Jarmil píše: ↑22 kvě 2020, 07:47
Jekyll weby jsou statické stránky, které můžou napáchat škody "jen" na klientovi (a i tam je třeba hlídat zakázané věci, jako google anal). Zatímco PHP či Python je kód běžící na serveru, kde je to o řád zajímavější. A protože z principu by úpravy dělali náhodně relativně neobeznámení lidé, musí to po nich někdo 2x kontrolovat.
Jeden příklad z mnoha: vývojář-nováček nepoužije pinpointing a inkluduje "nejnovější" verzi nějaké nevinné knihovny, třeba na kreslení grafíků. Ta bude časem ve veřejném úložišti kompromitována škodlivým kódem (tyhle incidenty se stávají pravidelně), který se při dalším přebuildění pískoviště (klidně rok poté co původní autor opomněl tuhle drobnost), dostane na pirátský server.
Netuším, co je to pinpointing a ani Wikipedie to nezná.
Na statickém jekylu napácháš škody tím, že tam vložíš obrázek Hitlera a někdo to schválí.
Také si nejsem jistý, že statický jekyl nepropustí javascript. Opět to musí někdo schválit a zodpovědnost je na něm, ne na junior programátorovi, který tím JS udělal připitomělý vizuální efekt.
Také i zkušený programátor může použít JQuery, Ajax, který bude později zaplevelen škodlivým kódem.
Já tedy vidím větší nebezpečí v používání nejrůznějších frameworků a externích knihoven, kde musím věřit dokumentaci, ale vlastní kód je na kontrolu příliš rozsáhlý, než v JS napsané kalkulačce na 8 řádek. Tu
jednou někdo prověří a dokud nedojde ke změně kódu, nemůže to být bezpečnostní riziko. Kdežto framework, který opakovaně při každé úpravě generuje nový kód, může pokaždé generovat jiný. A také to dělá, protože i ve frameworku se opravují nalezené chyby, nebo tam přidávají nové.
Ale chápu, že mi některý automechanik bude tvrdit "Ty sis vyměnil šroub u brzd? Ty ses asi zbláznil, jsou to brzdy, můžeš se zabít." a neslyší na námitku "je to jeden obyčejný šroub, koupil jsem ho v prodejně náhradních dílů a na výměnu mi stačila desítka klíč." si začne zoufalstvím rvát vlasy.
Mě z principu přijde důvěryhodnější něco, co běží na našem železe, které máme někde zamčené a nedojde li k jeho hacknutí, je to důvěryhodné, než nějaký tool někde, kde ho má pod kontrolou bůhvíkdo a dělá s ním bůhvíco. Asi mi nevadí použít cizí whois tool, protože těch je mnoho a mohu si zkontrolovat, že více různých mi na stejný dotaz vrací stejnou odpověď a že tedy některý z nich "nelže". Ale třeba zrovna ta moje kalkulačka, když ji před nějakým důležitým jednáním pozměním, aby ukazovala nesprávný výsledek, někdo začne podnikat kroky, já to potichu vrátím a následně z něj udělám pitomce
tak mě to nikdo nedokáže, ale TO je z obliga, přece to běží někde na hostingu. A to by právě tak nemělo být. Co používáme, to by mělo běžet u nás a myslím, že není nutné, aby úplné prkotiny, zcela bezúdržbové, byly odmítány z tebou zmiňovaných důvodů. Zbytečně sami sebe brzdíme.