Názory k článku Postřehy z bezpečnosti: kritická chyba React2Shell mění pravidla hry

React2Shell je krásný příklad, že ani velké množství uživatelů nezaručuje kvalitu. A jak by svět mohl být hezčí, kdyby lidé více promýšleli, zda použít nějakou komplexní knihovnu, které většinou sami ani nerozumí, jako závislost, nebo si to radši vyřešit jinak.

Bohužel dnešní software je často pomalejší a méně spolehlivý, než před 30 lety, protože je složen z desítek vrstev, kterým vývojáři nerozumí. K tomu ještě některé programy potřebují komunikovat se servery na druhé straně zeměkoule.

Důvodem jsou peníze a zase znovu peníze. Nevítězí nejlepší řešení ale to, které právě dostačuje. V kombinaci s ekonomickými ohledy, samozřejmě. Plakat nad tím je zhruba jako plakat nad tím, že prší.

V drtivé většině případů to NIH řešení znamená, že tam bude chyb víc, než kdyby se použila (rozšířená) knihovna.

To je podloženo daty?

Osobně, když něco implementuji sám, tak implementuji přesně to, co potřebuji. Nic víc. Takže moje řešení je často mnohem jednodušší než nějaká obecná knihovna a prostor pro chyby je mnohem menší.

To je podloženo celoživotní vývojářskou zkušeností s vlastními a cizími programy.

Případy, kdy člověk potřebuje jen nějaký malý subset funkčnosti jsou asi jediníé, kde se vám může podařit vytvořit lepší řešení, než má knihovna.

Řešení kde vynecháte třeba autorizaci ke službě je sice menší, ale to neznamená, že je bezpečnější ;-)

Ve většině případů by stačil statický web, kde bude méně bezpečnostních chyb jaksi z definice.

"V drtivé většině případů to NIH řešení znamená"

predevsim to, ze tam nebude bambiliarda funci, ktere nikdo nepotrebuje. A tudiz tam ani nebude bambiliarda deravych funkci.

Jinak receno, vektor k utoku bude zcela jednoznacne vyrazne mensi. Jako bonus se pak eliminuji veskere automaticke utoky na zname diry ktere jsou vedeny prakticky vyhradne na proflaknute veci.

Bezpecnost neni o tom, kolik funkci kde je. V prvni rade musi byt bezpecnost integralni soucasti uz navrhu a ne system "se to pak dodela". A jen tak mimochodem, dost pochybuju o tom, ze nekdo na serverovem API programuje "bambiliardu" endpointu, ktere nidko nepouziva - to bude spis vas nicim nepodlozeny babol.

A zrovna v debate kolem react2shell je tenhle argument o poctu funkci mimo zcela - i kdybyste tam mel jednu jedinou funkci, tak... mate problem, zeano ;-)

S tím, že frontendoví vývojáři programují backend, si ještě užijeme. Dokud to byly jednotlivé aplikace, chyby postihly jenom jednotlivé aplikace. Teď už jsou to ale i frameworky.

RSC je správná cesta. Ale naráží to na to, že nápad „pojďme programovat backend ve stejném jazyce, jako frontend, ušetříme tím“ moc nereflektuje realitu. Protože rozdíl mezi frontendem a backendem je především ve způsobu uvažování – rozdílné jazyky jsou ten nejmenší problém. Doufejme, že se kolem Reactu začne motat víc backendových vývojářů.

Holt se teď budou muset i frontendoví programátoři naučit, co znamená vyvíjet backend. Že se musí řešit bezpečnost, validace, autentizace, paralelní zpracování, výkon.

Co na tom nereflektuje realitu? Vždyť to se přece vzájemně nijak nevylučuje. Ostatně máte frontendové vývojáře, máte backendové vývojáře, máte fullstackové vývojáře. Což zhruba vychází z toho, co chce kdo dělat a co koho baví.

Ale souhlasím, že kdyby se čistě frontendoví vývojáři vynořili ze své alternativní reality, byl by svět o hodný kus jinde i na tom frontendu jako takovém.

Realitu nereflektuje to, že podstatné rozdíly mezi vývojem frontendu a backendu jsou úplně v něčem jiném, než v použitém jazyce. Použitý jazyk je drobnost ve srovnání s jinými rozdíly.

Jinak skutečných fullstack vývojářů zas tolik není. A zajímalo by mne, kdo z nich o sobě říká, že je fullstack vývojář. Většinou „fullstack vývojář“ znamená, že zvládne jedno, třeba backend, a druhé nějak splácá – ale skutečný frontend vývojář, když vidí ten kód, trpí. Nebo opačně. Případně „fullstack vývojář“ znamená, že neumí pořádně ani jedno.

A pro tu "většinu" máte nějaké podklady, studie a průzkumy nebo je to vaše dojmologie? Že se ptám, že... Ne, žádné takovéhle "většinou" opravdu neexistuje. I fullstackoví vývojáři jsou horší i lepší stejně jako všichni ostatní. To je celé. To, co píšete jsou jen vaše naprosto nesmyslné předsudky. Dle kterých soudíte svět. Ale podle sebe.

Vy pro vaše tvrzení máte nějaké podklady, studie nebo průzkumy?

Nejsou to předsudky, nikoho nehodnotím na základě toho, že o sobě řekne, že je fullstack vývojář. Stejně jako nikoho nehodnotím podle toho, že řekne, že je frontend vývojář nebo backend vývojář. Vždycky konkrétního člověka hodnotím podle toho, co předvede.

Je to zobecnění, kterého jsem si všiml, když jsem pár takových fullstack vývojářů někde potkal. Ale neuplatňuju to při posuzování nikoho konkrétního. Je klidně možné, že vy máte jinou zkušenost. A nebo třeba máte ty podklady, studie a průzkumy pro svá tvrzení.

Já se přidávám taky. Fullstack vývojář je mýtus, vždy neumí dobře jedno nebo druhé. Proto se to taky v jednu dobu oddělilo, ale teď vidíme pravý opak, že se to zase snaží někdo spojovat.

Tak on Next.js nedělá mezi backendem a frontendem nějak tlustou čáru tak pokud si někdo nedá pozor tak snadno něco pustí.

React2Shell je rozsáhlý problém.
Ale tak nějak se nic hrozného neděje.
Tak budou piráti chvíli těžit BTC než si toho někdo všimne.
Důležité věci nestrčím na web ale budu se snažit je ochránit třeba Fortinetem.
A proto se mi zdá mnohem horší zranitelnosti Fortinetu.
Naštěstí ho nemám.
Ale v ČR to může být docela rozšířené.
Vnucujou ho všichni tři mobilní operátoři?
Dvě nabídky mám na stole.

15. 12. 2025, 21:27 editováno autorem komentáře

Co vím tak Fortinet dával velmi dobré marže. Tak dobré, že tomu obchodní oddělení neodolá, pokud neposlechnou svoje IT / Security oddělení.

Tak ono "to" nemusi jenom tezit, ono to taky muze vytahnout dopryc vsechny data, ke kterym se dany uzivatel, pod kterym aplikace bezi ma sanci dostat. A to je vyrazne vetsi prusvih, zejo...