Здравствуйте, vsb, Вы писали:

vsb> Недавно выяснил забавный факт — многие популярные фронтенд фреймворки по умолчанию в production build суют source maps. Что это значит? Заходим на первый попавшийся стартап с HN: https://www.magniv.app/. Смотрим, что грузится — https://www.magniv.app/static/js/3.266ff6b9.chunk.js — то бишь заморочились, минифицировали.
Минификация никакого отношения к теме "информационная безопасность" не имеет. Это способ превратить 100500 файлов кода, стилей, мелких картинок в один файл, который выкачается и закешируется.

vsb> Добавляем .map : https://www.magniv.app/static/js/3.266ff6b9.chunk.js.map — на месте. Теперь идём в developer console / sources и прекрасно видим весь исходный код в исходном виде, с комментариями, структурой и прочим. Уверен на 110% — они не рассчитывали на такой опен сорс.
Не так уж много там интересного по сути. Весь этот код всё равно в каком-то виде публично доступен (ну ладно, за вычетом комментов).

vsb> Помнится, одно время .git в корне сайтов находили. Это, конечно, не бэкэнд, но в целом тоже может быть любопытно поглядеть.
Это другое. В .git/.svn/etc находили, например, логины-пароли коннекта к субд, код бэкенда (сразу легче искать дыры) и т.п.