"Už si Nette konečně forkněte, s tím, jak jste tak chytří"

22. 11. 2014 21:49:07

Napsal Bacon;1143057
Zbývá už snad jen přidat seznam děravých webů, které jsi vytvořil.

Bezpečnostní díra v Nette (?) – v session zůstávají i administrátorem odebrané…

Vážně si myslíš, že weby běžící na Nette jsou bezpečné? :-)) Naivní ... skutečně naivní myslet si, že framework za mě vyřeší bezpečnost :-)))) už jsem viděl plno prasáren, kde přímo do příkazu dibi někdo nacpal {$_GET}. Takže je to o přístupu, jestli o bezpečnosti něco víš a nebo používáš FW ;-)

---------- Příspěvek doplněn 22.11.2014 v 22:01 ----------

Vezmi si dva případy lidí:

1) člověk, který o bezpečnosti jen slyšel, ale používá framework, tak si myslí, že jeho se to netýká.

2) člověk, který framework nechce používat a vším se prokousává sám. Bezpečnost je jeho denní chleba a proto všechny vstupní parametry ošetřuje už z principu.

Kde je tedy pravděpodobnost vzniku bezpečnostní díry větší?

22. 11. 2014 21:49:07

https://webtrh.cz/diskuse/uz-si-nette-konecne-forknete-s-tim-jak-jste-tak-chytri/strana/2#reply1070260

mH081

(1 hodnocení)

22. 11. 2014 22:11:58

Napsal rapemer;1143060
Bezpečnostní díra v Nette (?) – v session zůstávají i administrátorem odebrané…
Vážně si myslíš, že weby běžící na Nette jsou bezpečné? :-)) Naivní ... skutečně naivní myslet si, že framework za mě vyřeší bezpečnost :-)))) už jsem viděl plno prasáren, kde přímo do příkazu dibi někdo nacpal {$_GET}. Takže je to o přístupu, jestli o bezpečnosti něco víš a nebo používáš FW ;-)

Nikdo přeci netvrdí, že framework sám vyřeší veškerou bezpečnost. Nevím o žádném frameworku, který by to uměl. Ale rozhodně si myslím, že Nette je bezpečnější, než například budou Vaše weby v čistém PHP (jestli tak mám chápat bez frameworků. Už jen z toho důvodu, že ten kód vidělo spoustu lidí a tak je větší pravděpodobnost odhalení bezpečnostního problému. Bezpečnosti se náhodou poměrně intenzivně věnuji, spoustu let jsem psal jen v čistém PHP (projekty si to vyžadovali) a pár frameworků jsem taky vyzkoušel. Myslím, že je mnohem jednodušší vytvořit bezpečnostní trhlinu na webu ve vannila PHP projektu, než ve frameworku. Obvzlášť Nette mi na tom přijde z bezpečností dobře.

22. 11. 2014 22:11:58

https://webtrh.cz/diskuse/uz-si-nette-konecne-forknete-s-tim-jak-jste-tak-chytri/strana/2#reply1070259

Jan Matoušek

(12 hodnocení)

22. 11. 2014 22:12:01

Ono by to nechtělo číst jenom název příspěvku...

A ne, weby na Nette nemusí být bezpečné, ale to na žádném frameworku. Každopádně pomáhají k větší bezpečnosti.

A pokud píšeš weby bez frameworku (jakéhokoliv) tak jsi blázen:-)

22. 11. 2014 22:12:01

https://webtrh.cz/diskuse/uz-si-nette-konecne-forknete-s-tim-jak-jste-tak-chytri/strana/2#reply1070258

Smazany ucet 253

(3 hodnocení)

22. 11. 2014 22:14:32

Napsal Jan Matoušek;1143067
Ono by to nechtělo číst jenom název příspěvku...
A ne, weby na Nette nemusí být bezpečné, ale to na žádném frameworku. Každopádně pomáhají k větší bezpečnosti.
A pokud píšeš weby bez frameworku (jakéhokoliv) tak jsi blázen:-)

možná jsem blázen, ale je to zábava, která s frameworkem není ;-)

22. 11. 2014 22:14:32

https://webtrh.cz/diskuse/uz-si-nette-konecne-forknete-s-tim-jak-jste-tak-chytri/strana/2#reply1070257

alex93

(70 hodnocení)

22. 11. 2014 22:48:39

Proč blázen?

To už je zase možná trochu přehnané.Framework je dobrá věc,ale říkat,že bez toho je člověk blázen.Je zase moc.Např: když bude chtít někdo úplně jednoduchý web,tak si s frameworkem,akorát zkomplikuje dost věcí v některých případech.Nejlepší cestou si myslím je mít vlastní framework ,už z toho důvodu,abych věděl co mi to dělá.Nespoléhat plně na nějaký komereční framework,který dostatečně neznám vývojově,když sem,že mi to nějak ošetří a sám to nebudu umět,to asi není ta správná cesta.Ale ne vždy je to ideální samozřejmě mít vlastní pokud chci něco osvědčeného pořádně testovaného, zřejmě tím pádem dokonalejšího a hlavně rychlejšího k vývoji.

22. 11. 2014 22:48:39

https://webtrh.cz/diskuse/uz-si-nette-konecne-forknete-s-tim-jak-jste-tak-chytri/strana/2#reply1070256

Jan Horák (Gransy)

(22 hodnocení)

22. 11. 2014 23:07:12

A jeje, to je zas diskuze ...

taky delam bez frameworku ... a proc ? Protoze nepotrebuji kvuli funkcim webu A, B, C nacitat moloch ktery umoznuje D, E, F, G, H, I, J ...

22. 11. 2014 23:07:12

https://webtrh.cz/diskuse/uz-si-nette-konecne-forknete-s-tim-jak-jste-tak-chytri/strana/2#reply1070255

Bacon

(2 hodnocení)

22. 11. 2014 23:52:39

Napsal rapemer;1143060
Bezpečnostní díra v Nette (?) – v session zůstávají i administrátorem odebrané…

Vážně si myslíš, že weby běžící na Nette jsou bezpečné? :-)) Naivní ... skutečně naivní myslet si, že framework za mě vyřeší bezpečnost :-)))) už jsem viděl plno prasáren, kde přímo do příkazu dibi někdo nacpal {$_GET}. Takže je to o přístupu, jestli o bezpečnosti něco víš a nebo používáš FW ;-)

---------- Příspěvek doplněn 22.11.2014 v 22:01 ----------

Vezmi si dva případy lidí:
1) člověk, který o bezpečnosti jen slyšel, ale používá framework, tak si myslí, že jeho se to netýká.
2) člověk, který framework nechce používat a vším se prokousává sám. Bezpečnost je jeho denní chleba a proto všechny vstupní parametry ošetřuje už z principu.

Kde je tedy pravděpodobnost vzniku bezpečnostní díry větší?

To, cos poslal, mi jako chyba nepřijde. Možná, ale jen možná, je to bad practice. Ale i tak Nette není jediný framework, kde to takto funguje.

Pravděpodobnost vzniku bezpečnostní díry je podle mě u dvojky, bohužel :)

Napsal gransy;1143080
A jeje, to je zas diskuze ...

taky delam bez frameworku ... a proc ? Protoze nepotrebuji kvuli funkcim webu A, B, C nacitat moloch ktery umoznuje D, E, F, G, H, I, J ...

Jsou i mini frameworky. A taky frameworky, kde si vybereš, které komponenty využiješ.

22. 11. 2014 23:52:39

https://webtrh.cz/diskuse/uz-si-nette-konecne-forknete-s-tim-jak-jste-tak-chytri/strana/2#reply1070254