Безопасность в Golang | Навыки
Рет қаралды 11,942
Күн бұрын
@danilkandakov9713 2 жыл бұрын
Побольше таких видео! Сделайте серию видео о безопасности, и как можно подробнее. Большое спасибо!
@yeu344 Жыл бұрын
Отличное видео. Антону огромное спасибо за качественный и полезный контент!
@demianpikaliuk3292 2 жыл бұрын
Дякую, все дуже зрозуміло, чітко і ясно.
@kwynto 2 жыл бұрын
Приятная подача материала, хорошо спланированная лекция. Все показанное, кроме трюка с zip, знаю, понимаю, использую или опасаюсь. Спасибо за хорошее видео, получил удовольствие от просмотра. За троллинг с логином и паролем отдельный респект! Тем не менее, Вы показали плохой пример начинающим. Антон, во всех своих примерах Вы использовали DefaultServeMux от net/http в неявном виде при назначении маршрутов, а затем при вызове ListenAndServe передавали nil вместо ServeMux, что приводит к использованию DefaultServeMux в явном виде. Это дыра в безопасности сервера, так как позволяет любой подключаемой зависимости менять маршруты и хэндлеры в вашей системе роутинга. Для защиты от такого вмешательства нужно: переменную с ServeMux создавать явно, передавать её в листенер вместо nil и переменная должна быть приватной, даже если она является частью какой-то структуры. Я так понимаю, это и есть ошибка на 30к таллеров. Где я могу получить денюшку?
@dmitryzhuk220 2 жыл бұрын
Блин, крутой видос. Что-то помнил, что-то слышал, что-то не знал, но очень интересно)
@sovrinfo Жыл бұрын
Спасибо за видео. Коммент в поддержку!
@aliaksandrmazhaika 2 жыл бұрын
да, я хочу продолжения, и да я не знаю о чем спрашивать, наверное если бы знал, то не просил продолжения
@Back2Nix Жыл бұрын
Это просто офигенно
@СергейЛучинкин-з7ь 2 жыл бұрын
Спасибо, очень полезное видео
@calypsegayndamrad8956 2 жыл бұрын
Огромная благодарность, все понятно, интересно!
@aidarlatypov7747 2 жыл бұрын
Вроде все знакомо, но в целом собрать все в кучу иногда полезно, даже в базовых вещах. Будет круто второй видос сделать с чем то более интересным. Понятно что на стороне приложения не от всего можно защититься, но вы так же затронули и защиту со стороны инфраструктуры все равно это было бы очень интересно. Атаки dns, различные варианты атаки амплификацией, затопления, подмена рутового сертификата, и тд и тп. В любом случае спасибо! PS Все же у Чичваркина серьга круче! Всем добра!
@ИванЕвтушенко-ш5е 2 жыл бұрын
ну Антон конечно приколист)
@yodude2493 2 жыл бұрын
Братан, хорош, давай, давай, вперёд! Контент в кайф, можно ещё? Вообще красавчик!
@rumartru 2 жыл бұрын
Спасибо за видос! Троллинг с логином и паролем на стикере 😂 Какие плагины используете для VSCode? И почему не Goland?
@IvanFedulov 23 күн бұрын
58:45 совет не доверять либам c бэкдорами хороший, но хотелось бы конкретных примеров. в каких популярных библиотеках находили что-то, хоть отдаленно похожее?
@IvanFedulov 23 күн бұрын
1:04:02 стоило все-таки упомянуть что в классическом понимании zip bomb это не просто сжатый слайс нулей, а архив, который при распаковке приводит к экспоненциальному росту размера результата. ну и в целом видео не завязано ни коем образом именно на go специфику (кликбейт), просто обзор базовых уязвимостей уровня junior+ на 1.5 часа.
@dimmodddimmodd7199 2 жыл бұрын
Спасибо
@vikbov1509 6 ай бұрын
Это все хорошо, только вот непонятно причем тут Go?
@sdz4650 Жыл бұрын
а есть какие-то статические анализаторы мощные, которые бы эти уязвимости детектили ещё на этапе линтера? gosec наругался только на необработанные ошибки, остальное просвистело мимо
@GamidIsayev 2 жыл бұрын
29:35 "мы отравляем его в, допустим, Let's Encrypt и спрашиваем, а действительно ли этот public key соответствует вот этому домену" - вообще-то нет. мы никуда его не отправляем. Мы используем локальные копии CA сертификатов чтобы проверить действительно ли сертификат сервера подписан, скажем, Let's Encrypt-ом и что мы можем доверять его, сертификата сервера, метадате - домену, датам валидности и т.п.
@alexey.justdoit 2 жыл бұрын
спасибо, интересно, полезно. на ноуте стикер приклеен с логин/паролем, они настоящие? ))
@devracoon 2 жыл бұрын
Просто чувак с юмором)
@sSpacedOut 2 жыл бұрын
это конечно же пасхалка, но спасибо, что заметили)
@vladimireliseev7602 2 жыл бұрын
Супер видео, а есть ссылочка на репу?
@Skills_mentor 2 жыл бұрын
Да, в описании видео все есть)
@IvanFedulov 23 күн бұрын
53:45 нашедшему 30к а автора коммита линчуют?)
@SvirMusic Жыл бұрын
А если man in the middle по дороге к CA и он присылает ответ, что да, серт соответствует ?😂
@PavelAAlexeev 8 ай бұрын
там в брауезере вшиты асиметричные ключи расшифровки ответов от CA; предпологается, что человек посередине не знает асимтричный ключ шифрования от CA. Если у CA утекли его ключи - тогда печаль-беда.
@bzz445 2 жыл бұрын
это советы из 2007 или 2010 года?
@def9572 2 жыл бұрын
Дай совет из 2022 года
@sSpacedOut 2 жыл бұрын
добрейшего вечера, коллега! сложилось впечатление, что ваш вопрос адресован автору ролика и так вышло, что человек на видео - это я, поэтому постараюсь ответить: это видео сразу из 2007ого и из 2010ого, а если погуглить последний отчет owasp top 10, то станет понятно, что оно даже из 2022ого, ведь, как говорили классики, «война никогда не меняется». индустрия растет и в нее продолжают приходить новые люди, а знания об уязвимостях пока еще не передаются по наследству. безусловно, благодаря титаническим усилиям комьюнити, когда повсеместно внедряются новые безопасные протоколы и стандарты, какие-то ошибки стало совершить намного сложнее, а то и вовсе невозможно, но выстрелить себе в ногу можно все еще бесконечным количеством способов, некоторые из которых, возможно, никогда не исчезнут. поэтому мы надеемся, что это видео будет полезным для аудитории канала и повысит осведомленность. P.S. тема довольно большая и все рассказать за раз невозможно. поэтому напомню, что как я и сказал в конце ролика, если у вас есть интересные кейсы иб, то не стесняйтесь их кидать в комменты и возможно мы наберем материала на второе видео.
@verygoodnice7122 2 жыл бұрын
@@sSpacedOut было бы интересно послушать про уязвимости за которые вк заплатил 30 тысяч долларов 😁 хотя бы одну
@aidarlatypov7747 2 жыл бұрын
@@sSpacedOut Да уж по аватару догадались что это Вы))
@ArtemIstomin-s4q Жыл бұрын
Умеют же люди за несколько минут успеть надругаться над Русским и Английским языками. Не первый раз встречаю спикеров со специфическим словарным запасом и опытом работы в VK
@Аудиокниги-г8д 2 жыл бұрын
файлик, байтик, хэшик - это что за детсад?
@aliaksandrmazhaika 2 жыл бұрын
я начал волноваться, когда функция rand.Read(salt) "испортила" нашу заготовку для соли
@АлексейКиреев-н7н 2 жыл бұрын
Разве есть sql базы, которые позволяют использовать строки без кавычек? Вот такое же не будет работать: SELECT * FROM XXX WHERE YYY=привет
Эйч Навыки — менторская программа
Рет қаралды 16 М.
Николай Тузов — Golang
Рет қаралды 30 М.
Фани Хани
Рет қаралды 1,1 МЛН
Истовый Инженер
Рет қаралды 24 М.
HighLoad Channel
Рет қаралды 27 М.
Николай Тузов — Golang
Рет қаралды 83 М.