Безопасность в Golang | Навыки

Побольше таких видео! Сделайте серию видео о безопасности, и как можно подробнее. Большое спасибо!

danilkandakov

Приятная подача материала, хорошо спланированная лекция. Все показанное, кроме трюка с zip, знаю, понимаю, использую или опасаюсь. Спасибо за хорошее видео, получил удовольствие от просмотра.

За троллинг с логином и паролем отдельный респект!

Тем не менее, Вы показали плохой пример начинающим. Антон, во всех своих примерах Вы использовали DefaultServeMux от net/http в неявном виде при назначении маршрутов, а затем при вызове ListenAndServe передавали nil вместо ServeMux, что приводит к использованию DefaultServeMux в явном виде. Это дыра в безопасности сервера, так как позволяет любой подключаемой зависимости менять маршруты и хэндлеры в вашей системе роутинга.
Для защиты от такого вмешательства нужно: переменную с ServeMux создавать явно, передавать её в листенер вместо nil и переменная должна быть приватной, даже если она является частью какой-то структуры.
Я так понимаю, это и есть ошибка на 30к таллеров. Где я могу получить денюшку?

kwynto

Дякую, все дуже зрозуміло, чітко і ясно.

demianpikaliuk

Отличное видео. Антону огромное спасибо за качественный и полезный контент!

yeu

Блин, крутой видос. Что-то помнил, что-то слышал, что-то не знал, но очень интересно)

dmitryzhuk

Спасибо за видео. Коммент в поддержку!

sovrinfo

да, я хочу продолжения, и да я не знаю о чем спрашивать, наверное если бы знал, то не просил продолжения

aliaksandrmazhaika

Огромная благодарность, все понятно, интересно!

calypsegayndamrad

Вроде все знакомо, но в целом собрать все в кучу иногда полезно, даже в базовых вещах. Будет круто второй видос сделать с чем то более интересным. Понятно что на стороне приложения не от всего можно защититься, но вы так же затронули и защиту со стороны инфраструктуры все равно это было бы очень интересно. Атаки dns, различные варианты атаки амплификацией, затопления, подмена рутового сертификата, и тд и тп. В любом случае спасибо! PS Все же у Чичваркина серьга круче! Всем добра!

aidarlatypov

Братан, хорош, давай, давай, вперёд! Контент в кайф, можно ещё? Вообще красавчик!

yodude

58:45 совет не доверять либам c бэкдорами хороший, но хотелось бы конкретных примеров. в каких популярных библиотеках находили что-то, хоть отдаленно похожее?

IvanFedulov

1:04:02 стоило все-таки упомянуть что в классическом понимании zip bomb это не просто сжатый слайс нулей, а архив, который при распаковке приводит к экспоненциальному росту размера результата. ну и в целом видео не завязано ни коем образом именно на go специфику (кликбейт), просто обзор базовых уязвимостей уровня junior+ на 1.5 часа.

IvanFedulov

Это все хорошо, только вот непонятно причем тут Go?

vikbov

Спасибо за видос! Троллинг с логином и паролем на стикере 😂
Какие плагины используете для VSCode? И почему не Goland?

rumartru

29:35 "мы отравляем его в, допустим, Let's Encrypt и спрашиваем, а действительно ли этот public key соответствует вот этому домену" - вообще-то нет. мы никуда его не отправляем. Мы используем локальные копии CA сертификатов чтобы проверить действительно ли сертификат сервера подписан, скажем, Let's Encrypt-ом и что мы можем доверять его, сертификата сервера, метадате - домену, датам валидности и т.п.

GamidIsayev

спасибо, интересно, полезно.
на ноуте стикер приклеен с логин/паролем, они настоящие? ))

alexey.justdoit

а есть какие-то статические анализаторы мощные, которые бы эти уязвимости детектили ещё на этапе линтера? gosec наругался только на необработанные ошибки, остальное просвистело мимо

sdz

Супер видео, а есть ссылочка на репу?

vladimireliseev

53:45 нашедшему 30к а автора коммита линчуют?)

IvanFedulov

А если man in the middle по дороге к CA и он присылает ответ, что да, серт соответствует ?😂

SvirMusic