Зачем усложнять работу своим коллегам программистам придумывая средства безопасности если их всё равно рано или поздно взломают?

Question

[Виктор Юрченко]

Это скорее не вопрос а наблюдение.
Мне нравится как одни программисты придумывают всякие хитрости против других программистов, а вторые делают в свою очередь тоже самое только против тех штук что придумали первые программисты)
Вот например
На сайте откуда я парсил товары на форме авторизации генерируется ключ случайным образом, для того чтобы нельзя было отправлять POST запросы с другого сайта или скрипта
но достаточно просто к скрипту дописать функцию зайти на сайт спарсить ключ и отправить его в запросе ещё одним параметром и можно отправлять какие угодно запросы куда угодно
Можно конечно сделать отслеживание на предмет того не робот ли ты, но если задать нужные параметры то это легко обходится, что я и сделал в общем.
И вот тут непонятно, зачем тот парень писал лишний код тратил своё время, на то что у меня заняло ещё 10 минут времени. Глупо как-то тратить бесцельно своё и чужое время.

Answer 1

[Dimonchik]

стоимость взлома бывает выше профита

особенно если поймают

Answer 2

[sim3x]

Потому что csrf защита не от парсинга

Answer 3

[Николай Бараненко]

Создание иллюзии безопасности не только в части разработки и программирования - одна из самых дорогих "услуг" в мире на мой взгляд. В части программирования - это соревнование между одними и другими: которые строят ее и которые пытаются взломать. В данном случае ваше "кунг фу" оказалось сильнее, и devops не рассчитывал на такой уровень или им банально не хватило времени на "стену" по выше.

Answer 4

[Матвей Правосудов]

Зачем усложнять работу своим коллегам программистам придумывая средства безопасности если их всё равно рано или поздно взломают?

Потому что одни программисты не разделяют желание других «программистов» взламывать их программы.

На сайте откуда я парсил товары на форме авторизации генерируется ключ случайным образом, для того чтобы нельзя было отправлять POST запросы с другого сайта или скрипта
но достаточно просто к скрипту дописать функцию зайти на сайт спарсить ключ и отправить его в запросе ещё одним параметром и можно отправлять какие угодно запросы куда угодно

Не «какие запросы куда угодно», а отправить сейчас ПОСТ-запрос авторизации, и то, если на сайте нет проверки на источник запроса.

Можно конечно сделать отслеживание на предмет того не робот ли ты, но если задать нужные параметры то это легко обходится, что я и сделал в общем.

Какие параметры? Ну, допустим, простую капчу можно дешифрануть нейрухой, но с рекапчей уже сложнее, потому что она отслеживает движение мышки.

И вот тут непонятно, зачем тот парень писал лишний код тратил своё время, на то что у меня заняло ещё 10 минут времени. Глупо как-то тратить бесцельно своё и чужое время.

А точно ли был «взлом», а не просто получилось отправить форму с левого сайта?

Answer 5

[DVoropaev]

А нафига люди вешают замки, если их можно снять?