V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  lesismal  ›  全部回复第 46 页 / 共 62 页
回复总数  1238
1 ... 42  43  44  45  46  47  48  49  50  51 ... 62  
2021-11-18 21:12:34 +08:00
回复了 lesismal 创建的主题 Go 编程语言 最近犯闲,想再写点啥项目,有推荐的吗?
@rj15295774336
socket.io 用的人太少了,而且 websocket 足够用了
2021-11-18 21:11:33 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@leeg810312
我好像没说过强制你们也别用吧?我各个楼是在对比 PUT/DELETE 相对于不用它俩的优劣以及不用它俩的成本,关联到工程、协作等相关的层面,都是在讨论更好的方式。而你们的点就是你们再用并且能用,但是这种方案就是最正确的最好的吗?
自己项目正在用和能用,跟对比其他方式是否存在缺点孰优孰劣,是两码事
流行不代表就是主流,即使主流也不等价于最优
这些我前面楼都有讲过,你们跟我辩来辩去有人认真看我说的点了吗?:joy:

所以这些楼层下来,相当于我在说 A 不如 B ,并且我解释为什么 A 不如 B ;然后你们就说你们在用 A ,你们给大厂的方案也是在用 A ,云厂也在用 A ,驴唇不对马嘴地怼我呢,多数都没怼到我聊的点上,也不提一些论据,比如说为什么 A 就是比 B 好并且好在哪些地方,或者说 A 相对于 B 没有带来更多缺点或者额外的成本(比如安全策略的设置、更新、维护,比如楼主 @TossPig 刚才回复的需要走流程写保证书,本来如果你们不用 PUT/DELETE ,就不需要这些额外的成本,当然,楼主项目历史积累的方案、不改我也理解、支持,只是如果有新项目的时候,建议改成不依赖 PUT/DELETE 的,只是建议,各位自己决定就好)

然后,既然兄弟你都也十多年经验了,跟我杠的时候就不能认真看看我在说什么吗。。。非要像个 95 后一样盲怼我,你们各位怼我的大侠扪心自问一下这样够讲武德吗 :joy:
别说什么我跟上时代潮流,除了你们的团队,还有很多团队都在用 GET/POST + 结构化 body ,甚至像我一样连 GET 都不用的,不要以为自己的圈子就是最大的最流行的圈子就是最潮流的,我上面和其他楼都说过了,流行和主流和最优都不是等价的,否则就不会有革新了。
另外,牛逼的人把复杂的事情简单化,一般的人把简单的问题复杂化,less is more ,上点年纪的多做过一些各种项目的应该要懂的。

PS: 很多交流如果允许带上图,气氛可以不那么激烈,真希望 v 站能畅快的发点 emoj ,:joy: 是我觉得比较能不互相刺激的表情,但是发不出来,各位脑补好了
2021-11-18 19:29:10 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
现在的年轻人都这么喜欢无论据方式的阴阳怪气吗?

很看好你们最新鲜的一代,但也经常感到失望。希望你们 30 、40 岁的时候不会继续这个样子吧。
2021-11-18 19:26:27 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
我不是安全领域专业户,但是各位可以搜下 "HTTP PUT 攻击 渗透" 或者 "HTTP PUT ATTACK" 之类的,老外的、国内的都有很多相关的帖子或者演示

一些漏洞扫描软件自带功能也包括对 web 服务的 PUT 方法进行扫描

#116 楼的问题我也想统一再问一次那些说安全的各位:
"能给你开" 和 "本来就可以不用开",前者更好吗?

类似 "这只能说明你们运维菜,不足以说明 PUT 方法不安全" 这种观点,同样的问题:
"运维能搞" 和 "本来运维可以不用额外搞这个",前者更好吗?

参考我前面几楼说过的工程逻辑、跨工种跨部门甚至跨公司的观点
2021-11-18 18:54:55 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@leeg810312
所以我 #111 楼里说你都没理解我前面楼说的内容,你可能都没怎么仔细看吧
#116 你也不回答一下:再请教一次:"能给你开" 和 "本来就可以不用开",你觉得前者更好吗?
#90 楼也可以看下

你要辩的内容,我在前面好几个楼里都已经提过了,我不想再重复了,如果看不懂或者根本没看,就麻烦你不要再 at 我了。几位提到某些云厂的接口,我也有回复过,场景不一样,你但凡没兴趣看或者在这只说别人家有这么用而不是讨论用和不用到底哪个好就别辩了。
不提论据只说别人怎么搞或者你给别人怎么搞所以就是好的,这种辩论法,跟泼妇撕逼骂街没什么本质区别。事情和事情不一样,别断章取义、望文生义

另外,给 500 强做的项目有那么值得自豪吗你张口闭口的,感觉其他几位提到云厂也没像你这么自豪啊,某 500 强我十几年前呆过,有很多牛逼的地方,不完善的地方更多,有一些老同事还在里,说现在不像以前那么盲目 996 不盲目拉横幅搞敏捷了,而是更注重科学管理、效能提升以及员工身心健康各种了,所以现在应该是更好了。但是任何一家公司都不是十全十美的,每个公司也都有初级中级水平的人员,如果你还年轻,等你冷静的时候可以考虑下跳出多数人只顾眼下 curd 逻辑程序员的思维,让你自己站在更高的层面看待整个项目的技术与管理与跨部门协作各方面问题。甚至等你年纪再大点、处理过的大项目大业务再多些再回头来挖这个帖子的坟来 at 我都可以,但是这次,我建议你还是冷静冷静吧,回复的内容为喷而喷没什么论据,我认输
2021-11-18 17:20:28 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@cweijan
好的,小伙子加油,我看好你们!
而且,论坛嘛,哪来的强加的说法,都是讨论交流,我只是自己管的项目一刀切而已,没项目交集的各位自己喜欢就好。
2021-11-18 17:18:43 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@FightPig
我对号入座一下,至少我没这么说过,不安全也是有场景的。如果擅长断章取义、望文生义,请自便。
如果我对号入座得不对,请无视。
2021-11-18 17:16:40 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@leeg810312
请教:"能给你开" 和 "本来就可以不用开",你觉得前者更好吗?

能 curd 的人很多,能上升到工程思考的不多,能上升到工程哲学的更少,共勉吧。
2021-11-18 16:53:03 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@leeg810312 同样的,如果没理解我前面楼层的意思,就请不要 at 我了。反驳的点都没对到点上,有的还曲解别人的意思。
2021-11-18 16:48:41 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
后面再有只考虑自己 curd 这点事的同学想辩论就请不要 at 我了,我不想再回复这种了,先谢谢年轻人能对老古董给予体谅。
2021-11-18 16:46:34 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@cweijan
> 实际上现在 RestFul 非常流行
流行跟主流不是一码事,劣币驱逐良币的时候多着呢,流行也未必就代表好,如果连这个都理解不了,那你喜欢就好

> 你就是一个守旧的老古董罢了
老古董算是半个吧,但至少现在的时代还是老古董为主在占据着多数项目的技术话语权
2021-11-18 16:43:21 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@Bromine0x23
我经常送给我自己,你有送给过自己吗?另外,你哪里看到我说要改标准了?可理解了我前面楼层的回复意思?没理解的话麻烦就别随便 at 我了
2021-11-18 16:29:46 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@eason1874
照你们这些以某些厂的场景和做法就代表全天下场景都应如此的聊法,确实别聊了。建议你们努力合并全天下技术厂、直接一统江湖得了。
2021-11-18 16:17:17 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@cxe2v
是啊,解释这么多,真心累,好多写 curd 的人舒适区里呆久了,就不乐意把自己提到高一点的层面看问题,但凡高看一点,就不至于停留在 "程序员 /码农" 的水准,至少能搞个 "架构师级程序员 /码农" 的水平。
太多从业者都只考虑眼前这点,真的是不配叫工程师了。
2021-11-18 16:12:17 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@leeg810312
你如果有兴趣辩,可以把我回复的多楼层都看一下,先明确下 带上传 /删除文件的服务和 api 的区别、通用场景包括比如安全部门的需要与你说的云厂 api 的区别,你的云厂 api 自己处理好了那是你云厂自己的事情,所以云厂 api 就代表通用全场景了吗(比如这个帖子说的安全部门的需求)?

其他的,工程逻辑、多工种与部门协作,如果你只站在 curd 这种层次考虑问题,我前面楼层已经包含了的一些基本点你们都不看,那烦请不要跟我继续辩了
2021-11-18 15:04:20 +08:00
回复了 lesismal 创建的主题 Go 编程语言 最近犯闲,想再写点啥项目,有推荐的吗?
@lance6716 go-mysql 这个库我自己项目也有用到过一些,我主要精力不是数据库方向,暂时不知道我能对这个做些啥。
看了下 issue 列表,如果是 mysql 功能性的,这感觉有点需要补课
2021-11-18 14:57:33 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@eason1874 未读提醒里没有你的回复,所以才看到

> PUT 方法和 Nginx + PUT 组合在云厂商的服务里多得是,配置类 API 大量使用 PUT ,对象存储上传文件也用 PUT ,CDN 既用 Nginx 也用 PUT 。自认能“快捷简单地入侵”的快去 SRC 提交漏洞,有这本事拿个几万美金奖励轻轻松松

专用场景用来对比安全部门的通用场景合适吗? PUT/DELETE 跟 POST 存在上传、删除资源的区别,代理也有不同的 api 、文件服务,能都统一处理吗?而且,我之前楼提到过了,就算按路由配置放行策略,开发、运维、安全部门耦合,这样好吗?并且 POST 替代 PUT 成本很高吗

你举例子的,比如特定厂商的特定的服务或者业务,比如上传配置,接口做好了处理,比如对象存储基本是内部服务代码内网调用的不对外开放的所以也不怕,但是跟通用场景两码事,我好几个楼解释了很多,不只是 nginx 是否可配置、怎么配置,不只是接口代码可不可以处理,还有工程、跨工种协作上的,还有 HTTP 协议本身的

如果都考虑自己眼下这点代码逻辑,那倒是万事大吉。

@TossPig
"那 http1.1 设计就太冗余了" ——事实就是这样子的,不只是 http1.1, tcp 、http2.0 都有缺陷,互联网创世年代摸石头过河,都可以理解,但不好或者不够好就是不好或者不够好。
2021-11-18 13:42:54 +08:00
回复了 lesismal 创建的主题 Go 编程语言 最近犯闲,想再写点啥项目,有推荐的吗?
@kksco 这个领域我不熟悉 :joy:
2021-11-18 13:42:22 +08:00
回复了 TossPig 创建的主题 程序员 被客户告知 HTTP 的 PUT 请求不安全,甩锅给我们要求整改
@FakNoCNName
> 这个用法也能用,不过看起来就像说: http 、mqtt 、mysql 、redis 这么多种协议让人头疼,结构复杂、数据容易、还带来了设计的复杂度,我们就全部用的 TCP 流,内部定义一些字段区分不同含义。

层主可以多了解一些类型的项目,这世界上不是只有 http/mqtt 之类的这几种协议,有太多自定义协议了,只是因为自定义协议多是自家项目、不会形成广大社区、行业的这种 RFC 级别的协议规范,mysql/redis 其实就应该归类于非广泛社区的协议,同样地,它俩也不需要 RFC

> 复杂的工具( RESTRull )是为了解决复杂问题,一代代人总结整理出来的经验,你不能说自己目前这么干够用就认死了只这么干( post+body )。
> 我们就尽量按照 RESTFull 设计接口,用起来没觉得复杂,查接口、查日志也方便,开发功能、定位问题等等分类也比较合理,如果现在让我们全都用 post ,接口多起来以后简直要吐血。
> 如果把 post+body 比作 txt 文档,RESTFull 就跟带标签的 PDF 或者带目录的 word 一样,一两页资料看不出差别,几十上百页呢?

确实需要复杂的基础设施的地方,我也会用,我并不是反对复杂的东西。
我是反对本来可以简单解决的、却把问题搞复杂了。
比如你说的查日志,并非必须 Method 才能搞定,路由分段一样可以解决,比如 /aaa/bbb/...

我上面一楼也有补充的,协议交互主要就两点,而 路由 /命令 这里,我也没限制只能一个层次比如只能 /aaa 不能 /aaa/bbb ,这至少比 HTTP method/路由 /headerbody 各种参数要少了一元设计成本

另外,你的这种观念形成过程可能是反的:是因为从学习到使用都是按社区或者自家项目这样经历下来的,因为用并且用习惯了并且有人说它好、所以自己也觉得它好,可能没有尝试过自己从底向上设计这些基础设施的思考。就像我上一楼补充里说的,别人给你个轮子,能用,就觉得好,所以你对它的好的判断欠缺真正参照物来对比。

可以尝试下了解多一些类型的项目,或者自己自底向上设计基础设施,然后你就会面对这些设计上的关于美的丑的性能优的劣的各种细节考量,然后才能得出更全面的结论。

> 另外说的安全问题,这些早就没了,要说不安全也是使用的人没做好处理,跟什么方法没关系。

这个我前面楼层说过,安全问题不只是代码逻辑,安全还有很多工程逻辑在里面。很多场景都可能因为人没使用好导致安全问题,但是 PUT/DELETE 的问题相对明显,并且这两个方法并非不可替代、禁用它俩用其他简单方案替代成本也不高
2021-11-18 13:12:55 +08:00
回复了 lesismal 创建的主题 Go 编程语言 最近犯闲,想再写点啥项目,有推荐的吗?
@graetdk 没看懂是要搞啥,笔记、点子之类的记录本?还是把你的一些点子开发成产品?

我也攒了不少点子,但都是商业相关的,我更爱技术一点,所以一直懒得动手 :dog:
1 ... 42  43  44  45  46  47  48  49  50  51 ... 62  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5739 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 17ms · UTC 02:51 · PVG 10:51 · LAX 18:51 · JFK 21:51
Developed with CodeLauncher
♥ Do have faith in what you're doing.