Vlákno názorů k článku
Naučte se principy moderního JavaScriptu (školení)
od Noscript - Javascript je cire satanske zlo a svet se...
-
anon (neregistrovaný)
s javascriptem na serveru je problem, ze se zacal risit pres nodejs protoze tak javisti objevili async a pak zacali vsechny knihovny prepisovat do javascriptu, kdyz napises milion a miliony (zbytecne) novyho kodu ... co z toho bude? tisice a tisice (bezpecnostnich) problemu.
Zvlast co se tyka bezpecnostni, tak radu best (co best, essential!) practices lidi kolem nodejs proste ignoruji.
Vypada to pak podle toho.
O jazyk jako takovy ani nejde.
-
anon (neregistrovaný)
znam dost technologiiv kterych zranitelnosti uz bylo objeveno tisice a ted to nekdo prepisuje a ty "ify" co nechape vynechava ...
prikladu vaznych chyb v nodejs jen za posledni rok je nemalo .. ale nejde o verejne chyby, jde o ty neverejne.
Rikam, to "za chvili" zas budou prepisovat znova,
hadam navrat k statickemu typovani RemindMe! 10 years -
anon (neregistrovaný)
A ten priklad ... z praxe, takto to funguje prakticky vsude kde se pouziva nodejs = naprdim si do zavislosti tisice knihoven, ktere zavisi na dalsim tisici knihoven, locknu to verzi a kterou jsem to jakztakz otestoval a mam hotovo, bojim se na to sahnout dokonce ;). A ted vetsina tech knihoven jsou one man show, ktere nekdo dal narychlo dohromady za posledni dva roky. Audit nula.
Sranda je ze s npm ani ten lockne zavislosti nefunguje spravne - prtz zavilost kterou mam na primo, muze mit zavilost danou dynamicky, ta se zupdatuje a vse se rozbije. Z praxe :).
K zamysleni ... co tohle dohromady znamena ?
Argument, ze se jedna o konkretni pouziti a blablabla a ze to tak delaj borci stejne v pythonu a ruby. Rozdil je samozrejme v mire v ktere se to bastli, nejde o jazyk jako spis o zvyklostikolem toho.
Osobne nemam prob to bastlit v corpu v javasriptu :)
-
anon (neregistrovaný)
treba kerberos knihovna pro nodejs. Vybrakovana z pythonu (kde za tou python knihovnou stoji sice apple ale uz v tom pythonu to je celkem bastl, neco jsem tam opravoval a to jejich svn byla celkem sranda, na pipy se jim to povedlo nahrat az na podruhy), navic i ta nodejs knihovna ma python jako build dependency
-
anon (neregistrovaný)
Verejne chyby si najdes normalne v databazich CVE.
K te druhe otazce, zkus se zeptat jinak. Tak jak se ptas to vypada, ze si myslis ze technologie ve ktere najdes exploitovatelnou chybu po pul roce badani je stejne bezpecna jako technologie, kde ty chyby skoro ani nemusis hledat. V obou pripadech je to >0.
Jestli to pouzivas spokojene v praxi tak bud rad, prijde mi debilita se o tomhle hadat. Jen ukazuju priklady k zamysleni. "Moc importu" je z pohledu bezpecnosti spatne, to je jedna z tech zakladnich poucek, cool termin je "attack surface reduction" :).
PS: jaktoze uz nemam 30 minusu na kazdy prispevek potom co jsem upozornil na ten script co ty minusy posila? :(
-
null null (neregistrovaný)
@anon
K první otázce? Ta otázka zněla, ať dáš něco konkrétního ke: "Zvlast co se tyka bezpecnostni, tak radu best (co best, essential!) practices lidi kolem nodejs proste ignoruji."Sorry, ale "podívej se do csv" je odpověď nedostatečná. Jeden by si začínal myslet že jenom tak plácáš ....
Jak jinak se mám zeptat? Rozčiluješ se tu nad tím, že v JS jsou chyby a zranitelnosti. tak se ptám, kde nejsou?
""Moc importu" je z pohledu bezpecnosti spatne"
Ok. Co je to moc importu? 1, 5, 15, 150 ... kdo to rozhodl, kolik je to číslo?
"PS: jaktoze uz nemam 30 minusu na kazdy prispevek potom co jsem upozornil na ten script co ty minusy posila? :("
To bude spíš tím, že se nikomu ty tvoje bláboly nechce číst, ne tak ještě na něco klikat ...
-
anon (neregistrovaný)
To si nepochopil. "Koukni na CVE" byla odpoved jak si se ptal na verejne zname zranitelnosti.
Ty prusery s nedodrzovanim konkretnich "best practices" pak rozebiram pomerne detailne. Jestli ti prijde v cajku stavet verejne pristupnou aplikaci na kodu od tisicu lidi co nejak nahodne placli na github, *audit zadny*, kdykoliv ho muzou zmenit (a pak zmenit zpatky; nekdo nam ukradl pristupove udaje ke gitu!), v poradku, no podle knihy to fakt neni.
Zajimavy ze je prestalo bavit klikat zrovna v ten moment co jsem zminil ten minusovaci script :).
-
null null (neregistrovaný)
@anon
Ale já se neptal na na veřejně známé zranitelnosti, já se ptal na něco konkrétního k "Zvlast co se tyka bezpecnostni, tak radu best (co best, essential!) practices lidi kolem nodejs proste ignoruji.". Třeba co teda inorují?
Co rozebíráš detailně? Jenom nějaké dojmy o tom, co "je moc importů"".
Kdo co plácl náhodně na github- jak jsi to poznal?
"Zajimavy ze je prestalo bavit klikat zrovna v ten moment co jsem zminil ten minusovaci script :)"
No určitě ti to dělají schválně. Nenech se vykolejit ...
