• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    KOJAProgramovani 40+
    P19
    P19 --- ---
    JARDABEREZA: No, pokud to neošetříš nijak zvlášť ve smlouvě, tak co napíšeš pod sro, tak je firmy a ta poskytuje licenci. Co napíšeš jako osvč, tak práva automaticky přechází na objendatele.
    Aspoň takhle jsem to někde četl a mám za to, zě to tak je. Kdyžtak mě někdo opravte, třeba kecám nesmysly.
    JARDABEREZA
    JARDABEREZA --- ---
    PROTEKTIK: Říkám tomu "Stockholmský syndrom". :-D Ale samozřejmě k tomu používám TypeScript. Trochu sázím na to, že pro náhodně kolemjdoucí programátory to bude natolik nepříjemný zážitek, že už ho nebudou chtít opakovat nebo ještě lépe se toho zbavit a dát to někomu jinému (mě) a budu mít pořád dostatek práce :-D To co tam teď mají se tváří jako webový prohlížeč, ale webový prohlížeč to není. Takže z CSS vlastností funguje cca jen 20-30% a k tomu ještě nefugnují všechny hodnoty/syntaxe. V8 engine je moderní a netknutý, ale z funkcí prohlížeče tam toho taky dost chybí... např. canvas element nemá metody pro získání a vložení pixelů :-D
    PROTEKTIK
    PROTEKTIK --- ---
    "Navíc se pluginy do Photoshopu píší v JavaScriptu"

    :O Tak tohle je zvláštní forma masochismu.
    JARDABEREZA
    JARDABEREZA --- ---
    Vy kdo děláte nebo jste dělali na živnost a vývoj na zakázku. Jak řešíte licence a zdrojový kód? Kdo je majitelem díla? Vy s tím, že zákazník má licenci anebo zákazník? Posíláte zákazníkům i zdrojový kód?

    Jde mi o to, že když dělám projekt vždy od základu, tak nemám problém poslat zdrojový kód. Ale v okamžiku, kdy bych si udělal nějaký knihovny nebo frameworky, tak se mi to nebude chtít posílat potenciální konkurenci, protože nevím kdo projekt převezme po mě. Navíc se pluginy do Photoshopu píší v JavaScriptu (z větší části) a tam se to špatně schovává :-D
    DJFRACTAL
    DJFRACTAL --- ---
    Pracujeme na autorizaci pro aplikaci v Blazor/.NET a už se to s námi táhne pěkných pár týdnů a valí se to před námi jako solidní blok. Je tady někdo, kdo má zkušenosti přímo s tímto? V podstatě si nevíme rady, všecko se tváří, že je jak má, ale asi se nám něco nepovedlo :) Kdyžtak pošta, díky!
    MICRO
    MICRO --- ---
    DELVIT: Díky, užil jsem si.

    A šéf nakonec vyměkl. ;)
    DELVIT
    DELVIT --- ---
    MICRO: užij si dovolenou, doufám, že budeš mít klidný a krásný výhled do zeleně :)
    VDFLAT
    VDFLAT --- ---
    Kolega prehledl chybu v PR a sype si popel ma hlavu:

    For such lapse of judgement, I should be promoted to customer.
    MICRO
    MICRO --- ---
    OT:
    Přes půl roku pracuji na věci, která do nemalé míry překopává celou codebase, a dnes mi šéf píše:
    ...
    So we could hopefully merge it next week when you are away.

    Už se těším až si vyložím nohy na stůl a vypnu telefon. :)
    JANFROG
    JANFROG --- ---
    FRAKIRA: Vidim, ze jsi vytrvala :-) Dej mi tyden, ozvu se Ti. Treba se dohodneme.
    FRAKIRA
    FRAKIRA --- ---
    (Ani tady neni nekdo, kdo by stal o pomoc neprijemne dukladne testerky se svym soukromym projektem? (ne hra ani nic podobneho, kde je mozne se ztratit))
    E2E4
    E2E4 --- ---
    SATAI: timeout reaching https://xn--nco-0ra/n%C4%9Bco?token=token_ktrej_te_tam_autorizuje

    login failed, invalid user Mojetajnyh3sl0

    ..
    SYNTAX_TERROR
    SYNTAX_TERROR --- ---
    TOOMIX: A co teprve když jsou ty logy u webu pod document_root a jediná "security" je, že jsou pojmenovány ve formátu errors-2012-06.log, což určitě stačí, protože přece nikdy nikoho nenapadne na takovou url přistupovat.
    SATAI
    SATAI --- ---
    TOOMIX: autorům utrhat křidýlka i nožičky
    TOOMIX
    TOOMIX --- ---
    A co teprve logování nepovedených pokusů o přihlášení: "Uživatel 'Franta' se neúspěšně pokusil přihlásit heslem 'hesloFrantq'", ze kterých se da při překlepu to heslo vydedukovat. K tomu je pak celý bcrypt, pbkdf2 atd. k hovnu :)
    JARDABEREZA
    JARDABEREZA --- ---
    MLEKAR_STEIN: Plaintext je jenom jedna část toho problému. Ta druhá část je, že na to ani nebyl potřeba select v databázi. Admin se prostě přihlásil do systému zákazníka a mohl vidět heslo i e-mail libovolného účtu jen tak prostě v UI. Což odhaduji v tu dobu klidně mohlo být 50 lidí s admin přístupem. No a jestli to měli stejně i zákazníci v roli pod-admina tak to jsou další stovky. Přičemž ty účty jsou i cizí a náhodní lidé. Nikoliv pouze zaměstnanci u koho vidíš hesla. A lidi prostě mají stejná hesla všude. A v tu dobu dvoufázové přihlášení moc nebylo rozšířené. Já jsem viděl heslo v plaintextu a to jsem o to ani nestál... jenom jsem si rozklik detail účtu.
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    DAVE_PAGE: nereknu, nepovim,
    pak hrani s klavesnicí
    nejlepsí bylo polokolo
    DAVE_PAGE
    DAVE_PAGE --- ---
    MLEKAR_STEIN: byvalej kolega daval do plonkovnich databazi na testovani hesla typu "nereknu" nebo "noprostenevim". Takze bylo vtipne, kdyz prisel novej kolega a zacal se ptat po hesle ;)
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    FARIN: mě nevadí hesla v plaintextu, to holt některý systémy maj.
    mě vadí, když mi někdo v tomhle úplně zbytečně lže.
    FARIN
    FARIN --- ---
    JARDABEREZA: Kdo neměl někdy hesla v plain textu ať hodí kamenem.

    Viděl jsme třeba migraci db s uživateli z nějakeho legacy systému který používal jiný hash algoritmus. A pro uživatelské pohodlí se zapnulo nejdřív na měsíc ukládání plain textu. Aby se většina uživatelů nemusela nutit ke změně hesla.
    Kliknutím sem můžete změnit nastavení reklam