tifyty

pure Java, what else ?

Biztonságos?

Nagyobb cégeknél rendszeresen el kell végezni mindenféle értelmetlen tréningeket. Persze nem értelmetlenek, mert bármit amit megtanulsz, valaha lehet valami haszna, de amikor tele vagy melóval, és akkor még egy kötelező cégetikai tréninget is végig kell csinálni a céges intraneten, akkor tényleg úgy érzi az ember, hogy “nesze sánta itt egy púp”.

Most húsvétkor, hogy otthon jártam egy rokonom küzdött éppen otthonról egy ilyennel, mert mikor csinálja az ember, ha nem ünnep alatt? Olyankor nyugi van, nem csörög a telefon: lehet érdemben dolgozni. Volt húsz teszt kérdés a végén, és persze egy olyan volt, amit nem sikerült megoldani: az utolsó. Egy kérdés, és öt válasz, amelyikből egy, vagy több a jó. Nem olyan nagy kaland, hiszen csak 32 lehetőség van. Sajnos azonban a program úgy lett megalkotva, hogy ha tippeltél, akkor már nem mehetsz vissza, legfeljebb előröl kezded mind a 20 kérdést. Így már egy kicsit húzósabb.

Persze ha van egy informatikus a háznál, aki látja, hogy a nagy biztonságú VPN-en keresztül milyen csiga módra töltődik be az oldal, és ehhez képest mégis milyen azonnal vágja rá a hatos IE, hogy a megadott válasz nem jó (azt persze nem, hogy mi nem jó), akkor lehet sejteni, hogy itt valahol a háttérben egy JavaScript mókol, és ha JavaScript, akkor talán ki lehet kerülni, meg lehet hakkolni a jó cél érdekében, hogy meg legyen csinálva a mandatory tréning.

Valóban az volt, és nem is volt túl bonyolult a félig kézzel írt, félig valamilyen program által generált JavaScript makramé/origami keverékben megtalálni, hogy mi a jó válasz: mind az ötöt be kellett jelölni. A legszebb a dologban, hogy valójában, tartalmilag ez a megoldás hibás volt.

De vajh hibás-e az a megoldás, hogy ott van az egész JavaScipt vomitus, benne a megoldással?

Először azt gondolja az ember, hogy bizony hibás. Hol van itt a biztonság? Minden kérdésre ott a válasz, igaz, hogy \u00XX alakban, de ez nem okozhat gondot. Pillanat alatt meg lehetett hakkolni.

Aztán azt is gondolja az ember, hogy talán mégsem. Mert igaz, hogy informatikusként… na de utcaseprőként, ápolónőként, vésnökként, szóval azokban a szakmákban, amik tipikusan előfordulnak a multiknál? Azok előbb tanulják meg a jó válasz, még akkor is ha az rossz, mint ahogy megtanulnak JavaScript-ül.

Biztonságos?

Semmi sem az. Vagy minden, annyira, amennyire kell. Néha kevésbé, néha jobban. Szóval? Mi a véleményed? Biztonságos?

3 responses to “Biztonságos?

  1. Gábor Lipták április 3, 2013 3:09 du.

    Mint minden biztonsági kérdésben, itt is az számít, hogy a védett dolog mennyire értékes. Ha ezen a teszten egy 100000-es prémium múlik 100 embernek, akkor megéri áldozni biztonságosabb megoldásra. Ha nem, akkor talán nem.
    Amúgy az is eredmény, ha meghackeli valaki, tudod, hogy ért hozzá 🙂

    • kirunewsKirály Péter április 3, 2013 3:43 du.

      A bejegyzésből számomra nem derült ki, hogy a tesztnek a megvalósítás módján kívül bármi köze volna a JavaScripthez, vagyis ha meghackeli valaki, arról nem derül ki az égvilágon semmi releváns. Egyébként egyetértek abban, hogy a “biztonságosság” mértéke függ annak az értékétől, amit meg akar őrizni, ugyanakkor ezt a fajta validálást semmilyen szinten nem tartom biztonságosnak/elfogadhatónak. A szerver oldali form validálás mindenféle keretrendszerben adott dolog (legalábbis, amiket én ismerek). Az, hogy VPN-en keresztül érhető el a form, azt is jelenti, hogy itt valamiféle biztonságosság-képet szerettek volna a megrendelő cég felé közvetíteni, amit jelentősen aláástak a JS-es validálással.

  2. Bence április 4, 2013 10:51 de.

    Nekem most valamiért a planningpoker.com jutott eszembe…

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: