Dlaczego nie ma działu związanego z security?

0

taki żarcik ;)

Dlaczego właściwie nie ma działu związanego z Security?

Jest to zagadnienie uniwersalne dla każdego języka, środowiska programistycznego

Jest to jeden z najważniejszych elementów wytwarzania jakiegokolwiek oprogramowania

A dodatkowo jest tu wielu znanych i poważanych w świecie Security Researcherów typu GC lub ten cały teamek który ukradł skrót forum i go odwrócił :D

0
WeiXiao napisał(a):

Dlaczego właściwie nie ma działu związanego z Security?

Jest to zagadnienie uniwersalne dla każdego języka, środowiska programistycznego

Bo taki dział nie ma sensu? ;)

0

Nie ma sensu, bo?

0

Dlaczego?

0

Nie podobają mi się te słowa:

WeiXiao napisał(a):

Jest to zagadnienie uniwersalne dla każdego języka, środowiska programistycznego

Uargumentuj je jakoś. :P

0

@furious programming:

Jest to coś, co jest niezależne od języka czy środowiska (jvm/.net/apache itd), ale nadal w nim występuje.

W aplikacjach javowych, phpowych, .netowych, nodowych, itd. - w każdej z nich trzeba jakoś dbać o Security (dobre praktyki, owasp itd), a koncepty są te same, czyż nie?

Oczywiście można powiązać dane zagadnienia z Sec z konkretną technologią, bo różne są istniejące implementacje, ale nadal jest to tematyka Security.

1

@WeiXiao: prosiłem o argumenty, nie o papugowanie własnych słów. :D

O ile zabezpieczać można różne rzeczy (serwisy internetowe, bazy danych, aplikacje mobilne czy desktopowe), o tyle każda gałąź to co innego i używa się do tego zupełnie różnych technik czy oprogramowania. A do tego mi bardziej pasują kategorie techniczne, dotyczące konkretnych gałęzi oprogramowania i technologii. Dlatego nie widzę sensu w utworzeniu takiego działu.

Tym bardziej, że raczej słabo z liczbą pojawiających się wątków z tym tematem związanych (ew. proszę o poprawienie mnie, bo mogę o czymś nie wiedzieć), a już i tak lista kategorii jest dość spora i dokładanie kolejnych ”bo brakuje” według mnie nie jest rozsądne.

Kategoria DevOps nie wypaliła – podejrzewam, że w tym przypadku będzie podobnie.

1

@furious programming:

Wiesz, ogromna istotność security w procesie wytwarzania oprogramowania to chyba truizm i nie ma sensu tu czegokolwiek udowadniać :D

O ile zabezpieczać można różne rzeczy (serwisy internetowe, bazy danych, aplikacje mobilne czy desktopowe), o tyle każda gałąź to co innego i używa się do tego zupełnie różnych technik czy oprogramowania. Dlatego nie widzę sensu w utworzeniu takiego działu.

Czy aż tak różnych?

Założę się, że większość aplikacji webowych swój sposób uwierzytelniania opiera o ciastka/jwt lub inne 3rd party (Auth0 itd), które są standaryzowane.

Wszystkie* aplikacje webowe operują na HTTP, a to samo w sobie jest obszernym tematem do rozważań jeżeli chodzi o kwestie bezpieczeństwa

Tym bardziej, że raczej słabo z liczbą pojawiających się wątków z tym tematem związanych (ew. proszę o poprawienie mnie, bo mogę o czymś nie wiedzieć), a już i tak lista kategorii jest dość spora i dokładanie kolejnych ”bo brakuje” według mnie nie jest rozsądne.

A jak mają się pojawiać takie wątki, jeżeli nie ma dla nich działu?

To tak jakbyś się dziwił, że ludzie kompletujący sprzęt do serwerowni nie chodzą do biedronki pytać czy są już nowe płyty n-procesorowe.

Dlaczego nie możemy mieć własnego https://security.stackexchange.com/ ?

0
WeiXiao napisał(a):

Wiesz, ogromna istotność security w procesie wytwarzania oprogramowania to chyba truizm i nie ma sensu tu czegokolwiek udowadniać :D

Ale ja przecież nie twierdzę, że całą gałąź security jest nieistotna – nie rozumiem dlaczego mi to imputujesz. Chodzi mi głównie o to, że pomiędzy poszczególnymi technologiami jest dużo różnic i też o to, że za mało wątków się pojawia, aby wydzielenie specjalnej kategorii miało sens.

A jak mają się pojawiać takie wątki, jeżeli nie ma dla nich działu?

Bez przesady – jak ktoś potrzebuje pomocy i chce założyć wątek to go założy, bez względu na to czy znajdzie odpowiednią kategorię czy pójdzie na wyczucie. Co najwyżej moderator przerzuci wątek gdzieś indziej, ale na pewno nie do kosza.

To pytanie zadałeś w taki sposób jakbyś uważał, że użytkownicy, którzy nie znajdą odpowiedniej kategorii, mieli sobie odejść, a wątki tych którzy mimo wszystko założyli wątki w innych kategoriach (niekoniecznie pasujących) były usuwane z forum.

6

Znacznie więcej postów byłoby pewnie w dziale Przegryw niż w dziale Bezpieczeństwo.

1

@furious programming:

Bez przesady – jak ktoś potrzebuje pomocy i chce założyć wątek to go założy bez względu na to

Wydaje się to być dużym uproszczeniem.

Dam Ci przykład:

Na SO wprowadzili templatkę przy tworzeniu pytania

Last month we ran an experiment to test using a template to help new question askers ask better questions.

The A/B test ran for a little over two weeks. Anyone with a rep below 111 was a candidate for seeing the template. 50% of the total pool was exposed to the template if they asked a question.

Roughly 95,000 "ask a question" click events were registered for each pool of users. Now a lot of people go to "ask a question" and don't actually do so. Generally, only about 46% of users who visit "ask a question" go on to post. For our new user pool the average was closer to 32%, which isn't too surprising. We all know that asking a question on Stack Overflow comes with a bit of fear and loathing (another topic for another day).

More interesting, there was a 3% reduction in questions asked by users who were exposed to the template. I think this is actually a really good thing. There's no way to know exactly why people who saw the template chose not to ask their question. However, my hypothesis is that people who saw the template had a better understanding of the level of investment that we expect from question askers and some of them were a bit intimidated by it. Several scenarios come to mind:

The other strong finding was that users exposed to the template asked ~3% fewer "bad" questions.

cWtB3.png

https://meta.stackoverflow.com/questions/363051/ask-a-question-template-v1-experiment-results

Pytanie na ile to wnioskowanie jest dobre, ale niby taka głupotka, a już zniechęciła ludzi

1

Skoro nie popierasz mojego zdania to nie będę z Tobą dyskutował – daj mi spokój.


A tak na poważnie – z chęcią bym się zapoznał z opiniami innych użytkowników i moderatorów. Sam mogę nie mieć wiedzy o pewnych rzeczach i żyć w błędzie. ;)

2

Porywanie się z motyką na słońce jak zwykle :]

@furious programming DevOps nie wypaliło, bo w tym kraju jest garstka ludzi robiących true DevOps. W tym połowa nie wie, że to robi, a druga połowa nie potrzebuje pisać postów. Jakieś zaawansowane aspekty Security to już w ogóle często rocket-science. Tu znowu garstka ludzi w całym kraju robiących coś na poważnie w tym temacie vs. cała reszta jak wejść do branży i zarabiać 15k za nic.
Polska to był, jest, i prawdopodobnie jeszcze długo będzie krajem outsourcingu lepszej jakości niż Indie do którego odsyła się projekty z UK/DE/USA, bo w cenie jednego pracownika tam tu mamy dwóch-czterech. Pomijam skrajne przypadki własnych projektów powstałych tu na miejscu.
Przeciętny CRUD Warrior lvl 5 ma pojęcie o tym, że istnieje takie coś jak security, i na tym kończy się jego wiedza. Także można się rozejść ;-)

0

popieram opinię @furious programming - na razie nie ma zbyt wielu wątków dotyczących tego tematu, więc zakładanie nowej kategorii, która będzie przypominać raczej hospicjum, mija się z celem (patrz - https://4programmers.net/Forum/Devops - jakieś 25 wątków, z czego część przeniesiona z innych kategorii, patrząc na daty ostatnich postów, mamy 2-3 miesięcznie). Jakby temat był seksowny, to ludzie i tak by zakładali w innych kategoriach wątki i by było widać, że coś się dzieje - wtedy można myśleć o nowej kategorii. Ale kolejność powinna być taka, że najpierw ruch w danym temacie i dopiero potem kategoria,a nie zakładanie wpierw kategorii, a potem liczenie, że ktoś coś tam napisze.

Zgadzam się z tym, co pisał @WeiXiao - praktycznie w każdej technologii/języku kwestia zabezpieczeń jest istotna.
**ALE... **
pamiętaj proszę, że inaczej podchodzi się do tematu w przypadku aplikacji desktopowej, inaczej czegoś webowego, jeszcze inaczej musisz spojrzeć na sprawę w przypadku bazy SQL czy urządzeń embedded. Inaczej się traktuje zabezpieczenia jakiejś głupiej gierki używanej przez setki tysięcy osób na całym świecie od zabezpieczenia systemu księgowego z bardzo ważnymi danymi, do którego dostęp ma jedynie kilka osób z zarządu firmy.

TL;DR - póki co nie ma sensu. Jak temat zacznie się pojawiać częściej i regularnie, to wtedy można do sprawy wrócić.

1

4programmers to 4programmers a nie 4securityResearchers. Programista ma napisać kod który działa i jest bezpieczny w użyciu. Od Security są już inne jednostki co nie?

6

IMHO wystarczy Inżynieria oprogramowania dla tematów wspólnych ponieważ takich tematów związanych z security jest mało.

1

Jak zawsze w kwestii nowych działów na forum: taka decyzja musi wypływać z konieczności filtrowania wątków a nie z widzi-misie. Jest dużo wątków o X, wydzielamy dział o X. Tworzenie działu "na zaś" jest bez sensu, bo będzie stał pusty.

1 użytkowników online, w tym zalogowanych: 0, gości: 1