Laravel по-русски

Русское сообщество разработки на PHP-фреймворке Laravel.

Ты не вошёл. Вход тут.

#26 17.11.2016 12:41:56

Re: Загрузка файлов (изображений).

Proger_XP пишет:

Я надеюсь, вы понимаете, что это говорит не в пользу этого времени, потому что проблемы предсказуемых идентификаторов очевидны.

Вам на каждом шагу мерещатся хакеры, которые, как только узнают нехитрый принцип формирования имен закачанных файлов - сразу сломают сайт к чертовой матери.  Поэтому Вы будете делать это за них smile

Чтоб юзеры затирали друг другу файлы. Да здравствует непредсказуемость!

Proger_XP пишет:

но общепринятой практикой в известных мне языках считается располагать скобки на том же уровне, что и блок.

Это действительно общепринятая практика - или мы присутствуем при сочинении нового мифа?

Proger_XP пишет:

Работающий код <> безопасный код и даже <> хороший код.

Если проект работает 6 лет без сбоев - смело заменяйте Ваши неравенства равенствами:  это означает, что код легко читаем и обновляем.
Плохой год после шесть лет превращается в ср-е г-но и его приходится переписывать.

Proger_XP пишет:

То, что у вас таких проблем не было может обозначать как качественно написанный код (в чём ваши фрагменты кода заставляют усомниться)

Из-за пробелов после ифов?

Proger_XP пишет:

, так и отсутствие заинтересованных лиц в его, так сказать, разоблачении.

Да полно таких лиц, только руководству требуется что-то более существенное, чем пробелы и уровни скобок.

Я даже знаю, что они Вам ответят на это. Ничего.
Ну то есть поблагодарят за внимание к качеству - и дадут понять, что разговор окончен.

Не в сети

#27 17.11.2016 12:51:48

Re: Загрузка файлов (изображений).

  1. Вам на каждом шагу мерещатся хакеры, которые, как только узнают нехитрый принцип формирования имен закачанных файлов — сразу сломают сайт к чертовой матери. Поэтому Вы будете делать это за них ☺

Сценарий:

  1. Сайт соцсети.
  2. Пользователи загружают личные фотографии.
  3. Для файлов генерируются предсказуемые имена.
  4. Кто угодно с малейшим знанием bash/wget скачивает картинки в обход настроек приватности.

Для вас такой расклад звучит фантастично? Реальный случай на Хабрахабре. ВК тоже этим страдает через доступ по API (что-то закрыли, что-то нет).

Другой сценарий:

  1. Для генерации ID сессий используются настройки PHP по умолчанию.
  2. Эти настройки (ГПСЧ) используют предсказуемые источники энтропии (время).
  3. Особо не трудясь их можно предугадать, синхронизировавшись с сервером, который отправляет время с точностью до секунды в Date в каждом запросе.
  4. И дальше увести сессию.

Это тоже реальный пример, но ссылку искать лень. Поэтому следует выставлять session.entropy_file в /dev/urandom.

  1. Это действительно общепринятая практика — или мы присутствуем при сочинении нового мифа?

Покажите мне код в общем доступе с вашим стилем форматирования. Примеров с моим стилем долго искать не надо.

  1. Да полно таких лиц, только руководству требуется что-то более существенное, чем пробелы и уровни скобок.
  2. Я даже знаю, что они Вам ответят на это. Ничего.

Потому что руководству всё равно как пишется код, это не его компетенция. Поэтому вразумительно ответить оно не может. Я уже привёл наглядные примеры, когда ваш стиль вызывает проблемы.

Не в сети

#28 17.11.2016 12:59:22

Re: Загрузка файлов (изображений).

Proger_XP пишет:

Сценарий:
  1. Сайт соцсети.
  2. Пользователи загружают личные фотографии.
  3. Для файлов генерируются предсказуемые имена.
  4. Кто угодно с малейшим знанием bash/wget скачивает картинки в обход настроек приватности.

Если стоит задача приватности фото - которая в этой теме не ставилась! - то она совершенно иначе решается!

Вовсе не путем придумывания хитрых имен - это дебилизм полнейший! Если так работают соцсети - это довод не хранить в них ничего приватного.

Не в сети

#29 17.11.2016 13:08:13

Re: Загрузка файлов (изображений).

Proger_XP пишет:

Другой сценарий:
  1. Для генерации ID сессий используются настройки PHP по умолчанию.
  2. Эти настройки (ГПСЧ) используют предсказуемые источники энтропии (время).
  3. Особо не трудясь их можно предугадать, синхронизировавшись с сервером, который отправляет время с точностью до секунды в Date в каждом запросе.
  4. И дальше увести сессию.

А нефиг использовать авторизацию на сессиях в ответственных случаях!

Вам стоило бы почитать что-то хорошее по безопасности. Не хабрахабр и вообще не то, что Вы читаете. Что-то хорошее.

Не в сети

#30 17.11.2016 13:09:49

Re: Загрузка файлов (изображений).

Proger_XP пишет:

Потому что руководству всё равно как пишется код, это не его компетенция. Поэтому вразумительно ответить оно не может. Я уже привёл наглядные примеры, когда ваш стиль вызывает проблемы.

Это его компетенция. Иначе это не руководитель - а какой-то дурачок.

Но ему нужны доводы, а не пробелы.

Не в сети

Подвал раздела