Witosser
@Witosser
студент IT ВУЗа, увлекаюсь веб-разработкой

Зачем усложнять работу своим коллегам программистам придумывая средства безопасности если их всё равно рано или поздно взломают?

Это скорее не вопрос а наблюдение.
Мне нравится как одни программисты придумывают всякие хитрости против других программистов, а вторые делают в свою очередь тоже самое только против тех штук что придумали первые программисты)
Вот например
На сайте откуда я парсил товары на форме авторизации генерируется ключ случайным образом, для того чтобы нельзя было отправлять POST запросы с другого сайта или скрипта
но достаточно просто к скрипту дописать функцию зайти на сайт спарсить ключ и отправить его в запросе ещё одним параметром и можно отправлять какие угодно запросы куда угодно
Можно конечно сделать отслеживание на предмет того не робот ли ты, но если задать нужные параметры то это легко обходится, что я и сделал в общем.
И вот тут непонятно, зачем тот парень писал лишний код тратил своё время, на то что у меня заняло ещё 10 минут времени. Глупо как-то тратить бесцельно своё и чужое время.
  • Вопрос задан
  • 203 просмотра
Пригласить эксперта
Ответы на вопрос 5
dimonchik2013
@dimonchik2013
non progredi est regredi
стоимость взлома бывает выше профита

особенно если поймают
Ответ написан
Комментировать
sim3x
@sim3x
Потому что csrf защита не от парсинга
Ответ написан
Комментировать
drno-reg
@drno-reg
см не кратко
Создание иллюзии безопасности не только в части разработки и программирования - одна из самых дорогих "услуг" в мире на мой взгляд. В части программирования - это соревнование между одними и другими: которые строят ее и которые пытаются взломать. В данном случае ваше "кунг фу" оказалось сильнее, и devops не рассчитывал на такой уровень или им банально не хватило времени на "стену" по выше.
Ответ написан
Комментировать
oxyberg
@oxyberg
Продуктовый дизайнер ВКонтакте
Зачем усложнять работу своим коллегам программистам придумывая средства безопасности если их всё равно рано или поздно взломают?
Потому что одни программисты не разделяют желание других «программистов» взламывать их программы.

На сайте откуда я парсил товары на форме авторизации генерируется ключ случайным образом, для того чтобы нельзя было отправлять POST запросы с другого сайта или скрипта
но достаточно просто к скрипту дописать функцию зайти на сайт спарсить ключ и отправить его в запросе ещё одним параметром и можно отправлять какие угодно запросы куда угодно
Не «какие запросы куда угодно», а отправить сейчас ПОСТ-запрос авторизации, и то, если на сайте нет проверки на источник запроса.

Можно конечно сделать отслеживание на предмет того не робот ли ты, но если задать нужные параметры то это легко обходится, что я и сделал в общем.
Какие параметры? Ну, допустим, простую капчу можно дешифрануть нейрухой, но с рекапчей уже сложнее, потому что она отслеживает движение мышки.

И вот тут непонятно, зачем тот парень писал лишний код тратил своё время, на то что у меня заняло ещё 10 минут времени. Глупо как-то тратить бесцельно своё и чужое время.
А точно ли был «взлом», а не просто получилось отправить форму с левого сайта?
Ответ написан
Комментировать
@DVoropaev
Ставлю + к карме на хабре за ответы на вопросы
А нафига люди вешают замки, если их можно снять?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы