Proč se webové stránky napojují na localhost

Logik

  • *****
  • 974
    • Zobrazit profil
    • E-mail
Re:Proč se webové stránky napojují na localhost
« Odpověď #60 kdy: 06. 05. 2021, 15:28:56 »
Citace
Akorát že to byla reakce úplně na něco jiného.
To neokradl nebyla reakce na mé okradl? Nebo chceš tvrdit, že víš lépe, na co jsem reagoval svým že Tě okradl, než já? Teda, v originálnosti vejmluv mne furt překvapuješ....
Reagoval jsem na odstavec, jde jsi tvrdil, že zabezpečení backendu řeší to, že si někdo napíše PIN na kartu. Což prostě neřeší, protože v okamžiku, kdy zareaguje ochrana na backendu (limity), tak už jsi okradenej.

Citace
Blba ze sebe dělá sám ten, kdo tvrdí, že se stahují zbytečné skripty, sourcemaps apod.
Ano, děláš ze sebe blba, když tvrdíš, že stránka nic zbytečného nestahuje a nedokážeš uznat omyl.Ta stránka prokazatelně stahuje a spouští skript který umožňuje reload stránky při vývoji. A tendle skript tam prostě nemá co dělat, zpomaluje už tak nechutně nakynutý stránky.

Btw. ta stránka stahuje i plno dalších blbostí, včetně např. nějakého pdf-workeru, kterej je určitě na login-page potřeba, žejo.... Jako mít na jednoduchý login page skoro 9MB javascriptu????? Fakt profi práce....

Citace
Ano, protože jsem za bezpečnost považoval aktivní kroky, které brání nějakým útokům.
Jako že jsi si myslel že mít "neděravou aplikaci" do bezpečnosti nepatří???
Když porušíš pravidla vývoje na backendu, máš děravý backend. Když porušíš pravidla vývoje na frontendu, máš děravý frontend. Je to úplně to samé.

Nevím, za co jsi bezpečnost považoval. Ale prostě jsi evidentně netušil, co vše do bezpečnosti webové aplikace patří a ignoroval jsi problémy, které by měl v otázce bezpečnosti znát a řešit i slušný junior. Ale měl jsi tu drzost v diskusi ostatní označovat za laiky a arogantně poučovat.

Citace
Pokud někdo číslo účtu v SMS nekontroluje, je náchylný ke spoustě různých útoků.
Takže vlastně celej phishing a opatření proti němu se vlastně vůbec netýká zabezpečení prohlížeče, protože stačí dobře číst a není to problém.... Aha....
Samozřejmě, kdo nečte SMS, tak je náchylnej k různejm útokům. Třeba napadení frontendu. Jenže ono nemusí jít o nečtení, může jít např. o napadení telefonu. Nebo. Nebo. Právě proto je zabezpečenej i frontend, a není to tak, že by mohl poslat požadavek kdokoli a bezpečnost záležela jen na potvrzení SMS.
 Bezpečnost frontendu je jeden z faktorů bezpečnosti IB, úplně stejně, jako bezpečnost telefonu, kam Ti choděj SMS. Aby útočník IB zneužil, musí je překonat všechny. A právě proto, že ať už uživatel svým hloupým chováním, nebo hacker zneužitím chyby nebo kombinací může být nabourána bezpečnost jedné z vrstev bezpečnosti, je bezpečnost vícefaktorová.

Bezpečnost zahrnuje i řešení toho, že se uživatelé nechovají vždy 100% ideálně a tím oslabujou bezpečnost použitejch řešení (nečtou SMS, maj zavirovanej prohlížeč apod.). Bezpečnost spoléhající se na to, že se všichni chovájí "správně" není bezpečnost, ale iluze bezpečnosti. To je další ze školáckých pouček, kterou by měl znát každej, kdo se jen trochu ochomejtá kolem bezpečnosti - a kterou tu implicitně popíráš.
Citace
i vyvarování se triviálně nebezpečným konstrukcím typu eval(), pak
Víš, ono těch bezpečnostních problémů na frontendu je podstatně více, než jen ten triviální eval. Ale vzhledem k tomu, jak dlouho mi trvalo, než jsi aspoň částečně byl schopnej připustit, že vůbec nějakej bezpečnostní problém na frontendu může být, tak fakt nemám ani čas, ani náladu ti vysvětlovat podstatu dlaších, složitějších a v reálu k útokům použitelnejch nabourání bezpečnosti frontendu.
Smiř se s tím, že napsat frontend bezpečně není "automatické", že je k tomu třeba něco vědět a dodržovat určitá pravidla.A s dodržováním pravidel mají hoši z Monety evidentně problém, v diskusi už bylo poukázáno na X porušení pravidel dobrého webu (debugovací skripty na produkci, obecně velikost skriptů, s tím související nahrávání nepotřebného balastu potřebného až někde v hloubi webu, absence SCP....)

Btw., v tom útoku nemusí jít jen o podvržení plateb, kde Tě, když vše děláš správně, zachrání další vrstva zabezpečení. Může jít např. o krádeže výpisů z účtů, kde už další vrstva zabezpečení prostě není. Tam Ti stačí nabourat frontend a máš to, pro co sis přišel.


Re:Proč se webové stránky napojují na localhost
« Odpověď #61 kdy: 06. 05. 2021, 17:56:34 »
Nebo chceš tvrdit, že víš lépe, na co jsem reagoval svým že Tě okradl, než já?
Máte to skvěle zmáknuté. Nejdřív napíšete něco, z čeho vůbec není patrné, na co reagujete. A pak mi vynadáte, že přece nemůžu vědět, na co jste reagoval.

Reagoval jsem na odstavec, jde jsi tvrdil, že zabezpečení backendu řeší to, že si někdo napíše PIN na kartu. Což prostě neřeší, protože v okamžiku, kdy zareaguje ochrana na backendu (limity), tak už jsi okradenej.
Ochrana na backendu je potvrzovací kód, který musíte zadat, aby transakce proběhla.

Ano, děláš ze sebe blba, když tvrdíš, že stránka nic zbytečného nestahuje a nedokážeš uznat omyl.Ta stránka prokazatelně stahuje a spouští skript který umožňuje reload stránky při vývoji. A tendle skript tam prostě nemá co dělat, zpomaluje už tak nechutně nakynutý stránky.
Prokazatelně znamená, že ve výčtu stahovaných skriptů vyší označíte ten skript, který je zbytečný. Jenže nic takového se vám prokázat nepodaří, protože žádný z těch skriptů není zbytečný. Zbytečná je možná část kódu.

Když jsem napsal, že stránka neprovádí žádnýá kód, který není potřeba, byl to opravdu omyl – zapomněl jsem na to, že je tam patrně ta podpora pro live reload. Na mou omluvu – reagoval jsem na tvrzení, že stránka stahuje sourcemapy, původní zdrojové kódy a zbytečné skripty. Že bude v bundlu pár zbytečných řádek, jsem neřešil. Ostatně ono tam toho zbytečného kódu nejspíš bude víc, bundler nepracuje tak, že by ořezal na kost přesně jenom ten kód, který je pro danou stránku bezpodmínečně nutný. Ale mohl jsem v tom být absolutně přesný a napsat, že nestahuje žádné zbytečné soubory.

Jsem zvědav, jestli svůj omyl dokážete uznat také vy.

Jako že jsi si myslel že mít "neděravou aplikaci" do bezpečnosti nepatří???
Považoval jsem to za samezřejmost, která je splněná před tím, než začnete řešit bezpečnost.

Ale prostě jsi evidentně netušil, co vše do bezpečnosti webové aplikace patří a ignoroval jsi problémy, které by měl v otázce bezpečnosti znát a řešit i slušný junior. Ale měl jsi tu drzost v diskusi ostatní označovat za laiky a arogantně poučovat.
Samozřejmě že vím, co do bezpečnosti webové aplikace patří. Akorát se snažíte zamaskovat, že vy jste netušil, že prohlížeč nestahuje sourcemapy a už vůbec ne v nich odkázané soubory, když si uživatel normálně zobrazí stránku (bez vývojářských nástrojů).

Takže vlastně celej phishing a opatření proti němu se vlastně vůbec netýká zabezpečení prohlížeče, protože stačí dobře číst a není to problém.... Aha....
Nevím, jak přečtením zjistíte, že adresa je špatně. Abyste to zjistil, musíte ji s něčím porovnat – obvykle ale není s čím. Číslo účtu v SMS je s čím porovnat – s tím číslem účtu, které jste právě zadal.

Jenže ono nemusí jít o nečtení, může jít např. o napadení telefonu.
Právě proto se používá druhý faktor. Protože aby byl útočník úspěšný, musel by napadnout uživatelův počítač a zároveň telefon.

Právě proto je zabezpečenej i frontend, a není to tak, že by mohl poslat požadavek kdokoli a bezpečnost záležela jen na potvrzení SMS.
Aha, takže ten zabezpečenej frontend mi brání v tom, abych si odchytil, jaký JSON s požadavkem prohlížeč posílá, a pak stejně strukturovaný požadavek poslal třeba přes curl. A pěkně prosím, jak přesně mi v tom ten frontend brání?

Bezpečnost frontendu je jeden z faktorů bezpečnosti IB, úplně stejně, jako bezpečnost telefonu, kam Ti choděj SMS. Aby útočník IB zneužil, musí je překonat všechny. A právě proto, že ať už uživatel svým hloupým chováním, nebo hacker zneužitím chyby nebo kombinací může být nabourána bezpečnost jedné z vrstev bezpečnosti, je bezpečnost vícefaktorová.

Bezpečnost zahrnuje i řešení toho, že se uživatelé nechovají vždy 100% ideálně a tím oslabujou bezpečnost použitejch řešení (nečtou SMS, maj zavirovanej prohlížeč apod.). Bezpečnost spoléhající se na to, že se všichni chovájí "správně" není bezpečnost, ale iluze bezpečnosti. To je další ze školáckých pouček, kterou by měl znát každej, kdo se jen trochu ochomejtá kolem bezpečnosti - a kterou tu implicitně popíráš.
Aha, takže phishing vlastně vůbec neexistzuje. Protože to by znamenalo, že útočník musí údělat web, který bude vypadat stejně, jako originální IB. A tomu přece brání bezpečný frontend.

Logik

  • *****
  • 974
    • Zobrazit profil
    • E-mail
Re:Proč se webové stránky napojují na localhost
« Odpověď #62 kdy: 06. 05. 2021, 19:28:13 »
Citace
Nejdřív napíšete něco, z čeho vůbec není patrné, na co reagujete
Víš, normální člověk, když si není jistý, na co druhý reagoval, tak se zeptá. A slušný člověk se také snaží pochopit, co druhý říká tak, aby to dávalo smysl - tedy že když mluvím o krádeži, tak asi reaguju na popisovanou krádež....

Já holt fakt nemůžu za to, že se tu v diskusi chováš jak arogantní vševěd, kterej si automaticky myslí, že všichni ostatní jsou blbci a místo, co by ses zamyslel nad tím, co tvrdí, tak se je snažíš co nejvíce setřít.

Citace
Prokazatelně znamená, že ve výčtu stahovaných skriptů vyší označíte ten skript, který je zbytečný.
Jasně, když už musíš uznat omyl, tak se snažíš aspoň něco vyhnidopišit. Je to teda dost trapný - a navíc jsi zas mimo: pokud je prokázáno, že ta stránka se zbytečně připojuje někam, tak prostě tam je prokazatelně zbytečný skript dělající to připojení. Pro toto tvrzení fakt není potřeba ukazovat na to, který to je. Spousta matematických důkazů pracuje s tím, že ukáže existenci tvrzeného, aniž by ukázala na konkrétní instanci. Viz např. Gödelova 1. věta o neúplnosti.

Citace
Nevím, jak přečtením zjistíte, že adresa je špatně. Abyste to zjistil, musíte ji s něčím porovnat – obvykle ale není s čím.
Klasika. Když ti dojdou rozumné argumenty, tak začneš tvrdit kraviny. Samozřejmě, že u nemalé části phisingu (např. zaměřené na elektronické bankovnictví) to je s čím porovnatelné, protože URL se snaží napodobovat orginální URL, které uživatel zná. Anebo není s čím, ale stejně jde z adresy snadno poznat, že je podvržená (absence HTTPS, obskurní doména apod.).
Navíc je to vlastně jedno, protože zadávat hesla na "mailem zaslaném odkazu" je stejné porušení pravidel bezpečnosti uživatelem, jako nezkontrolování čísla účtu v SMS. Takže i kdyby to co tvdíš byla pravda (jako že není), tak to nijak nevyvrací to, co jsem tvrdil: že pod otázky bezpečnosti patří i co největší prevence "uživatelských chyb" vedoucích k úspěšnému útoku.

Citace
Aha, takže ten zabezpečenej frontend mi brání v tom, abych si odchytil, jaký JSON s požadavkem prohlížeč posílá, a pak stejně strukturovaný požadavek poslal třeba přes curl. A pěkně prosím, jak přesně mi v tom ten frontend brání?
Víš, v Tvém omezeném světě, kde existují pouze útoky typu "(catch, modify and) replay", tak nijak. Ale jak jsem Ti v předchozích postech doložil, tak pod pojmem bezpečnost webové aplikace spadá podstatně více problematik a podstatně více druhů útoků, než jen ten "replay". V minulém postu Ti to už trochu došlo, teď už jsi na to zas zapomněl. A některým z těchto jiných útoků brání dobře napsaný frontend.

Tale Tvoje implikace, že některým nebrání, tedy že nebrání žádným, je jen učebnicovou ukázkou argumentačního faulu.
Nechceš toho už nechat? Jen dokolečka prokazuješ, že problematice webové bezpečnosti prostě nerozumíš. V podstatě dokolečka tady různými slovy opakuješ, že považuješ aplikaci zabezpečenou proti jednomu z mnoha druhů útoků za bezpečnou, což je prostě kravina.

Citace
Právě proto se používá druhý faktor. Protože aby byl útočník úspěšný, musel by napadnout uživatelův počítač a zároveň telefon.
Zamysli se, proč je to druhý faktor. Že by někde existoval první faktor?
Tady jen potvrzuješ, že uživatelův "počítač" - a mezi což patří i bezpečnost frontendové aplikace - mezi zabezpečení IB prostě patří.

Re:Proč se webové stránky napojují na localhost
« Odpověď #63 kdy: 06. 05. 2021, 21:06:11 »
Víš, normální člověk, když si není jistý, na co druhý reagoval, tak se zeptá.
Normální člověk reaguje tak, aby bylo jasné, na co reaguje. Jenže to vy jste nechtěl, protože by bylo vidět, jak je vaše reakce nesmyslná.

pokud je prokázáno, že ta stránka se zbytečně připojuje někam, tak prostě tam je prokazatelně zbytečný skript dělající to připojení
„Skript“ obvykle znamená celý soubor. Pokud je v souboru 4 MB kódu a z toho možná kilobajt kódu, který dělá zbytečnou věc, neznamená to, že celý skript je zbytečný.

Samozřejmě, že u nemalé části phisingu (např. zaměřené na elektronické bankovnictví) to je s čím porovnatelné, protože URL se snaží napodobovat orginální URL, které uživatel zná.
Nezná. Málokdy zná adresu tak dobře, aby si byl jistý a rozpoznal podvod na první pohled. Jinak by phishing nefungoval.

Navíc je to vlastně jedno, protože zadávat hesla na "mailem zaslaném odkazu" je stejné porušení pravidel bezpečnosti uživatelem, jako nezkontrolování čísla účtu v SMS.
Není. Adresu otevřenou z e-mailu můžu dodatečně zkontrolovat. Když potvrdím transakci, kontrolovat něco dodatečně často nedává smysl.

Takže i kdyby to co tvdíš byla pravda (jako že není), tak to nijak nevyvrací to, co jsem tvrdil: že pod otázky bezpečnosti patří i co největší prevence "uživatelských chyb" vedoucích k úspěšnému útoku.

Víš, v Tvém omezeném světě, kde existují pouze útoky typu "(catch, modify and) replay", tak nijak. Ale jak jsem Ti v předchozích postech doložil, tak pod pojmem bezpečnost webové aplikace spadá podstatně více problematik a podstatně více druhů útoků, než jen ten "replay".
No jo, mistr světa, všechno ví, všechno zná, nikdo jiný to znát nemůže. Proč pak polemizujete s tím, že prohlížeč v případě IB Monety nestahuje žádné zbytečné soubory a tvrdíte, že stahuje zbytečné skripty? Proč tu obhajujete security through obscurity? To podle vás patří do best practice?

A některým z těchto jiných útoků brání dobře napsaný frontend.
Já bych spíš řekl, že špatně napsaný frontend některé útoky umožňuje. To, že nepoužívám eval() (což je to jediné, co z vás zatím vypadlo), není žádný dobře napsaný frontend. To je naprostý základ, a pokud někdo nedodrží ani to, je to velice špatně napsaný kód. (Samozřejmě s výjimkou případů, kdy někdo opravdu dobře ví, co dělá – ale to není nic do této diskuse.)

Nechceš toho už nechat? Jen dokolečka prokazuješ, že problematice webové bezpečnosti prostě nerozumíš.
Pokud je pro vás základem webové bezpečnosti security through obscurity, pak vaší webové bezpečnosti opravdu nerozumím.

V podstatě dokolečka tady různými slovy opakuješ, že považuješ aplikaci zabezpečenou proti jednomu z mnoha druhů útoků za bezpečnou, což je prostě kravina.
Nesmysl.

Zamysli se, proč je to druhý faktor. Že by někde existoval první faktor?
Bingo. Zkuste nad tím ještě chvíli uvažovat, třeba na to přijdete, co je ten první faktor.

Tady jen potvrzuješ, že uživatelův "počítač" - a mezi což patří i bezpečnost frontendové aplikace - mezi zabezpečení IB prostě patří.
Samozřejmě. Akorát že minifikace kódu není způsob zabezpečení.

Re:Proč se webové stránky napojují na localhost
« Odpověď #64 kdy: 06. 05. 2021, 21:54:03 »
Ahoj, aniž bych chápal o čem se bavíte:
1. Je teda to Moneta bankovnictví na webu bezpečné, nebo ne ? Protože jestli ne, asi by se to mělo eskalovat
2. Když někdo na fóru rozumí opravdu všemu, degraduje to odbornost a věrohodnost toho fóra. A tím fakt nemyslím jen a výlučně nikoho konkrétního, i když indicie tu jsou.
3. Pane Jirsáku, zcela věcně: co máte pořád proti “security through obscurity” ? Jistě, úhelný kámen bezpečnosti to být nemůže, neboť by to indukovalo falešný pocit bezpečí , ale jako doplněk je to naprosto v pořádku, prostě je to v obecném slova smyslu tajemství.
« Poslední změna: 06. 05. 2021, 21:59:50 od FKoudelka »


Logik

  • *****
  • 974
    • Zobrazit profil
    • E-mail
Re:Proč se webové stránky napojují na localhost
« Odpověď #65 kdy: 06. 05. 2021, 22:17:45 »
Filip:V podstatě už jen slovíčkaříš a snažíš se z toho vykecat. (Např. ze všeho - dneska se skripty standardně bundlují, takže bazírovat na tom, že není stahován v samostatném souboru, takže to není skript - to dělá buďto člověk co neví o webovém vývoji zbla... anebo troll).

Na zbytek už v podstatě nemám co říci - vše, co píšeš už jsem několikrát okomentoval, a pokud jsi zmínil něco nového, tak jen argumentační fauly, jako např.
Citace
Pokud je pro vás základem webové bezpečnosti security through obscurity, pak vaší webové bezpečnosti opravdu nerozumím.
Nikde jsem netvrdil, že bezpečnost čehokoli stojí na obscurity. Tvrdil jsem, že zbytečné poskytování informací o zabezpečeném objektu
 usnadňuje útok, takže je neprofesionální je poskytovat zbytečně. To, že máš potřebu můj názor takto překrucovat je důkazem toho, že
  • nechceš diskutovat, ale dělat z druhých blby
  • korektní argumenty prostě nemáš
Takže další diskuse evidentně už fakt nemá smysl.


FKoudelka:
Citace
Je teda to Moneta bankovnictví na webu bezpečné, nebo ne ? Protože jestli ne, asi by se to mělo eskalovat
Z toho, co víme, se IMHO se nedá vyvodit, že je nebezpečné ve smyslu "víme jak ho zneužít". Ale je napsané neprofesionálně, což zavdává pochybnosti o jeho kvalitě a potažmo tedy i o kvalitě zabezpečení. To, že jsou k dispozici zdrojové kódy, je pak stav, který případný útok usnadňuje, to by snad někdo Monetě napsat měl. Ale nevěřím, že si té diskuse už nevšimli. 

Re:Proč se webové stránky napojují na localhost
« Odpověď #66 kdy: 06. 05. 2021, 22:57:39 »
Snažíte se z toho vykecat, ale to, co jste napsal, už nesmažete. Celé tohle začalo tím, že jste polemizoval s mým tvrzením, že prohlížeč nestahuje původní zdrojové soubory ale jen minifikované soubory. Teď se z toho snažíte vykroutit, že jste vlastně nemyslel soubory, ale jenom jejich části.

Pak jste tvrdil, že minifikovaný kód podstatně stíží útočníkovi hledání chyb – a nakonec z vás jako příklad vypadlo volání funnkce eval. Jo, to se bude v minifikovaném souboru fakt těžko hledat – otevřít soubor v editoru a dát vyhledat eval, to je fuška.

Příště, až zase budete chtít diskutovat o něčem, čemu moc nerozumíte, raději se na to vykašlete. Je to lepší, než pak své přešlapy zkoušet maskovat tím, že z ostatních děláte blby.

je napsané neprofesionálně
Zkuste si zjistit, jaký je rozdíl mezi psaním programu a jeho buildováním. Navíc jsem uváděl důvody, proč může dávat smysl mít i na produkci nějakou dobu dostupné sourcemapy a původní zdrojový kód. To, že něčemu nerozumíte, neznamená, že je to špatně.

Re:Proč se webové stránky napojují na localhost
« Odpověď #67 kdy: 06. 05. 2021, 23:21:59 »
Je teda to Moneta bankovnictví na webu bezpečné, nebo ne ? Protože jestli ne, asi by se to mělo eskalovat
Nenarazili jsme tu na nic, co by dávalo důvod domnívat se, že to bankovnictví není bezpečné.

Pane Jirsáku, zcela věcně: co máte pořád proti “security through obscurity” ? Jistě, úhelný kámen bezpečnosti to být nemůže, neboť by to indukovalo falešný pocit bezpečí , ale jako doplněk je to naprosto v pořádku, prostě je to v obecném slova smyslu tajemství.
Ne, security through obscurity není v obecném smyslu tajemství. Za security through obscurity je označována situace, kdy se někdo snaží skrývat něco, co principiálně skrýt nejde. Je možné to trochu zakrýt, zamlžit, ale nejde to doopravdy skrýt. To je rozdíl oproti skutečnému tajemství, které můžete schovat a schováváte úplně.

Pokud o tom někdo uvažuje jako o doplňku, je to právě ten falešný pocit bezpečí. Když budete mít bezpečnostní dveře, kování odolné proti odvrtání a tři bezpečnostní zámky, nebudete na ty dveře „jako doplněk“ instalovat zámeček z nějaké dětské hry, který se rozpadne jenom když se na něj ošklivě podíváte. Každému je jasné, že kdo si poradí s tím vším zabezpečením okolo, bez mrknutí oka si poradí i s tím dětským zámečkem. Security through obscurity funguje právě jen jako vzbuzení falešného pocitu bezpečí – když jsem tomu věnoval čas a energii, tak to přece musí mít nějaký přínos, ne? Jenže ten přínos je jen teoretický, je neměřitelný, a hlavně nevypovídá vynaložené energii. Kdyby se ta energie věnovala skutečnému zabezpečení, zlepšila by se bezpečnost třeba jen málo, ale pořád by to bylo víc, než ten neměřitelný teoretický přínos security through obscurity.

Nebo se na to můžete podívat opačně. Pokud by internetové bankovnictví bylo tak špatně zabezpečené, že by na něj dokázal zaútočit i někdo, komu znatelně pomůže, že vidí i neminifikovaný kód frontendu, má to bankovnictví řádově větší problém než ten čitelný kód frontendu. Když běžci nezanedbatelně pomůže to, že ho na startu posunete krok před startovní čáru, je vám jasné, že ten běžec nepoběží ultramaraton.

Re:Proč se webové stránky napojují na localhost
« Odpověď #68 kdy: 07. 05. 2021, 13:35:30 »
Nebo o vysoké, protože se neřídí pocity ale skutečně rozumí tomu, co dělají. Já na základě informací, které mám, nedokážu rozhodnout, co z toho je pravda.
ano, to je vidět, pokud jejich stránky proženu třeba Lighthousem... Výkon stránky 1% ze 100%.

+ manifest.json https://ib.moneta.cz/manifest.json je tak, jak ho vyplivl `create-react-app` https://reactjs.org/docs/create-a-new-react-app.html#create-react-app

V monetě jsem se omylem ocitl*, a ty jejich podpisy přes iPady jsou tak super a cool, ze jsme se vždy zdrželi 15 minut na marných pokusech, a pak sem stejne podepisoval papír.
Trochu mi to přijde jako adaptace moderních technologií ve stylu cargo cultu.
Věřím, že tam mají i "SCRUM".

* klient, ne dev :) Zalozeni uctu bylo soucasti podivneho procesu pri zadosti o pujcku. Pujcku sem nevzal a pak mesic rusil ucet.
« Poslední změna: 07. 05. 2021, 13:37:27 od Tomáš Procházka »

Re:Proč se webové stránky napojují na localhost
« Odpověď #69 kdy: 07. 05. 2021, 21:43:32 »


Pane Jirsáku, zcela věcně: co máte pořád proti “security through obscurity” ? Jistě, úhelný kámen bezpečnosti to být nemůže, neboť by to indukovalo falešný pocit bezpečí , ale jako doplněk je to naprosto v pořádku, prostě je to v obecném slova smyslu tajemství.
Citace
Ne, security through obscurity není v obecném smyslu tajemství. Za security through obscurity je označována situace, kdy se někdo snaží skrývat něco, co principiálně skrýt nejde. Je možné to trochu zakrýt, zamlžit, ale nejde to doopravdy skrýt. To je rozdíl oproti skutečnému tajemství, které můžete schovat a schováváte úplně.
Pokud o tom někdo uvažuje jako o doplňku, je to právě ten falešný pocit bezpečí. Když budete mít bezpečnostní dveře, kování odolné proti odvrtání a tři bezpečnostní zámky, nebudete na ty dveře „jako doplněk“ instalovat zámeček z nějaké dětské hry, který se rozpadne jenom když se na něj ošklivě podíváte. Každému je jasné, že kdo si poradí s tím vším zabezpečením okolo, bez mrknutí oka si poradí i s tím dětským zámečkem.
No nevím nač dětský zámeček, ale když před trezor dám skříň nebo ho někam schovám, tak asi nic nezkazím, že… jasně že to nikoho nezastaví, ale může to prodloužit čas nebo složitost hledání a dobývání nad kritickou mez zájmu zloděje. To, kde je ví třeba jen rodina a beru to jako naše tajemství v obecném slova  smyslu . Nehledejte v tom definici. Díky za názor.
« Poslední změna: 07. 05. 2021, 21:48:39 od FKoudelka »

Re:Proč se webové stránky napojují na localhost
« Odpověď #70 kdy: 18. 05. 2021, 15:52:24 »
No nevím nač dětský zámeček, ale když před trezor dám skříň nebo ho někam schovám, tak asi nic nezkazím, že… jasně že to nikoho nezastaví, ale může to prodloužit čas nebo složitost hledání a dobývání nad kritickou mez zájmu zloděje. To, kde je ví třeba jen rodina a beru to jako naše tajemství v obecném slova  smyslu .

To jsem chtěl také napsat, ale pak jsem si uvědomil, že v případě banky do toho trezoru leze spousta lidí, kteří tím pádem budou také vědět, že je za skříní či ve které zdi je.

Jiný případ by byl, kdyby ten obří a nedobytný trezor měl část mechanismu zámku viditelnou přes sklo. Většina lidí by si ten mechanismus neprohlížela nebo by si řekla "páni, to je složitý mechanismus" ale někomu by to třeba napovědělo. Ledaže by ten mechanismus za sklem byl falešný za účelem svedení útočníka ze správné stopy...

Nechci se pouštět doprostřed bojového pole pod logickou palbou, ale možná by se našel jeden příklad, kdy bezpečnost na frontendu je důležitá :
v případě použití end to end šifrování, samozřejmě to není podmínka dostačující (protože frontend kockonců generuje server někde daleko)