ну так все манипуляции связанные с деньгами можно сваливать на службу фрода. Мне кажется, тут будет правильнее исходить из того, если получается исправить этот баг, а он не исправлен и там реальный секур импакт, то это на совесть отдела иб...

ну или как палка делать, не хотим чинить и не считаем что это бага )

а у тинька, например, хорошая защита от округления

как бы округляется, но после отбирается ...

когда проблема логическая/архитектурная, то из-за высокой сложности исправления всегда появляется желание сказать «так задуманно, исправлять не будем, рисков почти нет»
так что по большому счету пост хаклюка скорее о аксесконтролях и айдорах 🙂

мм, не все как раз, и вот тут и есть тонкая грань. Я, как аппсек, не хочу и не буду держать у себя в голове все 100500 наших промоакций, и следить за тем, а нельзя ли, купив товаров на 100 рублей, получить выгоды на 120 рублей, за счет недостатков в логике самой акции.
Для этого есть люди, которые как раз такое держат в голове, ничего не знают про аппсек, но знают про финансы, и они следят, и мониторят, если по промокоду OZONSHTOTOTAM, было слишком много подозрительных активаций с одного айпи (ну, это абстрактный пример, я не знаю деталей работы).

Когда такое заметят, скорее всего проведут перерасчеты, маркетологам, которые не подумали про такое, когда создавали акцию, дадут пизды, и на этом дело закончится

а вот если я допустим при активации промокода, могу манипулировать значением бонуса (ну, например промокод на 300 рублей, но за счет того, что мы доверяем клайент сайд, можно поставить значение 3000, и бэк его примет и учтет), то это уже да, аппсек.
Обрати внимание, и то и другое-манипуляции с финансами, это таки разные сферы

дело тут не в желаниях, а исключительно в деньгах. Если финансовый импакт ниже стоимости фикса, то да, смысла исправлять нету (ну, если речь не про юзер данные там).

так что по большому счету пост хаклюка скорее о аксесконтролях и айдорах

вот мне кажется что да, ты прав. И тогда он как раз вполне имеет смысл. Но я подумал может я ошибаюсь, и мне сейчас накидают примеров p1 лоджик багов

Уже накатал, но не выложил в open-source

списывать на халтуру это канеш не стоит, любое усложнение или рефакторинг в данный момент времени делать рекомендуется только в том случае, если в будущем оно обойдется намного дороже, просто приоритеты расставили и висит бага ))

Ладно, п***жу,там слишком много условий чтобы оно работало. Так что нет такой штуки.

можно в полуручном режиме топ 100 имеджей с докерхаба "развернуть" до скратча и поглядеть что там есть, например

А что за страницу он посчитал секретной?

@Vladimir_Polyakov, когда отчеты в Озон на h1 дисклозить начнете?

Я же там дал ссылку сразу, это ozon.ru/go

Надо взяться, поставил себе задачку. Просто как и все вещи, которые не приносят прямой пользы, но при этом потребуют кучи согласований и работы, сие откладывается до последнего.

Действительно, что-то ускользнуло от внимания

Надеюсь, найдется время
Особенно интересно почитать, что понаходили там, где сам ничего не накопал

открою секрет-задачи “сидеть и копать сайт в свободном режиме”, у аппсека нету. Я этим почти всегда занимался на энтузиазме, и в нерабочее время. Есть задача (причем далеко не самая приоритетная) проводить аудит новой (причем не всей, а только критичной) функциональности, это при условии что продукт оунер был достаточно сознателен, и пришел к нам сам с просьбой посмотреть.

БОльшая часть багов-это следствие ситуации “у нас 1500 микросервисов и 400 выкаток в неделю”. Когда люди спрашивают про “почему в скоупе только мейн сайт”, они вряд ли учитывают, что этот сайт, это где-то под тысячу микросервисов (которые постоянно что-то выкатывают), и скоуп на самом деле нехилый.

Ну и это не считая того, что я весьма средний хантер, и если я чего-то не нашел, то это не значит, что баг интересный.

Впрочем, интересных, где то с десяток, может чуть больше, таки прислали, и дисклознуть их действительно стоит

"Сам" было в смысле "я" :-)