ช่องโหว่ของแอปหาคู่ Feeld

 (fortbridge.co.uk)
1 คะแนน โดย GN⁺ 2024-09-13 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-09-13
ความคิดเห็นบน Hacker News

  • ดูเหมือนว่ามีการตรวจสอบสิทธิ์แค่ที่ฝั่งฟรอนต์เอนด์เท่านั้น

    • จำเป็นต้องตรวจสอบสิทธิ์ทั้งหมดที่ฝั่งแบ็กเอนด์
    • ควรเพิ่มการตรวจสอบขอบเขตทุกจุด เหมือนกับการแก้ปัญหา buffer overflow

  • ไม่ควรกรอกข้อมูลส่วนตัวที่ตรงตามความเป็นจริง

    • ข้อมูลอย่างวันเดือนปีเกิดควรใส่เป็นค่าคร่าว ๆ
    • โดยเฉพาะแอปหาคู่ที่มักขอข้อมูลอ่อนไหว

  • แอปนี้มุ่งเป้าไปที่ผู้คนที่มีความชอบหลากหลาย

    • เป็นแอปสำหรับคนที่มีความชอบหลากหลาย เช่น BDSM, เซ็กส์หมู่, เควียร์ เป็นต้น

  • ช่วงหลังมานี้ถูกพูดถึงในสื่อบ่อยมาก

  • เป็นความล้มเหลวในระดับประมาทเลินเล่ออย่างร้ายแรง

    • เมื่อพิจารณาจากประเภทของแอปแล้ว นี่เป็นปัญหาที่ร้ายแรงมาก

  • ตลาดหาคู่ออนไลน์กำลังเละเทะ

    • มีบริษัทที่ให้บริการได้มีประโยชน์จริง ๆ เพียง 2–3 แห่งเท่านั้น
    • จำเป็นต้องมีบริการหาคู่แบบสหพันธรัฐโอเพนซอร์ส

  • ดูเหมือนไม่ใส่ใจเรื่องความปลอดภัยเลยแม้แต่น้อย

    • ฉันเป็นนักพัฒนาเกม แต่ยังทุ่มเทมากกว่านี้เพื่อรักษาความยุติธรรมของเกม
    • บริษัทนี้ไม่คำนึงถึงความปลอดภัยของผู้ใช้เลย

  • ปัญหาของ GraphQL

    • มันเปิดให้ฝั่งฟรอนต์เอนด์สามารถ query ข้อมูลได้
    • การทำให้แบ็กเอนด์เข้าใจ query และบังคับใช้การควบคุมการเข้าถึงนั้นทำได้ยาก
    • GraphQL อาจทำให้ความผิดพลาดแบบนี้เกิดขึ้นได้ง่ายกว่าเดิม

  • การเปิดเผยข้อมูลอย่างมีความรับผิดชอบและเห็นอกเห็นใจ

    • แปลกใจที่นักวิจัยยอมชะลอการเปิดเผย
    • สตาร์ทอัพควรต้องแก้ปัญหาภายใน 2 เดือน เพื่อไม่ให้มีการใช้ข้อมูลส่วนตัวในทางที่ผิด