Czy ja wiem... Kto o zdrowych zmysłach zaakceptowałby taką ofertę? Moim zdaniem pseudo-programiści sami są sobie winni, że chcą pracować za takie niewolnicze stawki.
Dlatego korzystanie z kontraktorni które dymają w dupsko swoich pracowników może odbić się klientowi czkawką. Polecam przeprowadzać normalne rekrutacje pracowników za normalną stawkę.
Wyzysk nigdy się nie kończy - bo jak nie wyzyskają nie wycyckają w Polsce to wyzyskają w Bangladeszczu :) - aby ustrzec się problemów trzeba A. czytać kod i changelog/zmiany czytać publicznie z zespołem a do kicia powinien pójść pracownik tego banku w którym wypuszczają połączenia z/do backendu poza ścisłym zestawem połączeń - lepiej zgadzać się na połączenia niż blokować - to pomaga też programistom dojść do wniosku o czym oni w ogóle napisali (jak nie czytają :D
Też kiedyś tak zostawiłem! I teraz nie mam filmu. Dlatego teraz patodeva oglądam jak tylko wpada powiadomienie ;) "smaczki" z pythona i developerki zawsze na czasie ;)
Linter tego nie puści, przy review zwykle jest soft wrap. Jak do banku leci taki kod to problemów mają więcej. A ukryć można dużo prościej i skuteczniej.
Warstwa architektury powinna to wyłapać, często mikroserwisy są enkapsulowane w prywatnych sieciach i ich ruch jest zawężony do tychże sieci. Sam ruch po IP też mógł być blokowany - tym bardziej po http :). Bank w Bangladeszu to musiał być. Pozdrawiam
najlepiej zmodyfikować jakiegoś SQL odpalanego raz do roku po nowym roku który coś tam wylicza/czyści i niech z update'uje tabelkę konfiguracyjną ;-) i co roku będą mieli zonga czemu im procesy przestały działać. a jak kod się zrobi dynamiczny to go tak łatwo nie znajdą
robiłem kiedys cmsy na wordpressach i joomlach. Czesto były exec robione ale w brardzo niejawny sposób, bo np. w różnej części kodu były wstawiane fragmenty ciągu znaków base64 do zmiennej, która to potem była łączona i kod po zdekodowaniu był wykonywany. O tyle problematyczne to było, że takie stronki czesto nie były w żaden sposób wersjonowane i ich basecode jesli był customizowany to wyczyszczenie takich backdoorow były całkiem czasochłonne.
Scenariusz jest naiwny, a sprawa szybko wyszłaby w logach serwera proxy, bo w poważnych instytucjach cały ruch odbywa się zawsze przez proxy. Nawet pip czy apt korzysta tam z proxy. Jeżeli ktoś próbowałby wysłać coś na inny serwer niż znajdujący na liście zaufanych w proxy to wysyłka automatycznie zostałaby zablokowana i nie doszła do skutku. To tyle.Dział OCR może spać spokojnie kiedy dobrzy sieciowcy ogarniają sprawę.
Pomysł z ukryciem kodu poza ekranem jest śmiechowy, ale większość projektów w python'e ma zaimplementowanego blacka. i to już na dzień dobry zrzuca z rowerka
Jest proxy, jest firewall, w dowolne miejsce backend nie wbije się. Próbował tricku, który opisywałem w log.025 jako Cross Cloud Spoofing - ruclips.net/video/xNrivXDGK7o/видео.html stawiając swój echo server na tej samej usłudze PaaS, której CIDR był whitelistowany dla innych funkcji innego produktu.
Luka w kodzie to jedno, ale gdzie zabezpieczenia sieciowe, uprawnienia do serwisów itp. Jakby cała infrastruktura była poprawnie zabezpieczona to taki kod niema prawa nic złego zrobić. Jeśli ten kod by zadziałało to osób do zwolnienia jest cała lista ;P
Używam zawijania tekstu, potrafi coś się ukryć. Backdoor odjebany na szybko, a wykorzystanie meta danych z obrazka to nic nowego. Śmiał bym się, gdyby nikt tego nie wykrył
W mojej poprzedniej firmie jak ktoś ma konto partnera (czyli osoby zewnętrznej w ich CRM), to właściwie może absolutnie wszystko bo cała autoryzacja odbywa się po stronie... Frontendu.
Mimo ze nie jestem programistą to się uczę od 0 Pythona. To muszę powiedzieć, że jestem zdziwiony ze dymaja i tutaj pracowników na niby tanio dużo i dobrze xD ale to tak nie działa haha. Po pracy w media expert i dymamiu mnie na hajs poszedlem na 6m l4, mimo że dobrze handlowałem, to chuje Nie chcieli płacić, jakieś groszowe ochłapy. Więc sprzedawalalem gorzej i lub wcale xD potem rozmowa o słabo ci idzie, jak dobrze sprzedawane to git, to ja mówię jakbyscie płacili dobrze za dobry handel to bym dalej trzymał wyniki. A tak to za 3700 możecie się dymac sami.
Nie, sprawa została zamieciona pod dywan. Ten wybryk mógł dotrzeć tak daleko, dzięki oszczędnościom i cięciem etatów. Dział QA nawet nie miał dostępu do kodu z repo, a paczki dostawali mailem z inną zawartością. Etap SAST mimo, że flake,black czy inny ruff zwijał, to i tak nie widział tam niczego złego - szukali maszynowo oczywistych regexpów ala DROP, TRUNCATE bo nie mieli ludzi na ambitniejszy screening. Może i nie pykło, za to klient ma piękne Excele i dużo zamkniętych tasków w jirze.
Dlaczego bank nic z tym nie zrobił? Bo bank nie jest szeryfem który będzie szukał winnych, zadziałały wewnętrzne procesy kontroli i to się liczy. A co do vendora to niezdziwilbym się gdyby nawet nie został on zmieniony xD
Sprawa została wyciszona i zakopana pod dywan, ponieważ to był tylko skutek szeregu zaniedbań. Dział QA wypełniał excele z testów nie mając dostępu do repo, bo mailem dostawali paczki na review. CI na tym kroku śledził tylko exit code wykonania, niezależnie ile błędów znalazł, flow leciał dalej. Do tego zwolnienia, że zmiany opisane jako minory były puszczane dalej. Mimo wszystko udało się to złapać i to jest cały urok finansów. Nikt nie zna całej ścieżki procesu, całość jest tak zawiła i rozproszona, żeby jedna osoba nie była w stanie zrobić sobie przelewu.
jakim cudem to przeszlo analizę statyczną kodu? w sensie rozumiem ze na review ktos mógł nie wyłapać ze tam są ukryte linijki kodu ale w pierwszej kolejności analiza statyczna kodu na CI nie powinna tego dopuścić do zmergowania na main
W filmie znalazł się błąd. Właściciele iPhonów nie są "bardziej zamożni" od reszty świata. Statystycznie mają znacznie mniejsze IQ (dane z badań przeprowadzonych w 2023 roku) i są podatni na manipulacje. Dlatego można od nich wyciągnąć więcej kasy za sprzęt niskiej jakości.
Różnie można do tego podejść. Tu źródła: 🌍www.fierce-network.com/developer/report-ios-app-users-are-often-richer-than-android-users Użytkownicy iOS w USA mają średni roczny dochód wynoszący 85 000 USD, co jest o 40% więcej niż użytkownicy Androida 🌍money.cnn.com/2015/01/22/technology/mobile/iphone-smart-study/index.html Sprzedaż iPhone'ów koreluje się z wyższym wykształceniem i dochodami w regionach o większej liczbie absolwentów uczelni wyższych. To są stare badania i może faktycznie teraz jest tak jak piszesz, że dla podbicia "prestiżu" są brane niezależnie od dochodu czy IQ.
Bo python nie służy tylko do pisania aplikacji bankowych xd. Jak chcesz napisać prostego launchera w pythonie pod linuxem, to właśnie będziesz używał exec'ów.
Nie zatrudnili go, i wsadził do kodu backdoora używając exec i nie wyłapał możliwych printów do konsoli. Czy firma na pewno popełniła błąd nie zatrudniając tego gościa? Pomijając płacenie 4k programistom do banku.
Większość seniorów nie pracuje w projekcie z cwaniaczkami ze wsi. Istnieje coś takiego jak etyka pracy, a jak ktoś ma dziwne pomysły, to widać to na sto innych sposobów.
W poważnych kontraktorniach taki kod nie trafiłby do repo git. A tu jakiś januszeks chciał jeszcze to sprzedać klientowi. Zostali wyśmiani. Klient pewnie miał już podobne doświadczenia i robi wcześniej audyt kodu zanim coś wprowadzi u siebie. Mogę sobie wyobrazić ile teraz bezsensownych exceli trzeba wypełniać u janusza zanim coś się zrobi. Przecież nikt nie będzie dymał janusza, to janusz dyma innych.
Jako student przed 26 rokiem życia to dostaje 4k na rękę na zleceniu, jak student to pewnie też nie w pełnym zakresie godzin. Wiadomo że już widły większość zaczęła ostrzyć ale ja bym sugerował nie wypowiadać się już udowadniając jakąś agendę bez głębszego rozeznania w temacie..
Dziękuję za poradnik jak rozwalić moje korpo, jesteś wielki!
Mądry chlopak. Daleko zajdzie z takimi pomysłami ;)
W PR-ze by to wyszło, ale najwyraźniej chłopak merge’ował sobie bezpośrednio do mastera. Super. Taka sprawa to pozew jak nic.
firma płaci 4000 brutto dla programisty w bankowości to jest gorzej niż Bangladesz, Włodarze Janusz Softu powinni siedzieć
Gdzie płacą 4 mln. brutto dla programisty?
@GrzesiekDanowski nie mln tylko tysiące czyli to jest ok 3 tys na rękę. Obejrzyj film bo w nim właśnie mówi. Ja też słyszałem o takich firmach
@@paweupawel8890 Napisałeś cztery tysiące tysięcy -> czyli cztery miliony, no lol.
@@Marekgor tak zapomniałem dopisać Rubli
Czy ja wiem... Kto o zdrowych zmysłach zaakceptowałby taką ofertę? Moim zdaniem pseudo-programiści sami są sobie winni, że chcą pracować za takie niewolnicze stawki.
Dlatego korzystanie z kontraktorni które dymają w dupsko swoich pracowników może odbić się klientowi czkawką. Polecam przeprowadzać normalne rekrutacje pracowników za normalną stawkę.
Wyzysk nigdy się nie kończy - bo jak nie wyzyskają nie wycyckają w Polsce to wyzyskają w Bangladeszczu :) - aby ustrzec się problemów trzeba A. czytać kod i changelog/zmiany czytać publicznie z zespołem a do kicia powinien pójść pracownik tego banku w którym wypuszczają połączenia z/do backendu poza ścisłym zestawem połączeń - lepiej zgadzać się na połączenia niż blokować - to pomaga też programistom dojść do wniosku o czym oni w ogóle napisali (jak nie czytają :D
Netscape!
Używanie dillo mogłoby się skończyć na innym portalu filmowym :) ale można też nie być tak hardcoreowym i użyć 'links'
Tak właśnie powinien zabezpieczać się programista przed zwolnieniem 👌,Backdoor always
im więcej takich tym mniejsza szansa na zwolnienie 👍
I nikt inny nie widzial tego kodu na pull requescie? Niezle standardy: Dobrze, Tanio i Duzo :D
Może nie korzystają z Gita xd
Kto by PRki przeglądał xDDD
to samo pomyślałem XD
Zostawiam na jutro, mam nadzieję że nie spadnie z rowerka
Też kiedyś tak zostawiłem! I teraz nie mam filmu. Dlatego teraz patodeva oglądam jak tylko wpada powiadomienie ;) "smaczki" z pythona i developerki zawsze na czasie ;)
Tak to jest jak sie nie korzysta z Soft Wrapa.
A nie zechciałbyś może nagrywać już w Full HD? ;)
Żółty piesek jest i lajk :D
Dobre review robicie, profeska :)
Linter tego nie puści, przy review zwykle jest soft wrap.
Jak do banku leci taki kod to problemów mają więcej.
A ukryć można dużo prościej i skuteczniej.
jakiś przykład?
@@gattan6378a musi byc? ja jako programista jakbym zobaczył kod który nie robi tego co powinien robić to bym miał wykrzynik nad głową
Niezłe jaja
Warstwa architektury powinna to wyłapać, często mikroserwisy są enkapsulowane w prywatnych sieciach i ich ruch jest zawężony do tychże sieci. Sam ruch po IP też mógł być blokowany - tym bardziej po http :). Bank w Bangladeszu to musiał być. Pozdrawiam
23:36 W VSC Alt-Z załatwi problem z długim paskiem i odsłoni kod :)
Piękna sprawa
cóż za ukrycie... to nikt nie formatuje kodu i nie odpala linterów?
Bardzo ciekawe rzeczy.
najlepiej zmodyfikować jakiegoś SQL odpalanego raz do roku po nowym roku który coś tam wylicza/czyści i niech z update'uje tabelkę konfiguracyjną ;-) i co roku będą mieli zonga czemu im procesy przestały działać. a jak kod się zrobi dynamiczny to go tak łatwo nie znajdą
Ale jaja, dobra robota...
Kiedy rewrite Linux kernel'a w Ruscie?
juz rewrituja oficjalnie :)
robiłem kiedys cmsy na wordpressach i joomlach. Czesto były exec robione ale w brardzo niejawny sposób, bo np. w różnej części kodu były wstawiane fragmenty ciągu znaków base64 do zmiennej, która to potem była łączona i kod po zdekodowaniu był wykonywany. O tyle problematyczne to było, że takie stronki czesto nie były w żaden sposób wersjonowane i ich basecode jesli był customizowany to wyczyszczenie takich backdoorow były całkiem czasochłonne.
Spotkalem sie z takim czyms. Ile czasu mi zajelo odjanopawlenie tego...
Scenariusz jest naiwny, a sprawa szybko wyszłaby w logach serwera proxy, bo w poważnych instytucjach cały ruch odbywa się zawsze przez proxy. Nawet pip czy apt korzysta tam z proxy. Jeżeli ktoś próbowałby wysłać coś na inny serwer niż znajdujący na liście zaufanych w proxy to wysyłka automatycznie zostałaby zablokowana i nie doszła do skutku. To tyle.Dział OCR może spać spokojnie kiedy dobrzy sieciowcy ogarniają sprawę.
Pomysł z ukryciem kodu poza ekranem jest śmiechowy, ale większość projektów w python'e ma zaimplementowanego blacka. i to już na dzień dobry zrzuca z rowerka
A sieć wewnętrzna albo jakiś CQRS pozwolił by na to, żeby coś takiego się udało?
Jest proxy, jest firewall, w dowolne miejsce backend nie wbije się. Próbował tricku, który opisywałem w log.025 jako Cross Cloud Spoofing - ruclips.net/video/xNrivXDGK7o/видео.html stawiając swój echo server na tej samej usłudze PaaS, której CIDR był whitelistowany dla innych funkcji innego produktu.
@@patodeweloperka Niezły agent
@@patodeweloperka gość ma łeb, takich trzeba się bać XD
Luka w kodzie to jedno, ale gdzie zabezpieczenia sieciowe, uprawnienia do serwisów itp. Jakby cała infrastruktura była poprawnie zabezpieczona to taki kod niema prawa nic złego zrobić. Jeśli ten kod by zadziałało to osób do zwolnienia jest cała lista ;P
Używam zawijania tekstu, potrafi coś się ukryć. Backdoor odjebany na szybko, a wykorzystanie meta danych z obrazka to nic nowego. Śmiał bym się, gdyby nikt tego nie wykrył
Dziwniejsza rzecz to nie zrobienie jakiejś weryfikacji, bo tak to wykrycie jest pewnością a nie szansą
To już z 12 lat temu stosowano metodę wszywania w obrazek ,wówczas to była nowość prasowa ,czyli jeszcze wcześniej ktoś wynalazł
Czy na 1:20 jest Norton Commander?
To jest Midnight Commander en.wikipedia.org/wiki/Midnight_Commander
trafiłem na ten kanał z rekomendowanych i lepiej nie mogłem trafić
W mojej poprzedniej firmie jak ktoś ma konto partnera (czyli osoby zewnętrznej w ich CRM), to właściwie może absolutnie wszystko bo cała autoryzacja odbywa się po stronie... Frontendu.
Z tymi spacjami to jest aż nieprawdopodobne że ktoś nie miał włączonego w edytorze zawijania wierszy.
No pomysłowe ...
Sposób stary jak świat, jakby dodał weryf http(s) to by było widoczne a tak przecież kazdy moze sie pomylić ;-)
Wystarczy mandatory code review przed merge...
Nie wiem, czy zawsze te CR są takie wnikliwe.
@GrzesiekDanowski ja bym zobaczyl od razu jakby mi sie taka linijka kilka razy zawinela na ekranie 😀
Tymczasem code review ;) ruclips.net/video/rR4n-0KYeKQ/видео.htmlsi=ekXdNcOp5FLE2hD4&t=20
@patodeweloperka dobre 😁
@@patodeweloperka wiedziałem co to zanim kliknąłem xD
Mimo ze nie jestem programistą to się uczę od 0 Pythona. To muszę powiedzieć, że jestem zdziwiony ze dymaja i tutaj pracowników na niby tanio dużo i dobrze xD ale to tak nie działa haha. Po pracy w media expert i dymamiu mnie na hajs poszedlem na 6m l4, mimo że dobrze handlowałem, to chuje Nie chcieli płacić, jakieś groszowe ochłapy. Więc sprzedawalalem gorzej i lub wcale xD potem rozmowa o słabo ci idzie, jak dobrze sprzedawane to git, to ja mówię jakbyscie płacili dobrze za dobry handel to bym dalej trzymał wyniki. A tak to za 3700 możecie się dymac sami.
Wiadomo czy go pozwali za to ?
Nie, sprawa została zamieciona pod dywan. Ten wybryk mógł dotrzeć tak daleko, dzięki oszczędnościom i cięciem etatów. Dział QA nawet nie miał dostępu do kodu z repo, a paczki dostawali mailem z inną zawartością. Etap SAST mimo, że flake,black czy inny ruff zwijał, to i tak nie widział tam niczego złego - szukali maszynowo oczywistych regexpów ala DROP, TRUNCATE bo nie mieli ludzi na ambitniejszy screening. Może i nie pykło, za to klient ma piękne Excele i dużo zamkniętych tasków w jirze.
Dlaczego bank nic z tym nie zrobił? Bo bank nie jest szeryfem który będzie szukał winnych, zadziałały wewnętrzne procesy kontroli i to się liczy. A co do vendora to niezdziwilbym się gdyby nawet nie został on zmieniony xD
Chłopak beknął?
Sprawa została wyciszona i zakopana pod dywan, ponieważ to był tylko skutek szeregu zaniedbań. Dział QA wypełniał excele z testów nie mając dostępu do repo, bo mailem dostawali paczki na review. CI na tym kroku śledził tylko exit code wykonania, niezależnie ile błędów znalazł, flow leciał dalej. Do tego zwolnienia, że zmiany opisane jako minory były puszczane dalej.
Mimo wszystko udało się to złapać i to jest cały urok finansów. Nikt nie zna całej ścieżki procesu, całość jest tak zawiła i rozproszona, żeby jedna osoba nie była w stanie zrobić sobie przelewu.
jakim cudem to przeszlo analizę statyczną kodu? w sensie rozumiem ze na review ktos mógł nie wyłapać ze tam są ukryte linijki kodu ale w pierwszej kolejności analiza statyczna kodu na CI nie powinna tego dopuścić do zmergowania na main
Włącz zawijanie wierszy. Najlepszy filtr antyhakerski 😂😂😂
u mnie zawsze leci black, isort i flake8 niezależnie kto mi daje kod
W ilu językach programujesz i ile ci zajęło nauczenie się tych języków mniej więcej?
Ten moment kiedy piszesz w C++ i Clang Tidy w CI po prostu tego nie pusci xd
W filmie znalazł się błąd. Właściciele iPhonów nie są "bardziej zamożni" od reszty świata. Statystycznie mają znacznie mniejsze IQ (dane z badań przeprowadzonych w 2023 roku) i są podatni na manipulacje. Dlatego można od nich wyciągnąć więcej kasy za sprzęt niskiej jakości.
Różnie można do tego podejść. Tu źródła:
🌍www.fierce-network.com/developer/report-ios-app-users-are-often-richer-than-android-users
Użytkownicy iOS w USA mają średni roczny dochód wynoszący 85 000 USD, co jest o 40% więcej niż użytkownicy Androida
🌍money.cnn.com/2015/01/22/technology/mobile/iphone-smart-study/index.html
Sprzedaż iPhone'ów koreluje się z wyższym wykształceniem i dochodami w regionach o większej liczbie absolwentów uczelni wyższych.
To są stare badania i może faktycznie teraz jest tak jak piszesz, że dla podbicia "prestiżu" są brane niezależnie od dochodu czy IQ.
a to w sumie dlaczego te funkcje jak exec nie zostaną usunięte z języka?
Bo to jest jak z zakazywaniem posiadania noża
Bo python nie służy tylko do pisania aplikacji bankowych xd. Jak chcesz napisać prostego launchera w pythonie pod linuxem, to właśnie będziesz używał exec'ów.
black na domyślnych ustawieniach na ci by wystarczył żeby to wyłapać...
Dobrze można wykonać kod w ASM AMD64 i taki backdoor przejdzie bezproblemowo. Kto normalny zna się na architekturze systemów komputerowych? Mało kto.
Hahha, brzmi jak bajka ale kto w korpo pracuje ten się w cyrku nie śmieje 🤣
btw u use arch
Zawijanie wierszy, mówi to coś panu, panie Ferdku?
Ale jaja 😂
Ostateczny test na seniora - fail
Jestem prawie pewien, że znamy wszyscy ten bank. Testy na produkcji ĄŚĆŻŹŃÓ też robią. Profil psychologiczny mi bardzo pasuje. Januszex sp.zoo
Nie zatrudnili go, i wsadził do kodu backdoora używając exec i nie wyłapał możliwych printów do konsoli. Czy firma na pewno popełniła błąd nie zatrudniając tego gościa? Pomijając płacenie 4k programistom do banku.
zamiast używać innego pola należało np w nazwę aparatu wpisać jako flagę validującą jakiś telefon, który nie miał aparatu -100% niezawodności 😉
Jakbym był na wylocie to bym zniszczył całą firmę do małego pyłu
dlatego odpala się coś takiego jak zawijanie lini. Zauważyłem że wieszkość "seniorów" tego nie używa. A druga sprawa żadne Visual Studio tylko Storm
@@paweupawel8890 neovim 🙂↔️
Większość seniorów nie pracuje w projekcie z cwaniaczkami ze wsi. Istnieje coś takiego jak etyka pracy, a jak ktoś ma dziwne pomysły, to widać to na sto innych sposobów.
Student zapewne sam sobie tego nie wymyślił. Ktoś mu na 100% zapłacił, aby się zatrudnił i wgrał backdora.
pre-commit z ruffem na 90 znakow w linii i bum ;)
Polecam opcje w IDE zawijanie lini
Kolanem
Backdoor zdecydowanie nie na poziomie seniora.
Czego Pan korzysta z systemu operacyjnego Windows zamiast jakiejś dystrybucji linuxa np. ParrotOS albo Kali lub Arch Linux...
przecież to arch
W poważnych kontraktorniach taki kod nie trafiłby do repo git. A tu jakiś januszeks chciał jeszcze to sprzedać klientowi. Zostali wyśmiani. Klient pewnie miał już podobne doświadczenia i robi wcześniej audyt kodu zanim coś wprowadzi u siebie. Mogę sobie wyobrazić ile teraz bezsensownych exceli trzeba wypełniać u janusza zanim coś się zrobi. Przecież nikt nie będzie dymał janusza, to janusz dyma innych.
Jako student przed 26 rokiem życia to dostaje 4k na rękę na zleceniu, jak student to pewnie też nie w pełnym zakresie godzin.
Wiadomo że już widły większość zaczęła ostrzyć ale ja bym sugerował nie wypowiadać się już udowadniając jakąś agendę bez głębszego rozeznania w temacie..
0,o
Perl i PHP (Personal Home Page) to są języki do pisania aplikacji dla instytucji finansowych... LOL ;).
to pokazuje jak beznadziejny jest pyton :) lol
Meh nuda, wiedza z 2010 r.