Názory k článku Nekopírujte kód z diskusních fór, jsou v něm bezpečnostní chyby

Rada je jednoduchá, nepoužívejte řešení kterým nerozumíte. Opakováním cizích postupů bez potřebných znalostí se z technologií stává šamanizmus.

A co by si takemu cloveku poradil? Je tam zamestnany, copy&paste vie, architekturu, frameworky a programovaci jazyk nadiktovali, specifikaciu dostal tak pise. Ja to niekedy volam programming by accident, nejaka premenna, dame bodku ved to IDE nieco ukaze. Takto funguje minimalne 60% vo velkych firmach. Nic vynimocne. Ked ich vyhodia nebude mat kto robit.

Tak urcite, Mate jeste nejakou dobrou historku z "velkych firem" ? A v kterych ze jste to delal ?

Pracujem ako freelancer uz viac ako 15 rokov, Vieden, Praha, Bratislava, praca priamo pre klientov aj pre dodavatelske firmy. Dakujem za vas zaujem, zivotopis iba na vyziadanie.

Takze zadne velke firmy ? Zadne HP. AVAST, Microsoft, Red Hat, Barclays, nejaky operator ? Proste jen neurcite "pracujem primo pro klienty i dodavatelske firmy, jako kontraktor". Ty se typicky najimaji na jednu konkretni vec, kdyz nejsou zdroje. Takze jakou ze to mate zkusenost z prace ve velkych firmach ? Rekl bych ze nula.

Podle:
"Autoři dokumentu proto navrhují automatické testování bezpečnosti, které by mohlo zajistit například rozšíření do prohlížeče." a "Zajímavé také je, že drtivá většina zkopírovaných děravých ukázek pochází ze samotného dotazu."

Si říkám jestli není dneska náhodou apríl...

Tak ja vam nevim.
Za tri dny to je treti clanek od pana Krcmare a nemuzu si pomoct, ale zase to je o bobku.
Vic si k tomu ve svem momentalnim stavu nedovolim napsat.

Ono dost chyb naděláte i kopírováním a úpravou vlastního kódu. Kopírování oslabuje cit pro kontext.

A co teprve nechtěné paste při scrolování a zmáčknutí kolečka.

A proto je přísný zákaz používání šablon, maker, generátorů kódu. Jenom ten, kdo napsal každý řádek vlastnoručně v monolytu má možnost se zamotat do detailů a pro stromy nevidět les, že...

Btw, když kopíruju v kódu, tak to udělám tím způsobem, aby to kompilátor nepustil, dokud to nebude v cajku...

Už jen tím, že to kopírujete, je vaše pozornost oslabena, vždy tam bude více chyb. Jinak šablona, makro, generátor kódu není kopírování obsahu, ale funkcionality a ta funkcionalita musela být při tvorbě šablony, makra, generátoru verifikována a je obvykle pevně zasazena do kontextu pomocí parametrů.

Proto kopíruju jenom to, co se verifikuje samo. Třeba v C stejnou funkcionalitu pro různý typy dat. Kompilátor řve, když někde nezměním typ.

Pokud víš, jak jinak na to, dej vědět. Makra neberu (problémy s laděním, nepřehledný), generátor kvůli opakování 20 řádků pro tři typy není efektivní, šablony C nepodporuje.

Moje pozornost oslabena není. Netřeba soudit druhé jen podle sebe.

Mě článek přišel velmi zajímavý už jen při představě, že někdo dokáže oliznout z webu kus kódu a v zapeti ho použije aniž by se zabýval tím jak funguje. A evidentně se tak často i děje.
Napište lepší a nestezujte si. ;-)

Mohu to potvrdit z vlastni cerstve zkusenosti.
Zrovna vcera, kdyz jsem prohlizel patch od mych, nebudu ukazovat prstem ale v teto zemi maji posvatne Kravy, kolegu, jsem narazil na kus Java kodu ktery byl ^CV ze stackoverflow i s komentarem!

z praxe mohu říct, že je naprostý šumák, jestli daný programátor kód okopíruje nebo ho napíše sám, kvalita bude stejná, jen kopírování je rychlejší.

Od toho tady máme CR, QA atd, Každej senior musel být někdy juniorem, existují samozřemě vyjímky, kteří první kód napsali až po několika letech teoretické přípravy, zatím jsem ale nikoho takového nepotkal.

To je sice hruzostrasna predstava, ale podle me se to prakticky nelisi od toho, kdyz pouziju nejakou knihovnu, kterou si dukladne neprostuduju(a to uz je podle me pripad 99.99% programatoru). Oliznout z SO, nebo sliznout z mvnrepository je z hlediska bezpecnosti prakticky to same. A navic ten kod z SO pravdepodobne projelo vic oci, tak se treba v komentari doctu, proc je to pitomost.

Stack overflow je mnohdy poslední záchrana, když po pěti hodinách nedokážete rozchodit jednoduchou věc.
Ono totiž proprietární řešení (např.: MSSQL) nemají vůbec žádnou logiku. To co by jste jinde (MySQL,...) udělali jedním příkazem, tak v M$ rozhodně nefunguje. Ve VBA například jedním příkazem pošlete email, ale přetypovat datový typ range to string je celkem slušná magie.
Takže radši vezmu něco co funguje, než přemýšlet nad bezpečnostním rizikem kódu, který stejně poběží na platformě, která je děravá až až...

Co prosím u MS SQL nefunguje?

Ten kokot nad vami tym chcel asi povedat ze je prilis sprosty na to aby sa naucil SQL Server tak mu je dobre aj mysql.

Jojo, protože MSSQL je tak skvělé, že i spousta .NET aplikací využívá MySQL / MariaDB. A ne opravdu to není jenom o tom, že MSSQL je placené.

Každý ať si používá co chce, mě by zajímalo co na MS SQL nefunguje, jak tvrdí příspěvek výše.

Nahodou, co sme raz nad tym robili DWH, tak to bolo dost rychle a bezalo to na pomalom zeleze. Len ten ich skriptovaci jazyk Transact-SQL je trosku divny. Ale nestazoval som si.

To je právě ten problém. Člověk tam najde kus kódu, nastuduje si co to dělá, ověří dokumentaci a pak teprve to použije. A pak za pár dnů přiběhne kluk z QA, že si snad dělám prdel, že ABC přeci nemůžu použít, když aplikace namá nastaveno XY a ani není kompilována s KLF.

Teď se nebavíme o věcech typu "zjistit IP adresu podle MAC", ale o zabezpečené komunikaci. Chápat, co právě daný kus kódu dělá, tam nestačí. Musíte znát celou knihovnu a její nastavení. Koukněte se na ty příklady z článku. U řady z nich není chyba v tom samotném kódu, ale v kontextu, v jakém je použit.

Můj příklad z minulého týdne: zkopíroval jsem kus kódu pro bezpečné ověření přihlašovacích údajů. Fungoval dobře a zcela jsem rozumněl tomu, co dělá. Pak jsem si ale najednou všiml, že přihlášení projde, i když zadám špatně heslo. Po hodiných hledání jsem se zeptal kluků z DBA a odpověď byla: ta služba je nastavena tak, že při přihlašování z localhostu nekontroluje hesla. No tak šel celý kus kódu s loopbackem do stoupy. Mne prostě nenapadlo, že i když se databázový server ptá na heslo, tak že ho u spojení z konzole neověřuje. A DBA se mi smáli, že to přece ví každý.

rekl bych, ze za tim stoji pokus si nefungujici prikaz / kod skopirovat a zkusit ho upravit

Povedal tu niekto "lopata" ? :)

Ne, Javaman má dneska moc práce s kopírováním ze Stack Overflow.

Husty!

Ono třeba u TLS je další problém v tom že co je best practice před 2 roky je dneska brané jako zranitelné a z komentářů to nemusí být patrné - dobře hodnocené odpovědi žijí dlouho. IMHO Obecně problém u bezpečnostních otázek je že většina vývojářů na ně odpoví špatně a jen menšina ví jaké jsou aktuální best practices....proto tam palce nahoru a dolů příliš nefungují

AES-CBC je nebezpečný pouze u TLS 1.0 pokud máte TLS 1.2 tak je to cajk. Jinak staré implementace často ignorovaly potřebu setovat náhodný IV a pak to opravdu bezpečné není.

slightly OT: kopirovanie z webstranok priamo do terminalu moze byt este diabolskejsie https://thejh.net/misc/website-terminal-copy-paste
buahaha

Bezpečnostní chyba je už celá koncepce kapitalismu, která podporuje perpetuální triky typu: udělám chyby v kodu -> zenužiju chyby v kodu -> budu každého trolit o chybách v kodu -> udělám o tom přednášky ->napíšu knihu -> hlavně se budu obloukem vyhýbat jakémukoli řešení, pokud by se nějaké našlo, tak to zatrhnou naši sledovatelé a hlídači, protože by ztratili kontrolu.

Bezpečnostní chyba je komunismus:

1) Všichni budou pracovat bez individuální odměny na jednu hromadu, kterou si pak všichni rozeberou dle potřeby.
2) Jedinou pozitivní motivací k tomu, aby někdo přispěl na hromadu, je jeho dobrý pocit, který vydrží do chvíle, než zjistí, že 99,999%toho, co vytvořil, si vezmou ti, kdo nic na společnou hromadu nepřidali.
3) Hromada se smrskne pod kritickou úroveň. Dav je třeba motivovat k práci. Pozitivní motivace je proti ideologii, dáme to jako povinnost (negativní motivace trestem)
4) Prací některých se stane kontrola ostatních. Rozdělují práci, rozhodují o trestu.
5) Dozorčí vrstva má moc, ale ne zodpovědnost (sami jenom berou a na hromadě je tím víc, čím víc ždímají ty pod sebou), takže nepodpoří nic, co by nižší vrstvě ulevilo, nebo ji motivovalo k lepším výsledkům.
6) Dolní vrstva vzdá jakoukoliv iniciativu, protože prioritu je splnění stupňujících se požadavků a cokoliv navíc vládnoucí vrstva vezme jako samozřejmost, tak proč se namáhat.
7) Změna ve společnosti by znamenala, že dozorci přijdou o privilegia, ty si chtějí udržet i za cenu násilí a represí.
8) Kontrola a potlačení rebelie je jednodušší, když se vyšší vrstva společnosti dostane k datům o nižší vrstvě, tj. podpora bezpečnostních děr.
9) Jakákoliv aktivita se stejně bude dít ve volným čase, ale bez to, že by z toho měla prospěch společnost - melouchy, domácí kutění,...
10) V rámci plánování velikosti hromádky se udělá centrální plán. Nároky jsou extra vysoký, všichni chtějí brát. Musí se to flinkat, aby bylo aspoň něco.

A teď popravdě, jak tenhle systém zajistí, že se dostane odborník na pravý místo, jak ho motivuje k tomu, aby se rozvíjel po profesní stránce,... ?

Ja poznam spravnu managersku odpoved. Zaisti to oddelenie HR!!!

Bud to delame pro lidi, nebo pro sebe. To je rozdil komunismu a kapitalismu.

"Bud to delame pro lidi, nebo pro sebe. To je rozdil komunismu a kapitalismu."

Spis ze to delame z donuceni (vladnouci vrstvou) ci dobrovolne...

Ne, vždycky to děláme pro sebe a svou rodinu.

Komunismus: Člověk má jistou práci, ale nejistou svobodu. Udělá přesně to, co se po něm chce, aby ho nezlikvidovali a nic navíc - příště by to byl standard a chtěli by to po všech. Nemá důvod si rozšiřovat kvalifikaci a makat na sobě, budovat si image v oboru, protože práci má jistou a všude by stejně pracoval za stejnou, centrálně určenou, odměnu. Když chce něco navíc, tak načerno formou melouchu (nezdaněný, společnost z toho nemá nic).

Kapitalismus: Člověk nemá jistou práci, ale má jistou svobodu. Udělá, co se po něm chce, aby se uživil a po dohodě s vedoucím si může přivydělat, ať už zlepšovákem, nebo přesčasem. Má motivaci být dobrý - ti dobří si můžou diktovat větší odměny. Pokud mění zaměstnavatele, potřebuje co nejlepší image, aby prokázal, že si tu odměnu zaslouží. Image si může vybudovat klidně prací na OSS nebo publikací. A do toho se počítá i to zmíněný "vydání knihy o chybách" - on má informace, někdo jiný je ochotný za ně koupí knihy zaplatit. Není problém to udělat legálně - společnost z toho má daně, on finanční odměnu a lepší image, kupec knihy zase informace, který by jinde těžko sháněl. Výhodný pro všechny.

Chápu, že pro podprůměrný prosťáčky je lepší, když mu šéf řekne, že a osm hodin bude tahle hromada písku támhle a k uspokojení mu stačí, že soused si nevydělá víc, než on. Hlavně, že se nemusí nic učit, že se nemusí o nic starat,... Stačí držet hubu, aby nemusel kopat uran, a je to v cajku.

Co je špatnýho na kopání uranu, ta trocha záření nikoho nezabije, na rozdíl od uhlí je to ve skále, takže nepadaj stropy, je to adreanlin, je to romantika, kolem je krásná příroda, hornický hospody byly nejhospodštější hospody ze všech hospod. Na uran mi nesahej.

Neměli by se přejmenovat na "BUFFER OWERFLOW"?

Hned ako si nastudujes anglictinu...

Nevím, já jsem jednou dal kus kodu na stackoverflow s otázkou, proč je to špatně, a nějací indové to zkopírovali do svého kodu a ještě mi poděkovali (v podstatě to byla tichá instalace bezpečnostních záplat ve windows).