Недавно выяснил забавный факт — многие популярные фронтенд фреймворки по умолчанию в production build суют source maps. Что это значит? Заходим на первый попавшийся стартап с HN: https://www.magniv.app/. Смотрим, что грузится — https://www.magniv.app/static/js/3.266ff6b9.chunk.js — то бишь заморочились, минифицировали. Добавляем .map : https://www.magniv.app/static/js/3.266ff6b9.chunk.js.map — на месте. Теперь идём в developer console / sources и прекрасно видим весь исходный код в исходном виде, с комментариями, структурой и прочим. Уверен на 110% — они не рассчитывали на такой опен сорс.
Помнится, одно время .git в корне сайтов находили. Это, конечно, не бэкэнд, но в целом тоже может быть любопытно поглядеть.
Здравствуйте, vsb, Вы писали:
vsb> Недавно выяснил забавный факт — многие популярные фронтенд фреймворки по умолчанию в production build суют source maps. Что это значит? Заходим на первый попавшийся стартап с HN: https://www.magniv.app/. Смотрим, что грузится — https://www.magniv.app/static/js/3.266ff6b9.chunk.js — то бишь заморочились, минифицировали.
Минификация никакого отношения к теме "информационная безопасность" не имеет. Это способ превратить 100500 файлов кода, стилей, мелких картинок в один файл, который выкачается и закешируется.
vsb> Добавляем .map : https://www.magniv.app/static/js/3.266ff6b9.chunk.js.map — на месте. Теперь идём в developer console / sources и прекрасно видим весь исходный код в исходном виде, с комментариями, структурой и прочим. Уверен на 110% — они не рассчитывали на такой опен сорс.
Не так уж много там интересного по сути. Весь этот код всё равно в каком-то виде публично доступен (ну ладно, за вычетом комментов).
vsb> Помнится, одно время .git в корне сайтов находили. Это, конечно, не бэкэнд, но в целом тоже может быть любопытно поглядеть.
Это другое. В .git/.svn/etc находили, например, логины-пароли коннекта к субд, код бэкенда (сразу легче искать дыры) и т.п.
Здравствуйте, vsb, Вы писали:
vsb>Недавно выяснил забавный факт — многие популярные фронтенд фреймворки по умолчанию в production build суют source maps.
ЕМНИП, Svelte тоже так делал пару лет назад. Можно было открыть DevTools и спокойно смотреть исходники.
Здравствуйте, vsb, Вы писали:
vsb>Недавно выяснил забавный факт — многие популярные фронтенд фреймворки по умолчанию в production build суют source maps.
Только не фронтенд фреймворки, а сборщики модулей (например, webpack).
Страшного ничего нет, т.к. js-код сайта открыт.
Здравствуйте, vsb, Вы писали:
vsb>Помнится, одно время .git в корне сайтов находили. Это, конечно, не бэкэнд, но в целом тоже может быть любопытно поглядеть.
У альфабанка одно время были sourcemaps — я скачал и распарсил на отдельные файлы, теперь у меня на диске где-то лежит их библиотека компонентов.
Здравствуйте, scf, Вы писали:
scf>У альфабанка одно время были sourcemaps — я скачал и распарсил на отдельные файлы, теперь у меня на диске где-то лежит их библиотека компонентов.
Здравствуйте, Буравчик, Вы писали:
Б>Только не фронтенд фреймворки, а сборщики модулей (например, webpack).
Нынче webpack-ом напрямую особо не пользуются. Пишут что-нибудь вроде vue-cli-service build. И настройки сборки во vue.config.js, а не в вебпаке. Поэтому таки — фронтенд фреймворки.
Б>Страшного ничего нет, т.к. js-код сайта открыт.
А ты пробовал сам лично разбираться в минифицированном реальном коде?
Я вот пробовал. Очень сложно. Примерно как в дизассемблере копаться.
Поэтому js-код сайта открыт примерно так же, как винда открыта, если есть IDA Pro.
Здравствуйте, vsb, Вы писали:
Б>>Страшного ничего нет, т.к. js-код сайта открыт. vsb>А ты пробовал сам лично разбираться в минифицированном реальном коде?
В "дофреймворочные времена" у тебя по сути было бы то же самое — все исходники видны как есть. Сейчас просто появилась возможность немного обфуцировать минификацией, но никакой безопасности она не даёт и не должна давать.
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, ·, Вы писали:
Б>>>Страшного ничего нет, т.к. js-код сайта открыт. vsb>>А ты пробовал сам лично разбираться в минифицированном реальном коде? ·>В "дофреймворочные времена" у тебя по сути было бы то же самое — все исходники видны как есть.
В дофреймворочные времена жаваскрипт ценности не представлял. А сейчас на разработку фронтэнда как минимум половина времени уходит, а порой и больше.
>Сейчас просто появилась возможность немного обфуцировать минификацией, но никакой безопасности она не даёт и не должна давать.
Какую-то даёт. Не, если тебе охота светить исходниками на весь интернет, я только за. Просто те люди, которым я сказал, что все их исходники видно, ужаснулись и поспешили их убрать, т.к. выкладывать их вовсе не планировали.
Здравствуйте, vsb, Вы писали:
vsb>·>В "дофреймворочные времена" у тебя по сути было бы то же самое — все исходники видны как есть. vsb>В дофреймворочные времена жаваскрипт ценности не представлял. А сейчас на разработку фронтэнда как минимум половина времени уходит, а порой и больше.
Да и сейчас не особо представляет.. Хотя любители пообфусцировать свою нетленку были всегда, и тулзы соответствующие уже были.
>>Сейчас просто появилась возможность немного обфуцировать минификацией, но никакой безопасности она не даёт и не должна давать. vsb>Какую-то даёт. Не, если тебе охота светить исходниками на весь интернет, я только за. Просто те люди, которым я сказал, что все их исходники видно, ужаснулись и поспешили их убрать, т.к. выкладывать их вовсе не планировали.
_Безопасность_ не даёт никакую. В лучшем случае, немного усложняет жизнь тому, кто что-то захочет стырить из исходников.
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, ·, Вы писали:
>>>Сейчас просто появилась возможность немного обфуцировать минификацией, но никакой безопасности она не даёт и не должна давать. vsb>>Какую-то даёт. Не, если тебе охота светить исходниками на весь интернет, я только за. Просто те люди, которым я сказал, что все их исходники видно, ужаснулись и поспешили их убрать, т.к. выкладывать их вовсе не планировали. ·>_Безопасность_ не даёт никакую. В лучшем случае, немного усложняет жизнь тому, кто что-то захочет стырить из исходников.
Скрытие исходников это тоже безопасность. Иначе у всех бы исходники лежали в открытом доступе. Это же удобно.
Здравствуйте, vsb, Вы писали:
vsb>·>_Безопасность_ не даёт никакую. В лучшем случае, немного усложняет жизнь тому, кто что-то захочет стырить из исходников. vsb>Скрытие исходников это тоже безопасность.
Не в вебе же. Ну вот ты в пример привёл сайт какой-то. Что там небезопасного и секретного утекло в этих source maps?
vsb>Иначе у всех бы исходники лежали в открытом доступе. Это же удобно.
Демагогия. Просто не все хотят заморачиваться выкладыванием исходников в открытый доступ, ибо накой.
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
