[Laravel] Security

Op dit punt ben je gewoon aan het trollen door maar te blijven herhalen. Er ‘loopt niet iets mis’; JIJ maakt 2 gerelateerde grove fouten, waardoor iets verkeerds gebeurt. Daar leer je van, no big deal.

Er bestaat onmogelijk een framework waarin je wel iets gedaan kan krijgen maar waarin alles veilig blijft als je 2 kritieke fouten maakt.

[ Voor 14% gewijzigd door Voutloos op 28-04-2019 15:03 ]

PieterjanDC schreef op zondag 28 april 2019 @ 14:14:
Ik weet dat ik fouten gemaakt heb, daar hoef je me heus niet op te wijzen hoor.
Ik doe wat de handleiding zegt, maar als de handleiding op niets trekt heb je hier ook niet veel aan.

Dat deed je duidelijk niet aangezien je zelf de verkeerde configuratie gebruikte, helaas voor jou.

PieterjanDC schreef op zondag 28 april 2019 @ 14:14:
Ik heb namelijk alles juist geconfigureerd nu, maar zit nog altijd vast aan een slecht framework waar op ieder ogenblik terug fuck-ups kunnen in terechtkomen door developers die het normaal vinden dat credentials gewoon op een webpagina terechtkomen.

Laravel is geen slecht framework, alles is zo sterk/goed als de zwakste schakel. In dit geval zijn dat niet de Laravel developers maar de developers die simpele configuratie files niet kunnen gebruiken.

PieterjanDC schreef op zondag 28 april 2019 @ 14:14:
But not to worry, dat laatste ben ik ook aan het aanpakken. Gewoon door een professioneel framework (ASP.NET Core) te gebruiken

Good for you, ik werk dagelijks met ASP.net (Core). Kleine tip: als je de best practices niet volgt en/of niet weet waar je mee bezig bent (zoals je bij Laravel niet deed) kan je het nog harder verprutsen dan je met Laravel deed.

PieterjanDC schreef op zondag 28 april 2019 @ 14:36:
Ik ben deze thread niet begonnnen om mezelf goed te praten.

Kennelijk wel, je doet niets anders.

PieterjanDC schreef op zondag 28 april 2019 @ 14:36:
Het is duidelijk dat Laravel devs dit wel doen. Ik heb hieruit veel bijgeleerd.

Laravel devs hebben weinig fout gedaan in dit geval.

PieterjanDC schreef op zondag 28 april 2019 @ 14:36:
Zoals reeds gezegd, ASP.NET is een professioneel framework en ik heb hier al veel ervaring mee.
De environment variabelen komen niet op een debug pagina terecht aangezien deze gewoon in je appsettings.(development/production/staging).json staan.

En hier ga je dus al fout, je zet NOOIT secrets (dev, staging OF productie) in de appsettings.json. Het enige wat daar in staat zijn de keys (dus zonder value).

[ Voor 24% gewijzigd door xh3adshotx op 28-04-2019 15:09 ]

Django een ander populair framework doet dit ook, daarom staat er ook in koeienletters dat je DEBUG = True
op False moet zetten als je naar productie gaat.

Het printen van het SQL wachtwoord kan juist heel handig zijn als je aan het debuggen bent waarom de database connectie het niet doet.

Weet niet waarom je na 3 maanden ineens weer moet gaan zitten haten ineens? Volgens mij was alles al redelijk vaak herhaald nu.

Maargoed, je bent niet de enige
https://twitter.com/_swati_k/status/1121760453766418432

Barryvdh schreef op zondag 28 april 2019 @ 15:39:
Weet niet waarom je na 3 maanden ineens weer moet gaan zitten haten ineens? Volgens mij was alles al redelijk vaak herhaald nu.

Maargoed, je bent niet de enige
https://twitter.com/_swati_k/status/1121760453766418432

Tja, een eigen POST request op Twitter zetten.. nee, dat platform zit vol met onwetendheid en mensen die willen scoren.

Ik heb niet de hele thread gelezen, maar inderdaad waarschuwt Laravel (en andere sites) je genoeg. Verder zijn er ook genoeg checklisten om naar productie te gaan te vinden op het net. Niet alleen het framework maar ook het platform dient mogelijk aangepast te worden.

HollowGamer schreef op zondag 28 april 2019 @ 15:45:
[...]

Tja, een eigen POST request op Twitter zetten.. nee, dat platform zit vol met onwetendheid en mensen die willen scoren.

Ik heb niet de hele thread gelezen, maar inderdaad waarschuwt Laravel (en andere sites) je genoeg. Verder zijn er ook genoeg checklisten om naar productie te gaan te vinden op het net. Niet alleen het framework maar ook het platform dient mogelijk aangepast te worden.

Niet eigen POST requests...

Ah, ASP.NET. Vergeet je niet? Anders hebben we straks weer zo'n topic

PieterjanDC schreef op zondag 28 april 2019 @ 14:36:
...
ASP.NET is een professioneel framework
...

Wat is jouw definitie van een 'professioneel' framework? Of beter gezegd, wat maakt ASP.net professioneler dan Laravel?

In je voorgaande posts ben je volgens mij nogal verbolgen over twee dingen: dat er een debugpagina bestaat die in debugmodus credentials van je database toont en dat een bug in het het framework er voor kan zorgen dat een applicatie per ongeluk in debug modus draait in productie.

Over dat eerste kun je een hele lange discussie voeren of dat nodig is ja of nee en dat is in dit topic tot in den treure gedaan. Als het tweede punt voor jou de mate van professionaliteit bepaald in een framework, kan ik je vertellen dat ASP.net core ook voldoende CVE's heeft gehad: https://www.cvedetails.co...et-Core.html?vendor_id=26.