V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  lesismal  ›  全部回复第 44 页 / 共 60 页
回复总数  1195
1 ... 40  41  42  43  44  45  46  47  48  49 ... 60  
2021-11-18 19:26:27 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
我不是安全领域专业户,但是各位可以搜下 "HTTP PUT 攻击 渗透" 或者 "HTTP PUT ATTACK" 之类的,老外的、国内的都有很多相关的帖子或者演示

一些漏洞扫描软件自带功能也包括对 web 服务的 PUT 方法进行扫描

#116 楼的问题我也想统一再问一次那些说安全的各位:
"能给你开" 和 "本来就可以不用开",前者更好吗?

类似 "这只能说明你们运维菜,不足以说明 PUT 方法不安全" 这种观点,同样的问题:
"运维能搞" 和 "本来运维可以不用额外搞这个",前者更好吗?

参考我前面几楼说过的工程逻辑、跨工种跨部门甚至跨公司的观点
2021-11-18 18:54:55 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@leeg810312
所以我 #111 楼里说你都没理解我前面楼说的内容,你可能都没怎么仔细看吧
#116 你也不回答一下:再请教一次:"能给你开" 和 "本来就可以不用开",你觉得前者更好吗?
#90 楼也可以看下

你要辩的内容,我在前面好几个楼里都已经提过了,我不想再重复了,如果看不懂或者根本没看,就麻烦你不要再 at 我了。几位提到某些云厂的接口,我也有回复过,场景不一样,你但凡没兴趣看或者在这只说别人家有这么用而不是讨论用和不用到底哪个好就别辩了。
不提论据只说别人怎么搞或者你给别人怎么搞所以就是好的,这种辩论法,跟泼妇撕逼骂街没什么本质区别。事情和事情不一样,别断章取义、望文生义

另外,给 500 强做的项目有那么值得自豪吗你张口闭口的,感觉其他几位提到云厂也没像你这么自豪啊,某 500 强我十几年前呆过,有很多牛逼的地方,不完善的地方更多,有一些老同事还在里,说现在不像以前那么盲目 996 不盲目拉横幅搞敏捷了,而是更注重科学管理、效能提升以及员工身心健康各种了,所以现在应该是更好了。但是任何一家公司都不是十全十美的,每个公司也都有初级中级水平的人员,如果你还年轻,等你冷静的时候可以考虑下跳出多数人只顾眼下 curd 逻辑程序员的思维,让你自己站在更高的层面看待整个项目的技术与管理与跨部门协作各方面问题。甚至等你年纪再大点、处理过的大项目大业务再多些再回头来挖这个帖子的坟来 at 我都可以,但是这次,我建议你还是冷静冷静吧,回复的内容为喷而喷没什么论据,我认输
2021-11-18 17:20:28 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@cweijan
好的,小伙子加油,我看好你们!
而且,论坛嘛,哪来的强加的说法,都是讨论交流,我只是自己管的项目一刀切而已,没项目交集的各位自己喜欢就好。
2021-11-18 17:18:43 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@FightPig
我对号入座一下,至少我没这么说过,不安全也是有场景的。如果擅长断章取义、望文生义,请自便。
如果我对号入座得不对,请无视。
2021-11-18 17:16:40 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@leeg810312
请教:"能给你开" 和 "本来就可以不用开",你觉得前者更好吗?

能 curd 的人很多,能上升到工程思考的不多,能上升到工程哲学的更少,共勉吧。
2021-11-18 16:53:03 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@leeg810312 同样的,如果没理解我前面楼层的意思,就请不要 at 我了。反驳的点都没对到点上,有的还曲解别人的意思。
2021-11-18 16:48:41 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
后面再有只考虑自己 curd 这点事的同学想辩论就请不要 at 我了,我不想再回复这种了,先谢谢年轻人能对老古董给予体谅。
2021-11-18 16:46:34 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@cweijan
> 实际上现在 RestFul 非常流行
流行跟主流不是一码事,劣币驱逐良币的时候多着呢,流行也未必就代表好,如果连这个都理解不了,那你喜欢就好

> 你就是一个守旧的老古董罢了
老古董算是半个吧,但至少现在的时代还是老古董为主在占据着多数项目的技术话语权
2021-11-18 16:43:21 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@Bromine0x23
我经常送给我自己,你有送给过自己吗?另外,你哪里看到我说要改标准了?可理解了我前面楼层的回复意思?没理解的话麻烦就别随便 at 我了
2021-11-18 16:29:46 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@eason1874
照你们这些以某些厂的场景和做法就代表全天下场景都应如此的聊法,确实别聊了。建议你们努力合并全天下技术厂、直接一统江湖得了。
2021-11-18 16:17:17 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@cxe2v
是啊,解释这么多,真心累,好多写 curd 的人舒适区里呆久了,就不乐意把自己提到高一点的层面看问题,但凡高看一点,就不至于停留在 "程序员 /码农" 的水准,至少能搞个 "架构师级程序员 /码农" 的水平。
太多从业者都只考虑眼前这点,真的是不配叫工程师了。
2021-11-18 16:12:17 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@leeg810312
你如果有兴趣辩,可以把我回复的多楼层都看一下,先明确下 带上传 /删除文件的服务和 api 的区别、通用场景包括比如安全部门的需要与你说的云厂 api 的区别,你的云厂 api 自己处理好了那是你云厂自己的事情,所以云厂 api 就代表通用全场景了吗(比如这个帖子说的安全部门的需求)?

其他的,工程逻辑、多工种与部门协作,如果你只站在 curd 这种层次考虑问题,我前面楼层已经包含了的一些基本点你们都不看,那烦请不要跟我继续辩了
2021-11-18 15:04:20 +08:00
回复了 lesismal 创建的主题 Go 编程语言 最近犯闲,想再写点啥项目,有推荐的吗?
@lance6716 go-mysql 这个库我自己项目也有用到过一些,我主要精力不是数据库方向,暂时不知道我能对这个做些啥。
看了下 issue 列表,如果是 mysql 功能性的,这感觉有点需要补课
2021-11-18 14:57:33 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@eason1874 未读提醒里没有你的回复,所以才看到

> PUT 方法和 Nginx + PUT 组合在云厂商的服务里多得是,配置类 API 大量使用 PUT ,对象存储上传文件也用 PUT ,CDN 既用 Nginx 也用 PUT 。自认能“快捷简单地入侵”的快去 SRC 提交漏洞,有这本事拿个几万美金奖励轻轻松松

专用场景用来对比安全部门的通用场景合适吗? PUT/DELETE 跟 POST 存在上传、删除资源的区别,代理也有不同的 api 、文件服务,能都统一处理吗?而且,我之前楼提到过了,就算按路由配置放行策略,开发、运维、安全部门耦合,这样好吗?并且 POST 替代 PUT 成本很高吗

你举例子的,比如特定厂商的特定的服务或者业务,比如上传配置,接口做好了处理,比如对象存储基本是内部服务代码内网调用的不对外开放的所以也不怕,但是跟通用场景两码事,我好几个楼解释了很多,不只是 nginx 是否可配置、怎么配置,不只是接口代码可不可以处理,还有工程、跨工种协作上的,还有 HTTP 协议本身的

如果都考虑自己眼下这点代码逻辑,那倒是万事大吉。

@TossPig
"那 http1.1 设计就太冗余了" ——事实就是这样子的,不只是 http1.1, tcp 、http2.0 都有缺陷,互联网创世年代摸石头过河,都可以理解,但不好或者不够好就是不好或者不够好。
2021-11-18 13:42:54 +08:00
回复了 lesismal 创建的主题 Go 编程语言 最近犯闲,想再写点啥项目,有推荐的吗?
@kksco 这个领域我不熟悉 :joy:
2021-11-18 13:42:22 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@FakNoCNName
> 这个用法也能用,不过看起来就像说: http 、mqtt 、mysql 、redis 这么多种协议让人头疼,结构复杂、数据容易、还带来了设计的复杂度,我们就全部用的 TCP 流,内部定义一些字段区分不同含义。

层主可以多了解一些类型的项目,这世界上不是只有 http/mqtt 之类的这几种协议,有太多自定义协议了,只是因为自定义协议多是自家项目、不会形成广大社区、行业的这种 RFC 级别的协议规范,mysql/redis 其实就应该归类于非广泛社区的协议,同样地,它俩也不需要 RFC

> 复杂的工具( RESTRull )是为了解决复杂问题,一代代人总结整理出来的经验,你不能说自己目前这么干够用就认死了只这么干( post+body )。
> 我们就尽量按照 RESTFull 设计接口,用起来没觉得复杂,查接口、查日志也方便,开发功能、定位问题等等分类也比较合理,如果现在让我们全都用 post ,接口多起来以后简直要吐血。
> 如果把 post+body 比作 txt 文档,RESTFull 就跟带标签的 PDF 或者带目录的 word 一样,一两页资料看不出差别,几十上百页呢?

确实需要复杂的基础设施的地方,我也会用,我并不是反对复杂的东西。
我是反对本来可以简单解决的、却把问题搞复杂了。
比如你说的查日志,并非必须 Method 才能搞定,路由分段一样可以解决,比如 /aaa/bbb/...

我上面一楼也有补充的,协议交互主要就两点,而 路由 /命令 这里,我也没限制只能一个层次比如只能 /aaa 不能 /aaa/bbb ,这至少比 HTTP method/路由 /headerbody 各种参数要少了一元设计成本

另外,你的这种观念形成过程可能是反的:是因为从学习到使用都是按社区或者自家项目这样经历下来的,因为用并且用习惯了并且有人说它好、所以自己也觉得它好,可能没有尝试过自己从底向上设计这些基础设施的思考。就像我上一楼补充里说的,别人给你个轮子,能用,就觉得好,所以你对它的好的判断欠缺真正参照物来对比。

可以尝试下了解多一些类型的项目,或者自己自底向上设计基础设施,然后你就会面对这些设计上的关于美的丑的性能优的劣的各种细节考量,然后才能得出更全面的结论。

> 另外说的安全问题,这些早就没了,要说不安全也是使用的人没做好处理,跟什么方法没关系。

这个我前面楼层说过,安全问题不只是代码逻辑,安全还有很多工程逻辑在里面。很多场景都可能因为人没使用好导致安全问题,但是 PUT/DELETE 的问题相对明显,并且这两个方法并非不可替代、禁用它俩用其他简单方案替代成本也不高
2021-11-18 13:12:55 +08:00
回复了 lesismal 创建的主题 Go 编程语言 最近犯闲,想再写点啥项目,有推荐的吗?
@graetdk 没看懂是要搞啥,笔记、点子之类的记录本?还是把你的一些点子开发成产品?

我也攒了不少点子,但都是商业相关的,我更爱技术一点,所以一直懒得动手 :dog:
2021-11-18 13:08:24 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
本来交互协议主要两点:
一是路由,RPC 里叫方法,有的游戏为了节省流量和性能会用数值类型、叫命令号之类的,各个领域自定义协议的项目叫法都类似
二是参数。

之前楼写完上面的落了几句,补充上:
本来简单化一和二就搞定的事情,HTTP 协议非要搞成 Method + 路由 + 参数 三个层次,而且参数还可能有 header 里的 kv form ,还可能有 trailer 的 header 、body ,body 还可能 content-length 或者 trunked ,考虑到社区、历史、兼容因素,可以理解这样的做法。但是你说实际上这协议好不好,我是真没法说好。

饿殍遍野难民潮的时候,富人家施舍点粥米穷人都觉得香。
自己技术积累不够的阶段,社区、别人随便给个能用的轮子就觉得好用、牛逼。

美好的事物不能普遍占据主流——这才是主流的现实情况,劣币驱逐良币的历史故事和当下正在发生、未来也会不断发生的事情都多了去了,都是什么天时地利人和、顺应时代、场景者得天下罢了。

但美,仍然是美。
2021-11-18 12:46:07 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@debuggerx
> 达克效应:越无知的人越自信。

提出这句的时候也可以先送给自己,思考下自己是否听懂了别人在说什么。。。

> 总是有“高人”恨不得重新发明整个互联网。。。

第一,我没说过要重新发明,不是非要重复造轮子而是减少使用上的坑,少即是多
第二,我上一楼聊了点 http2.0 3.0 的,历史、社区兼容性占了很大因素,否则可能早就被优化了。考虑兼容,所以没法只能慢慢先从标准上推进、逐渐更迭,就像老龄社会一样只能等老旧项目自然死亡。
优化不意味着重新发明,而是软着陆,否则,如果不需要优化,你以为谷歌闲的蛋疼搞 quic 、社区闲的蛋疼接纳 quic 并且成为实际的 3.0 ?

拜托楼上某些位大神夸人或者讽刺之前先多了解下技术本身的点,比如 tcp http 协议的实现、历史时期的局限、有那些缺点、以后的优化方向,而不是只看眼下大家都这么用就跟着一块用,人云亦云不知所云也就算了,至少拿出点你们的观点、论据好吧,有论据 vs 无论据口嗨,我嫌累了
2021-11-18 12:37:05 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
另外再跟你们说吧,我自己的 api 类项目里,连 GET 都不用的,统一 POST+结构化 body(json/pb/msgpack/...)

本来交互协议主要两点:
一是路由,RPC 里叫方法,有的游戏为了节省流量和性能会用数值类型、叫命令号之类的,各个领域自定义协议的项目叫法都类似
二是参数。

HTTP 协议本身算是互联网早期产品,设计者当年也都是摸着石头过河,但因为整个互联网不是自家项目,一旦协议定下来,要考虑全网兼容性,所以即使是缺点也不好及时匡正。包括不限于本帖里说的 METHOD 安全性,还有比如 keepalive 之前的短连接、请求不带 id 无法向多数 rpc 那样可以乱序响应所以即使支持 keepalive 和 server side pipeline 了仍然有线头阻塞的问题,甚至再往4层说,tcp 也渣,4层本身也存在线头阻塞的问题,所以各位可以看到,为啥 http2.0 还没普及,quic/http3.0 都出来了并且更被认可,而 quic/http3.0 是 udp 的,可以解决更多问题。
1 ... 40  41  42  43  44  45  46  47  48  49 ... 60  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1056 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 19ms · UTC 22:35 · PVG 06:35 · LAX 14:35 · JFK 17:35
Developed with CodeLauncher
♥ Do have faith in what you're doing.