А как же дыры, закладки ) На 80-м уровне вложенных зависимостей.
Безусловно на мою долю хватит ошибок в моём собственном коде, но не хочется проверять на вшивость каждую строчку заёмного. Хочется, чтобы его уже проверил кто-то другой) Тут уже интерфейсными тестами не отделаешься.
Николай, об этом и вопрос. Божественность упомянута, чтобы определить верхний предел доверия к коду (т. е. полное — к своему собственному). Т. к. я не бог, чтобы писать свой apache, и даже вдумчивое чтение заёмного кода на предмет анализа его секьюрности займёт у меня изрядно времени, я и ищу лёгких инвестиций — когда всё проверил кто-то другой кому я мог бы довериться (а-ля признанные секьюрити эксперты). Т. е. списки либ, успешно прошедших аудит, либо хотя бы пользующихся доверием профессионалов. Кое-какое компромиссное решение я сформировал, но дополнительно опросить мнения не помешает.
rPman, персональный аудит — это да. Какие-нибудь известные публичные базы результатов аудита существуют? Вот тут Snyk упомянули, вроде о других подобных сервисах слышал, но, насколько понимаю, они не достигают глобального, так сказать, размаха. Опять же, про библиотечную базу сертифицированных систем упомянули.
Мой код будет заведомо безопасным в смысле отсутствия проектных бэкдоров, т. к. их наличие не в моих интересах (если я не хацкер, пишущий трояны, конечно). Плюс, боги программирования наверняка могут писать себе всё сами. Но я на такой титул не претендую. Кроме того, полное исследование заёмного кода у меня как непрофессионала заняло бы время, сравнимое с его использованием. Поэтому рассматриваю компромиссный вариант, с опорой на выбор компетентной "критической массы". Вот и пытаюсь определить, откуда начинается компетентность и с какой массы начинается критическая (достаточная).
Я в плане: если не умеешь сам организовать все эти уровни защиты, то хорошо бы как минимум ориентироваться на выбор тех, кто это умеет и практикует. Вот и интересуюсь, существуют ли списки таких деятелей, и составляют ли они, в свою очередь, списки "хороших" либ.
Иной чужой код надо вообще в песочницу сажать. Хотя сейчас, с грануляризацией разрешений, поддерживаемой тем же Linux, это, пожалуй, стало проще.
Аска плохого не посоветует :)
Но много — это сколько? От десятков тысяч?
И... никаких Свитков Мёртвого моря нотариально заверенных списков благопристойных либ? Только социальный анализ?
szelga, если ограничить использование DHCP, технически, можно ведь и не разделять. WAN в LAN — и в продакшен. Хотя интересно, что там за самобытная сеть такая.
Dev12345, так глубоко не в теме, — насколько понимаю, это Python под Windows, не в курсе, использует он системный список сертификатов или свой.
Если системный, то гуглить про импорт доверенных сертификатов в Windows. Типа.
Вот какие-то варианты воздействия на сам Python (код или окружение).
Альтернативное решение — выпуск валидных сертификатов тем же Let's Encrypt на своём домене (его поддомене), если он, конечно, есть.
Клиент один и тот же? С одним дедиком работает, с другим нет?
Сертификаты на серверах самоподписные?
Сертификаты на серверах отличаются или одинаковые?
На клиенте сертификаты добавлены в доверенные?
Dev12345, на вид Python не может найти сертификат удостоверяющего центра, которым подписан сертификат на ws-сервере. Навскидку два варианта:
а) сертификат сервера самоподписной, и нужно добавить его в список доверенных, либо отключить проверку сертификата в коде;
б) сертификат удостоверен, но клиентский код использует свой набор сертификатов УЦ, в котором нет нужного — тогда добавить туда.
Разница между дедиками/клиентами есть какая-то? Версии/код софта, наборы сертификатов, конфиги?
Со стороны выглядит, что урл отражает данные, которые находятся в форме. В рамках этой логики следует обновлять урл перед отправкой запроса. По поводу вариантов реализации не могу прокомментировать.
LeonidPokrovskiy, а вы сами передавали что-нибудь со стороны клиента? Токен параметром в ссылке на подключение, например. Для шаринга куков как минимум домен должен быть одинаковый, мб ещё что-то.
Безусловно на мою долю хватит ошибок в моём собственном коде, но не хочется проверять на вшивость каждую строчку заёмного. Хочется, чтобы его уже проверил кто-то другой) Тут уже интерфейсными тестами не отделаешься.