Wordpress כסביבת פיתוח
-
זה תלוי ברמת קוד. אם זה בעולם הוובי אתה תיפול על XSS או דברים כאלו, אבל עדיין אתה חייב להיות מתכנת "מתגונן" ולדאוג לדעת מה נכנס למסד נתונים שלך, ואיך להציג אותו.
אני מאוד משתדל לדעת בדיוק איזה סוג נתונים במדוייק יכול להחיל כל משתנה. זה סעיף מאוד חשוב ברמת כתיבת קוד !
פורסם במקור בפורום CODE613 ב27/07/2014 16:11 (+03:00)
-
זה תלוי ברמת קוד. אם זה בעולם הוובי אתה תיפול על XSS או דברים כאלו, אבל עדיין אתה חייב להיות מתכנת "מתגונן" ולדאוג לדעת מה נכנס למסד נתונים שלך, ואיך להציג אותו.
אני מאוד משתדל לדעת בדיוק איזה סוג נתונים במדוייק יכול להחיל כל משתנה. זה סעיף מאוד חשוב ברמת כתיבת קוד !
אבל זה לא הכל שכאתה מדבר על אבטחה, והדגש הוא על אבטחת מידע.
אני לא נכנס כעת להזרקת נתונים וכו', אלא אם מישהו יכול לראות את הנתונים שעוברים, לעשות איתם משהו, או סתם לחטט בהסטורייה / קבצים שמורים ולהוציא משם מידע שלא אמור להיות אצלו.
ולא. אל תסביר לי עכשיו מה לעשות כדי שזה לא יקרה. כי גם אני יודע מה לעשות. אבל זה כאב ראש לא קטן.
שלא לדבר על כאב הראש בחיובי אשראי כשהדף רץ ברידייקרט לסולק ובדרך אפשר לחבל בנתונים בצורה פשוטה ומעצבנת. (ושוב, אל תסביר לי איך אתה פותר [או עוקף] את הבעייה. כי אני משתמש באותם שיטות. אבל עדיין, צריך לעקוב כל הזמן....)פורסם במקור בפורום CODE613 ב27/07/2014 16:56 (+03:00)
-
אבל זה לא הכל שכאתה מדבר על אבטחה, והדגש הוא על אבטחת מידע.
אני לא נכנס כעת להזרקת נתונים וכו', אלא אם מישהו יכול לראות את הנתונים שעוברים, לעשות איתם משהו, או סתם לחטט בהסטורייה / קבצים שמורים ולהוציא משם מידע שלא אמור להיות אצלו.
ולא. אל תסביר לי עכשיו מה לעשות כדי שזה לא יקרה. כי גם אני יודע מה לעשות. אבל זה כאב ראש לא קטן.
שלא לדבר על כאב הראש בחיובי אשראי כשהדף רץ ברידייקרט לסולק ובדרך אפשר לחבל בנתונים בצורה פשוטה ומעצבנת. (ושוב, אל תסביר לי איך אתה פותר [או עוקף] את הבעייה. כי אני משתמש באותם שיטות. אבל עדיין, צריך לעקוב כל הזמן....)יש איזה משל על עגלון איך לצאת מהבוץ. אז יש הבדל בין חכם לפיקח לא זוכר מי אבל מי שיותר טוב זה מי שבכלל לא נכנס לבוץ.
ובשביל לדעת לא להיכנס לבוץ צריך להכיר טוב את פני השטח את הכלים והעסק שיש באינטרנט. אתה מניח הנחה שיש בעיה. ואומר לנו אל תסביר לי איך לפתור אותה.
מתכנת חכם בכלל לא נכנס לבעיה והיא לא מתחילה אצלו.למשל אף אתר חכם לא משתמש ברידייקרט לסולק שבדרך אפשר לחבל בנתונים. את זה עושים בשביל תרומות. שגם ככה לא משנה כמה הבן אדם יתרום.
פורסם במקור בפורום CODE613 ב29/07/2014 17:17 (+03:00)
-
אבל זה לא הכל שכאתה מדבר על אבטחה, והדגש הוא על אבטחת מידע.
אני לא נכנס כעת להזרקת נתונים וכו', אלא אם מישהו יכול לראות את הנתונים שעוברים, לעשות איתם משהו, או סתם לחטט בהסטורייה / קבצים שמורים ולהוציא משם מידע שלא אמור להיות אצלו.
ולא. אל תסביר לי עכשיו מה לעשות כדי שזה לא יקרה. כי גם אני יודע מה לעשות. אבל זה כאב ראש לא קטן.
שלא לדבר על כאב הראש בחיובי אשראי כשהדף רץ ברידייקרט לסולק ובדרך אפשר לחבל בנתונים בצורה פשוטה ומעצבנת. (ושוב, אל תסביר לי איך אתה פותר [או עוקף] את הבעייה. כי אני משתמש באותם שיטות. אבל עדיין, צריך לעקוב כל הזמן....)יש איזה משל על עגלון איך לצאת מהבוץ. אז יש הבדל בין חכם לפיקח לא זוכר מי אבל מי שיותר טוב זה מי שבכלל לא נכנס לבוץ.
ובשביל לדעת לא להיכנס לבוץ צריך להכיר טוב את פני השטח את הכלים והעסק שיש באינטרנט. אתה מניח הנחה שיש בעיה. ואומר לנו אל תסביר לי איך לפתור אותה.
מתכנת חכם בכלל לא נכנס לבעיה והיא לא מתחילה אצלו.למשל אף אתר חכם לא משתמש ברידייקרט לסולק שבדרך אפשר לחבל בנתונים. את זה עושים בשביל תרומות. שגם ככה לא משנה כמה הבן אדם יתרום.
אני חושב שאם תקרא היטב מה כתבתי תבין שגם אני מבין ויודע את מה שאתה אומר. (האמירה ליקיר הייתה כדי שבאמת הוא לא יסביר לי את זה, כי באמת גם אני יודע מה לעשות)
לא רוצה לרוץ כאן שוב למלחמת הפלטפורמות, מהסיבה שאני כותב גם לווב, מכיר את ה"בעיות" (כך אני קורא להם, כי בכל מקום בחיים יש "בעיות" שאתה צריך לפתור) ומכיר גם את הבעיות בדסקטופ.
לא חושב לומר לכאן או לכאן, ואם הייתי צריך לתקוף את הדסקטופ הייתי עושה זאת כעת. (אתה מוזמן לכתוב משהו על דסקטופ וליהנות איך גם שם אני יודע ל"צעוק")
ויש בעיות בכל מקום שלא בשליטתך, (נכון שאתה חכם לא להיכנס -אבל לא אתה מייצר אותם). דוגמא? אתה לא מסתמך על רידייקרט, אלא משתמש בHTTPS כדי לחייב אשראי, ואז אינטרנט אתרוג מחליט להתלבש לך על האבטחה בדרך .....פורסם במקור בפורום CODE613 ב29/07/2014 20:58 (+03:00)
-
קליק, מה שאני אומר זה שפשוט צריך להכיר את המינוסים של כל פלטפורמה, אבל לא חושב שזה הכיוון של הדיון. הדיון פה מדבר על וואב, רק השאלה היא על איזה בסיס לכתוב אותה.
אני חושב שכדי שתפתח דיון חדש שדן על מלחמת הפלטפורמות (או שכבר יש? אין סיכוי בעולם שלא פתחת כזה דיון :lol: ).
פורסם במקור בפורום CODE613 ב29/07/2014 21:29 (+03:00)
-
ויש בעיות בכל מקום שלא בשליטתך, (נכון שאתה חכם לא להיכנס -אבל לא אתה מייצר אותם). דוגמא? אתה לא מסתמך על רידייקרט, אלא משתמש בHTTPS כדי לחייב אשראי, ואז אינטרנט אתרוג מחליט להתלבש לך על האבטחה בדרך .....
אוקי לא הבנתי מה התכוונת. שאמרת רדיירקט. אני חשבתי שאתה מתכוון לשיטה הזאת.
https://developer.paypal.com/docs/classic/paypal-payments-standard/integration-guide/formbasics/
שבה מציבים כfrom בתוך הhtml ואז כל אחד יכול לשנות את המחיר של המוצר למה שהוא רוצה. או לשנות את המטבע. אם נגיד המפתח בipn שכח לבדוק גם סוג מטבע אז אתה יכול לקנות מוצר במקום ב100 דולר ב100 רובל רוסי (או משהו ששוה פחות מזה).לגבי מה שכתבת שאפשר לשנות את הלינק של הרדיירקט הספק או מישהו באמצע למשהו אחר וככה יצא שתשלם למישהו אחר.
אני מפתח אתר שכולו http רגיל והוא מוכר המון בחודש ואף פעם שלי לא שמעתי על מקרה כזה.
אתה מבין לבד שזה ממש לא פשוט לעשות כזה התקפה כי שמים לוגו ושם של האתר בקניה של פאיפל.פורסם במקור בפורום CODE613 ב29/07/2014 21:45 (+03:00)
-
קליק, מה שאני אומר זה שפשוט צריך להכיר את המינוסים של כל פלטפורמה, אבל לא חושב שזה הכיוון של הדיון. הדיון פה מדבר על וואב, רק השאלה היא על איזה בסיס לכתוב אותה.
אני חושב שכדי שתפתח דיון חדש שדן על מלחמת הפלטפורמות (או שכבר יש? אין סיכוי בעולם שלא פתחת כזה דיון :lol: ).
לחלוטין מסכים.
וזה מה שכתבתי.
אני מכיר במינוסים של כולם, רק לא באמת חושב שאפשר לקרוא לוורדפרס פלטפורמה, אלא אולי טמפלט מורחב ובסיס להתחלה טובה לCMS. פלטפורמה זה PHP או NodeJS. (אפשר להוסיף את Yii לרשימת הפלטפורמות, או שוב, זה כמו אקסס לPHP)אם אתה מחפש את הדיון על הפלטפורומות הוא כאן (למיטב זכרוני גם אתה השתתפת שם)
נ.ב. הדבר הראשון שחיברת זה המחשב?
פורסם במקור בפורום CODE613 ב29/07/2014 22:01 (+03:00)
-
אוקי לא הבנתי מה התכוונת. שאמרת רדיירקט. אני חשבתי שאתה מתכוון לשיטה הזאת.
https://developer.paypal.com/docs/classic/paypal-payments-standard/integration-guide/formbasics/
שבה מציבים כfrom בתוך הhtml ואז כל אחד יכול לשנות את המחיר של המוצר למה שהוא רוצה. או לשנות את המטבע. אם נגיד המפתח בipn שכח לבדוק גם סוג מטבע אז אתה יכול לקנות מוצר במקום ב100 דולר ב100 רובל רוסי (או משהו ששוה פחות מזה).לגבי מה שכתבת שאפשר לשנות את הלינק של הרדיירקט הספק או מישהו באמצע למשהו אחר וככה יצא שתשלם למישהו אחר.
אני מפתח אתר שכולו http רגיל והוא מוכר המון בחודש ואף פעם שלי לא שמעתי על מקרה כזה.
אתה מבין לבד שזה ממש לא פשוט לעשות כזה התקפה כי שמים לוגו ושם של האתר בקניה של פאיפל.אני ישמח לשלוח לך בפרטי הסרטת וידאו של רידיירקט לספק סליקה כאן בארץ, שבצורה פשוטה מאד אני משנה את הסכום מ100 ש"ח למינוס 100 ש"ח, ואז יש זיכוי.
רק שתבין, אחרי שעשיתי את ההסרטה הזו, פניתי לחברה, והבהרתי להם את הבעייה + שלחתי להם את ההסרטה (והייתי מוכן לספק פיתרון מעניין - ללא תשלום). חושב שמישהו שם התייחס ברצינות?
בנוסף עשיתי אחרי ההסרטה הנ"ל עם אותו חבר נסיון לקנות בשקל אחד מוצר שעולה 400 ש"ח דרך סולק נוסף בארץ, קיבלנו קבלה על 400 ש"ח כשבפועל בכרטיס ירד שקל אחד בלבד. (אל תדאג, בכתובת ושבם כתבנו להם בלה בלה בלה כדי שח"ו לא יהיה גזל)
התפקיד שלי ושלך כמתכנתים הוא לא להיכנס לשם (וזה מה שאנחנו עושים), אלא להשתמש בHTTPS ואת החיוב לבצע בשרת, או לבדוק לפחות מה חזר ברידיירקט מהסולק.פורסם במקור בפורום CODE613 ב29/07/2014 22:03 (+03:00)
-
היה קשה לראות את הוידאו הזה. כי צריך טים וויאר בשביל זה וזה לא עבד בלינוקס רק בווינדוס.
יכול להיות שבגלל ששלחת את זה בפורמט כזה לכן הם לא התייחסו כי יכול להיות שהם לא הצליחו לפתוח את זה.
יש שם אפשרות להמיר לפורמט וידאו רגיל.טוב עכשיו לעצם הדיון. זה בדיוק מה שכתבתי על פאיפל שגם שם יש שיטת הfrom. ועל זה בדיוק דיברתי וכנראה שלא טעיתי בהבנתי.
השיטה הזאת מלכתחילה לא טובה. במיוחד המינוס שעשית שם. וזה נראה אכן באג רציני של pelecard (אין מה לצפות הרבה ממתכנתי asp.net סתם בצחוק. יש באגים כאלה בכל שפה). ואני לא מבין איך https יפתור את הבעיה הזאת.השיטה הטובה שמן הסתם צריך להיות גם ל pelecard זה ששולחים לחברה מאחורי הקלעים (מהשרת לשרת של החברה) את הפרטים של החשבונית. עם מזהה של העסק מזהה סודי. מקבלים לינק יחודי ונותנים את זה ללקוח ואז הוא מקבל את זה ונכנס אוטומטי לאתר של התשלומים מכניס אמצעי תשלום וזהו.
זה הדרך הכי טובה ויש את זה בפאיפאל ולא צריך להסתבך עם כלום.
פורסם במקור בפורום CODE613 ב30/07/2014 00:30 (+03:00)
-
אתה צודק ולכן כתבתי לך שאם אתה לא מצליח לראות אני ימיר לך.
הם ראו את זה ודיברו איתי אח"כ, אבל בפועל לא עשו עם זה כלום.לעצם העניין, זה קצת שונה משיטת הFORM, אבל אותו עיקרון, שאני טוען שהוא קצת פחות גרוע.
המינוס שעשיתי שם הוא הבעייה. ולמען האמת זה אפילו יותר פשוט מזה, כי אם תפתח אתה דף שלהם ב"בדוק מרכיב" בכרום אתה גם יכול לשנות את הערכים.והפיתרון שרציתי להציע להם הוא אכן מה שכתבת (לא ידעתי שכך זה בפייפל) - אבל שוב, הם לא התייחסו.
HTTPS יפתור אתהבעייה אם לא יהיה רידייקרט לשרת אחר, אלא המספר כרטיס יגיע אליך ואז אתה יכול לחייב את הסכום שרשום בDB, לא מה שהמשתמש שינה.
פורסם במקור בפורום CODE613 ב30/07/2014 00:44 (+03:00)