А зачем делать костыль, в виде ограничения рейтлимитов, если при установки приложения сразу запрашивается телефон. значит уже есть авторизация. спрятать API под OAuth2 и поставить райт, это лучшее решение.
1. если мы получаем рейт для акаунта можно поставить капчу…
2. можно отслеживать акаунты который подозрительно себя ведут, и пытаются навредить системе.
я откровенно не понимаю, зачем делать костыль, если это никак не упрощает посадку нового пользователя в приложения. я бы понял, если бы вы сразу показывали карту с таксистами, а потом просили регистрацию. тогда это было-бы оправданно.
я понимаю 1 или 2 пользователя, но целая база логин/пароль. это не оплошность и не случайность, это направлена атака, или кража данных из БД, ну или неквалифицированный отдел разработки/qa/отдел безопасности.
И должны быть приняты какие-то меры, а получается OZON просто не хочет что-бы его пользователи были в безопасности.
Это все понятно. 100% зашиты нет. Но мы можем максимально усложнить доступ к данным. Свести доступы к ключам и данным, минимуму количеству людей, тогда найти виноватого и причину проще. Чем если у всего отдела разработки, QA, аналитиков… есть доступ к перс.данным пользователя, и оправдывается, да тут любой мог слить БД.
вообще. ключи пользователя лежать отдельно, а перс.данные лежат отдельно и шифруются (ну вообще должны шифроваться). тогда слива не будет… или по крайней мере, будет меньше инцидентов. стремно, что крупная компания OZON плюет на безопасность перс.данных пользователя.
Нет. ЯП (язык программирования) это инструмент, а инструмент нужно использовать по назначению. Если ваш продукт большой то вам не избежать большого зоопарка ЯП. Посмотрите на крупные компании Google, Яндекс… у них ставка сделана на архитектуру а не на ЯП.
тайный сундучок, потому что ты его не знаешь?
автор, походу, специально использует camelcase..., чтобы показать протест к pep8 )
1. если мы получаем рейт для акаунта можно поставить капчу…
2. можно отслеживать акаунты который подозрительно себя ведут, и пытаются навредить системе.
я откровенно не понимаю, зачем делать костыль, если это никак не упрощает посадку нового пользователя в приложения. я бы понял, если бы вы сразу показывали карту с таксистами, а потом просили регистрацию. тогда это было-бы оправданно.
И должны быть приняты какие-то меры, а получается OZON просто не хочет что-бы его пользователи были в безопасности.
На сколько я помню, может я ошибаюсь, без привилегий в docker память не прочитать. Я ошибаюсь?
Я в ветки ниже, что-то подобное обсуждаю, не буду дублировать.
И наказать 2х людей проще чем всех разработчиков:)
Так, откуда у тебя доступ к проду:) в современной жизни есть доступ к проду, в больших компаниях у 1-2 людей и у автодеплойки.
Это все понятно. 100% зашиты нет. Но мы можем максимально усложнить доступ к данным. Свести доступы к ключам и данным, минимуму количеству людей, тогда найти виноватого и причину проще. Чем если у всего отдела разработки, QA, аналитиков… есть доступ к перс.данным пользователя, и оправдывается, да тут любой мог слить БД.
знание синьер и будеьт не сказка.
Что хотелось бы:
— подхват fixture из `conftest.py`
— подхват встроенных fixture
— встроенные переменные типа `pytest_plugins, pytestmark`