ABA


"גם אתם מתחילים לנסוג משימוש כללי ב-JS ?"
גירסת הדפסה        
קבוצות דיון פיתוח, תיכנות ובניית אתרים נושא #22047 מנהל    סגן המנהל    מפקח   Winner    צל"ש   מומחה  
אשכול מספר 22047
שונטל  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 12.6.13
426 הודעות, 1 פידבק, 2 נקודות
   18:51   06.09.17   
אל הפורום  
  גם אתם מתחילים לנסוג משימוש כללי ב-JS ?  
 
   במסגרת עבודתי אני מלווה צוותי פיתוח לכדי פיתוח מאובטח. כמעט תמיד ה-JS מוביל למידע מועיל לחבר'ה שמפנטסטים (מלשון Pentest) web applications . אני כמובן לא אכנס לפרטים טכניים - אבל ב-3 שנות עבודתי אני יכול להסיק כי צד לקוח הינו הדבר הכי לא בטחותי בעוד שאנשי ה-CISO מתעלמים ממנו, כי למי אכפת גניבת סשן של לקוח? העיקר לדעת לפלטר XHR.
כבר 2 חברות שאכפת להם מפרטיות הלקוח נסוגו כמעט כליל משימוש בספריות JS.
אני אישית מאשר רק ספריות ויזואליזציה (jQ ופריימוורקים מבוססי שפות צד שרת כגון primefaces).

קחו המלצתי לרמה האישית - נסו להמנע משימוש שופע ב-JS (אנגולר out) .


הנספח לאבטחת-מידע, בלוג אישי-מקצועי


                                שתף        

  האשכול     מחבר     תאריך כתיבה     מספר  
  מה החלופות? hellfe 06.09.17 20:00 1
     להעמיס על השרת Bonito  06.09.17 21:12 2
         זה אתה אמרת. יעילות הוא שם המשחק. שונטל  06.09.17 23:46 3
     לא חסר. בעיקר פריימוורקים מבוססי שפות צד שרת. שונטל  06.09.17 23:49 4
     מה שיהרוג את JS הוא WEBASSEMBLY תומר 16.09.17 19:50 20
  do not feed the troll ליל קיץ 07.09.17 00:15 5
     אחת התגובות היותר לא ענייניות שאני מכיר. שונטל  07.09.17 00:19 7
  אז מה שאתה אומר בעצם Ben_d 07.09.17 00:16 6
     טוב, כנראה לא הבנת אותי נכון. שונטל  07.09.17 00:30 9
         טוב. סבבה. אני עדיין מחכה להוכחה לטיעון שלך. Ben_d 07.09.17 00:38 12
  אני באמת לא יודע אם אתה צוחק או רציני. אם אתה רציני באמת יש פה בעיה. SMangam  07.09.17 00:29 8
     אין מה לעשות, התגובות הנ''ל אופייניות למפתחי JS. שונטל  07.09.17 00:35 10
  לכל מפתחי האנגולר, אני ממש מבין אתכם. רק קחו עצה שונטל  07.09.17 00:37 11
     רצתי לחפש קריירה חדשה! Ben_d 07.09.17 00:43 13
         קטן עליך... שונטל  07.09.17 00:46 14
  ברור, JS OUT, דפים סטטים IN ssl 07.09.17 21:52 15
  לא ברור מאיפה הבאת את זה King_Cobra  07.09.17 22:05 16
  מה ההבדל כאשר אני משתמש באנגולר או ב PURE JS? VeNom  07.09.17 22:45 17
  פוסט ממש ממש הזוי :( GaL  13.09.17 01:29 18
     +1 תפתתפת  13.09.17 10:45 19
  אממ יש יתרון הבטחה לרנדר על הסרבר... אבל זה רק למקרים מאוד ספציפים. aCoZz  02.10.17 00:38 21

       
hellfe
חבר מתאריך 13.9.13
187 הודעות
   20:00   06.09.17   
אל הפורום  
  1. מה החלופות?  
בתגובה להודעה מספר 0
 
  


                                                         (ניהול: מחק תגובה)
Bonito 
חבר מתאריך 22.9.09
14714 הודעות
   21:12   06.09.17   
אל הפורום  
  2. להעמיס על השרת  
בתגובה להודעה מספר 1
 
  


                                                         (ניהול: מחק תגובה)
שונטל  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 12.6.13
426 הודעות, 1 פידבק
   23:46   06.09.17   
אל הפורום  
  3. זה אתה אמרת. יעילות הוא שם המשחק.  
בתגובה להודעה מספר 2
 
  


הנספח לאבטחת-מידע, בלוג אישי-מקצועי


                                                         (ניהול: מחק תגובה)
שונטל  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 12.6.13
426 הודעות, 1 פידבק
   23:49   06.09.17   
אל הפורום  
  4. לא חסר. בעיקר פריימוורקים מבוססי שפות צד שרת.  
בתגובה להודעה מספר 1
 
   JS טוב -רק- ל-UI. להתרחק מאנגולר ודומיו.


הנספח לאבטחת-מידע, בלוג אישי-מקצועי


                                                         (ניהול: מחק תגובה)
תומר
חבר מתאריך 16.9.17
3 הודעות
   19:50   16.09.17   
אל הפורום  
  20. מה שיהרוג את JS הוא WEBASSEMBLY  
בתגובה להודעה מספר 1
 
   ערכתי לאחרונה בתאריך 16.09.17 בשעה 19:55 בברכה, תומר
 
שלפי דעתי ישנה את ה WEB מקצה לקצה

הן מבחינת חווית המשתמש , שפות הפיתוח , ואפילו חיפוש המידע בעזרת GOOGLE

אני חושב שתוך 2-3 שנים כבר נראה פיתוחים ב WA

יהיה מעניין

http://webassembly.org/


                                                         (ניהול: מחק תגובה)
ליל קיץ לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 14.2.10
10024 הודעות, 7 פידבק
   00:15   07.09.17   
אל הפורום  
  5. do not feed the troll  
בתגובה להודעה מספר 0
 
   אחד הפוסטים היותר מגוחכים שיצא לי לקרוא בזמן האחרון


                                                         (ניהול: מחק תגובה)
שונטל  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 12.6.13
426 הודעות, 1 פידבק
   00:19   07.09.17   
אל הפורום  
  7. אחת התגובות היותר לא ענייניות שאני מכיר.  
בתגובה להודעה מספר 5
 
   לפי התגובה אני מאמין שהתמקצעת באנגולר ואין לך ממש מה להגיד
לגבי ההתבאסות שלך - בזה אני בטוח.
בהצלחה.


הנספח לאבטחת-מידע, בלוג אישי-מקצועי


                                                         (ניהול: מחק תגובה)
Ben_d
חבר מתאריך 15.6.16
380 הודעות
   00:16   07.09.17   
אל הפורום  
  6. אז מה שאתה אומר בעצם  
בתגובה להודעה מספר 0
 
   זה שכל השיטות פיתוח המודרניות והפופולאריות כיום שאומצו (ופותחו) ע"י אינספור חברות ושודרגו במשך 20+ שנה - פשוט לא טובות וזאת לפי ה-3 שנות הניסיון שלך? וכמובן ללא צלילה לפירוט טכני. סבבה... נשמע רציני.

זה מרגיש כמו פוסט שאתה מחפש להתווכח ולריב עם אנשים. בינתיים, זרקת טענה לאויר, בוא תנסה להוכיח אותה.


                                                         (ניהול: מחק תגובה)
שונטל  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 12.6.13
426 הודעות, 1 פידבק
   00:30   07.09.17   
אל הפורום  
  9. טוב, כנראה לא הבנת אותי נכון.  
בתגובה להודעה מספר 6
 
   אין סיבה לחברות או ארגונים לנטוש ספריות שהם בנו, למה? כי פגיעויות יגיעו ללקוח ולא לשרתים.
בין עיסוקיי אני מעביר חברות תקן 27000 של מת"י. אין נגיעה בדבר זה. כשזה מגיע למבדקי חדירה כאן אנחנו נופלים, owasp מגדירים את הפגיעויות בנושא במקום 2 ו-3 (אחרי sqli). יש תקנים יותר מחמירים שלא יאשרו מערכת מבוססת JS. בתחום שלי, לא מעניין אותי טיב המערכת, יופיה או מרכיביה. אם אני מצליח להוציא מידע רגיש או להשתיל קוד JS בסבך כל הסיפריות, מצדי לא עובר. אני לא אומר לאף אחד פה מה לעשות, אבל אם אבטחת מידע עסקינן, תחשבו פעמיים.


הנספח לאבטחת-מידע, בלוג אישי-מקצועי


                                                         (ניהול: מחק תגובה)
Ben_d
חבר מתאריך 15.6.16
380 הודעות
   00:38   07.09.17   
אל הפורום  
  12. טוב. סבבה. אני עדיין מחכה להוכחה לטיעון שלך.  
בתגובה להודעה מספר 9
 
  


                                                         (ניהול: מחק תגובה)
SMangam 
חבר מתאריך 27.10.05
270 הודעות
   00:29   07.09.17   
אל הפורום  
  8. אני באמת לא יודע אם אתה צוחק או רציני. אם אתה רציני באמת יש פה בעיה.  
בתגובה להודעה מספר 0
 
  


                                                         (ניהול: מחק תגובה)
שונטל  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 12.6.13
426 הודעות, 1 פידבק
   00:35   07.09.17   
אל הפורום  
  10. אין מה לעשות, התגובות הנ''ל אופייניות למפתחי JS.  
בתגובה להודעה מספר 8
 
   אין לי הרבה מה להגיד, מקווה בשבילך שהתחזית שלי שגויה (לפחות לשנתיים הקרובות)


הנספח לאבטחת-מידע, בלוג אישי-מקצועי


                                                         (ניהול: מחק תגובה)
שונטל  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 12.6.13
426 הודעות, 1 פידבק
   00:37   07.09.17   
אל הפורום  
  11. לכל מפתחי האנגולר, אני ממש מבין אתכם. רק קחו עצה  
בתגובה להודעה מספר 0
 
   ממישהו שחי אבטחת מידע. אנגולר גוססת בתקווה שאולי גוגל יצילו אותה.
לגבי פרטים טכנים יש לכם את גוגל.


הנספח לאבטחת-מידע, בלוג אישי-מקצועי


                                                         (ניהול: מחק תגובה)
Ben_d
חבר מתאריך 15.6.16
380 הודעות
   00:43   07.09.17   
אל הפורום  
  13. רצתי לחפש קריירה חדשה!  
בתגובה להודעה מספר 11
 
  


                                                         (ניהול: מחק תגובה)
שונטל  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 12.6.13
426 הודעות, 1 פידבק
   00:46   07.09.17   
אל הפורום  
  14. קטן עליך...  
בתגובה להודעה מספר 13
 
   במיוחד אם אתה יודע אנגולר!


הנספח לאבטחת-מידע, בלוג אישי-מקצועי


                                                         (ניהול: מחק תגובה)
ssl
חבר מתאריך 2.1.17
227 הודעות
   21:52   07.09.17   
אל הפורום  
  15. ברור, JS OUT, דפים סטטים IN  
בתגובה להודעה מספר 0
 
   MARK MY WORDS

רוצה לקבל כסף על קניות באינטרנט
רוצה לקבל 10 דולר בחינם
לחץ על הקישור מתחת
https://goo.gl/0XMQia


                                                         (ניהול: מחק תגובה)
King_Cobra  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 1.8.02
23644 הודעות, 4 פידבק
   22:05   07.09.17   
אל הפורום  
  16. לא ברור מאיפה הבאת את זה  
בתגובה להודעה מספר 0
 
ברור שיש דברים וחברות שכותבות דברים בצד לקוח שלא אמורים להיות שם וזו הפירצה האמיתית.

שימוש נכון ב JS הוא כזה ששולח את המידע לשרת באופן מוצפן ובצד שרת מבוצע אימות נוסף ופעולות נוספות.

אין שום קשר בין פילטור XHR לבין כמה זה בטוח או לא. זה שאתה יכול לפלטר זה יפה אבל זה לא אומר שאתה יכול לשלוח את הבקשות לשרת סתם ככה כאשר המידע מוצפן או דרוש מפתח או משהו סשן או whatever כדי שהשרת בכלל יזהה אותך כמישהו שמאושר לו לשלוח את המידע הזה.

בכל מצב על כל דבר אתה יכול להגיד שהוא לא בטוח אם לא יודעים איך להשתמש בו.... גם אוטו הוא לא בטוח אם אתה לא יודע לנהוג בו.

הכל עניין של נסיון ומימוש נכון.



My Website

                                                         (ניהול: מחק תגובה)
VeNom 
חבר מתאריך 7.6.02
7853 הודעות
   22:45   07.09.17   
אל הפורום  
  17. מה ההבדל כאשר אני משתמש באנגולר או ב PURE JS?  
בתגובה להודעה מספר 0
 
   XMLHTTPREQUEST הוא WEBAPI ששניהם משתמשים בו בסוף..

https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest

איזה היבט של אבטחה יש לך בזה שאתה לא משתמש בפריימוורק כמו אנגולר?
אתה מאשרשימוש בספריות ויזואלציות כמו JQUERY וביננו, גם שם יש מימושים מעל XHR.

יצא לי לעבור לא מעט PENTESTS במהלך העבודה שלי ורוב הפלטים הם דברים גנריים וארכיים שבסוף מממשים בשביל לסמן וי ולעבור את הבדיקה.


                                                         (ניהול: מחק תגובה)
GaL  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 24.9.09
771 הודעות, 2 פידבק, 4 נקודות
   01:29   13.09.17   
אל הפורום  
  18. פוסט ממש ממש הזוי :(  
בתגובה להודעה מספר 0
 


                                                         (ניהול: מחק תגובה)
תפתתפת  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 10.6.03
13673 הודעות, 3 פידבק, 5 נקודות
   10:45   13.09.17   
אל הפורום  
  19. +1  
בתגובה להודעה מספר 18
 
  

קופון 10$ הנחה ל Vitacost
https://goo.gl/boMF0M


                                                         (ניהול: מחק תגובה)
aCoZz 
חבר מתאריך 19.7.06
17584 הודעות, דרג אמינות חבר זה
   00:38   02.10.17   
אל הפורום  
  21. אממ יש יתרון הבטחה לרנדר על הסרבר... אבל זה רק למקרים מאוד ספציפים.  
בתגובה להודעה מספר 0
 
  


                                                         (ניהול: מחק תגובה)

תגובה מהירה  למכתב מספר: 
 
___________________________________________________________________

___________________________________________________________________
למנהלים:  נעל | תייק בארכיון | מחק | העבר לפורום אחר | מחק תגובות | עגן אשכול
       



© כל הזכויות שמורות ל-רוטר.נט בע"מ rotter.net