PTT職涯區 / Soft_Job (軟體人)

Re: [心得] 如何駭入 Apple, MS 等大公司? (轉)

看板Soft_Job (軟體人)作者 (十三夜)時間3年前 (2021/04/07 15:47), 編輯推噓3(308)
留言11則, 8人參與, 3年前最新討論串2/2 (看更多)
簡單說只要使用外部的套件 都需要注意 以我自己經驗來說 早期剛開始 FB 出來的時候 YAHOO 也是直接用他們的 JS 登入 後來開始注重安全升級以後 就會強調不可直接引用 必須複製確認 不行的話寧可不用 或是要做特別審核給資安部門 然後遇過比較小心的公司 所有的套件不只不能在線上安裝 都必須RD交由其他單位審核 他們會裝在一個環境做監測 確定一段時間都沒問題 才由獨立部門把套件上傳 才可以發佈到正式環境 現在開源很方便 很多工程師都直接使用套件 有的人只注意到使用的版本號做固定, 但是沒有往下追 可能還有套件安裝的其他套件當基底也會出問題 都是要注意的地方 如果真的要萬無一失 就是這些套件都要 FORK 一份自己公司專用 現在有很多方式可以實現 甚至內建功能都有幫忙注意到 最早 YAHOO 很多套件都像是把別人拿進來 然後改一改加上一個 Y 開頭 保證安全... 然後還要過法務部門審核是否可用 之前發生過很多次有人把 CHROME PLUGIN 買下來後 放了惡意的 CODE 進去 只要用外部的都有風險 所以有些廠商還是會自己開發很難用的功能就是... 我曾經接過一個案子 裡面引用了我自己開發的外部JS 老闆要是不付錢 我就把 JS 關掉, 網站就掛掉... 黑心一點的大概就直接把資料偷走了... 所以資安最大的問題還是人... 當然如果沒什麼機密資料的話 就不用擔心太多了 一般跟錢有關的案子才需要多注意 -- 最喜歡的一句話是? 世界和平 最尊敬的人是? 德蕾莎修女 請說一句話。 大家都要幸福喔~ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.125.96.199 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1617781662.A.1F8.html
04/07 16:09, 3年前 , 1F
04/07 16:09, 1F
04/07 16:09, 3年前 , 2F
最有名的就這個吧
04/07 16:09, 2F
04/07 18:30, 3年前 , 3F
上面那個我也還有印象 XD
04/07 18:30, 3F
04/07 19:11, 3年前 , 4F
JS已經裝在客戶的主機,你要怎麼關?
04/07 19:11, 4F
04/07 20:52, 3年前 , 5F
ping不到某處就不執行功能
04/07 20:52, 5F
04/08 14:42, 3年前 , 6F
client每次連網站都會載js 其中一包在他自己網站上
04/08 14:42, 6F
04/08 14:43, 3年前 , 7F
這在前端很常見吧 只是通常不會用自己的網站就是了
04/08 14:43, 7F
04/08 23:50, 3年前 , 8F
推樓上
04/08 23:50, 8F
04/09 08:09, 3年前 , 9F
看完一樓分享的文left pad之亂 有感
04/09 08:09, 9F
04/09 18:40, 3年前 , 10F
客戶是需要被教育的
04/09 18:40, 10F
04/09 18:40, 3年前 , 11F
或者是老闆或者是主管
04/09 18:40, 11F
更多 lance70176 的文章
文章代碼(AID): #1WRMEU7u (Soft_Job)
Soft_Job 近期熱門文章
更多 近期熱門文章 >>
PTT職涯區 即時熱門文章
更多 即時熱門文章 >>
更多 lance70176 的文章
文章代碼(AID): #1WRMEU7u (Soft_Job)