspěšné nabourání JS na frontendu (které umožní pozměnit číslo účtu příjemce) je podstatné narušení bezpečnosti IB. A pokud to furt popíráš, tak další debata nemá smysl, protože pak seš evidentně schopen popřít i nos mezi očima, abys nemusel uznat omyl.

Re:Proč se webové stránky napojují na localhost
« Odpověď #59 kdy: 06. 05. 2021, 13:47:27 »
Citace
Neokradl.
Psal jsi "někdo s ní může vybrat až do výše limitu z bankomatu.". Tedy ten někdo Tě prostě okradl. Tak prosím takto primitivně nelži, je to trapné.
Akorát že to byla reakce úplně na něco jiného.

Ty jsi Tvrdil, že security je čistě otázka backendu.
Ano, protože jsem za bezpečnost považoval aktivní kroky, které brání nějakým útokům. Pokud do bezpečnosti frontendu počítáte i to, že na frontendu nebudete mít odkaz na stažení zavirovaného EXE souboru, pak musíte opravdu bezpečnost řešit i na frontendu.

Ne Filipe, zábavné je, že neznáš úplné základy web-security, a přitom tu vystupuješ jako člověk, co snědl moudrost světa a snažíš se ostatní poučovat a dělat z nich blby.
Já z nikoho blby nedělám. Blba ze sebe dělá sám ten, kdo tvrdí, že se stahují zbytečné skripty, sourcemaps apod.

To, že je tam další rovina zabezpečení např. v telefonu pomocí SMS je pravda, ovšem protože nemálo lidí čístlo účtu v došlé SMS nekontroluje, je toto zabezpečení nedostatečné. Proto ano, úspěšné nabourání JS na frontendu (které umožní pozměnit číslo účtu příjemce) je podstatné narušení bezpečnosti IB. A pokud to furt popíráš, tak další debata nemá smysl, protože pak seš evidentně schopen popřít i nos mezi očima, abys nemusel uznat omyl.
Pokud někdo číslo účtu v SMS nekontroluje, je náchylný ke spoustě různých útoků. Ale OK, uznávám, pokud do zabezpečení aplikace zahrnujete i vyvarování se triviálně nebezpečným konstrukcím typu eval(), pak je skutečně potřeba zabezpečit i frontend.