Приятная подача материала, хорошо спланированная лекция. Все показанное, кроме трюка с zip, знаю, понимаю, использую или опасаюсь. Спасибо за хорошее видео, получил удовольствие от просмотра. За троллинг с логином и паролем отдельный респект! Тем не менее, Вы показали плохой пример начинающим. Антон, во всех своих примерах Вы использовали DefaultServeMux от net/http в неявном виде при назначении маршрутов, а затем при вызове ListenAndServe передавали nil вместо ServeMux, что приводит к использованию DefaultServeMux в явном виде. Это дыра в безопасности сервера, так как позволяет любой подключаемой зависимости менять маршруты и хэндлеры в вашей системе роутинга. Для защиты от такого вмешательства нужно: переменную с ServeMux создавать явно, передавать её в листенер вместо nil и переменная должна быть приватной, даже если она является частью какой-то структуры. Я так понимаю, это и есть ошибка на 30к таллеров. Где я могу получить денюшку?

Отличное видео. Антону огромное спасибо за качественный и полезный контент!

Побольше таких видео! Сделайте серию видео о безопасности, и как можно подробнее. Большое спасибо!

Дякую, все дуже зрозуміло, чітко і ясно.

Огромная благодарность, все понятно, интересно!

Блин, крутой видос. Что-то помнил, что-то слышал, что-то не знал, но очень интересно)

Спасибо, очень полезное видео

Спасибо за видос! Троллинг с логином и паролем на стикере 😂 Какие плагины используете для VSCode? И почему не Goland?

да, я хочу продолжения, и да я не знаю о чем спрашивать, наверное если бы знал, то не просил продолжения

Спасибо за видео. Коммент в поддержку!

Это просто офигенно

Вроде все знакомо, но в целом собрать все в кучу иногда полезно, даже в базовых вещах. Будет круто второй видос сделать с чем то более интересным. Понятно что на стороне приложения не от всего можно защититься, но вы так же затронули и защиту со стороны инфраструктуры все равно это было бы очень интересно. Атаки dns, различные варианты атаки амплификацией, затопления, подмена рутового сертификата, и тд и тп. В любом случае спасибо! PS Все же у Чичваркина серьга круче! Всем добра!

Спасибо

Братан, хорош, давай, давай, вперёд! Контент в кайф, можно ещё? Вообще красавчик!

ну Антон конечно приколист)

Это все хорошо, только вот непонятно причем тут Go?

спасибо, интересно, полезно. на ноуте стикер приклеен с логин/паролем, они настоящие? ))

@devracoon

Жыл бұрын

Просто чувак с юмором)

@sSpacedOut

Жыл бұрын

это конечно же пасхалка, но спасибо, что заметили)

29:35 "мы отравляем его в, допустим, Let's Encrypt и спрашиваем, а действительно ли этот public key соответствует вот этому домену" - вообще-то нет. мы никуда его не отправляем. Мы используем локальные копии CA сертификатов чтобы проверить действительно ли сертификат сервера подписан, скажем, Let's Encrypt-ом и что мы можем доверять его, сертификата сервера, метадате - домену, датам валидности и т.п.

а есть какие-то статические анализаторы мощные, которые бы эти уязвимости детектили ещё на этапе линтера? gosec наругался только на необработанные ошибки, остальное просвистело мимо

Супер видео, а есть ссылочка на репу?

@Skills_mentor

Жыл бұрын

Да, в описании видео все есть)

А если man in the middle по дороге к CA и он присылает ответ, что да, серт соответствует ?😂

@PavelAAlexeev

3 ай бұрын

там в брауезере вшиты асиметричные ключи расшифровки ответов от CA; предпологается, что человек посередине не знает асимтричный ключ шифрования от CA. Если у CA утекли его ключи - тогда печаль-беда.

это советы из 2007 или 2010 года?

@def9572

Жыл бұрын

Дай совет из 2022 года

@sSpacedOut

Жыл бұрын

добрейшего вечера, коллега! сложилось впечатление, что ваш вопрос адресован автору ролика и так вышло, что человек на видео - это я, поэтому постараюсь ответить: это видео сразу из 2007ого и из 2010ого, а если погуглить последний отчет owasp top 10, то станет понятно, что оно даже из 2022ого, ведь, как говорили классики, «война никогда не меняется». индустрия растет и в нее продолжают приходить новые люди, а знания об уязвимостях пока еще не передаются по наследству. безусловно, благодаря титаническим усилиям комьюнити, когда повсеместно внедряются новые безопасные протоколы и стандарты, какие-то ошибки стало совершить намного сложнее, а то и вовсе невозможно, но выстрелить себе в ногу можно все еще бесконечным количеством способов, некоторые из которых, возможно, никогда не исчезнут. поэтому мы надеемся, что это видео будет полезным для аудитории канала и повысит осведомленность. P.S. тема довольно большая и все рассказать за раз невозможно. поэтому напомню, что как я и сказал в конце ролика, если у вас есть интересные кейсы иб, то не стесняйтесь их кидать в комменты и возможно мы наберем материала на второе видео.

@verygoodnice7122

Жыл бұрын

@@sSpacedOut было бы интересно послушать про уязвимости за которые вк заплатил 30 тысяч долларов 😁 хотя бы одну

@aidarlatypov7747

Жыл бұрын

@@sSpacedOut Да уж по аватару догадались что это Вы))

Умеют же люди за несколько минут успеть надругаться над Русским и Английским языками. Не первый раз встречаю спикеров со специфическим словарным запасом и опытом работы в VK

файлик, байтик, хэшик - это что за детсад?

я начал волноваться, когда функция rand.Read(salt) "испортила" нашу заготовку для соли

Разве есть sql базы, которые позволяют использовать строки без кавычек? Вот такое же не будет работать: SELECT * FROM XXX WHERE YYY=привет