169 похожих чатов

Мне вот интересно, а чего eval все так не любят,

типа не безопасно, но что мешает его ввести в консоли? Что там небезопасного, если через него только данные на сервер не обрабатывают?

42 ответов

19 просмотров

а зачем в консоли эвал, если в консоль ты и так код вводишь?

Пойди и загугли, эта тема объяснена и обсосана уже 10 триллионов раз.

Ребята не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте что тут писалось. Я вполне понимаю что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых - стоп. Остальных просто не найдут.

Максим- Автор вопроса
stay calm
Пойди и загугли, эта тема объяснена и обсосана уже...

Ну чем еваловый кулькулятор опасен? Фронт выполняется на стороне клиента, это все так же в консоль напрямую вбить можно

Максим- Автор вопроса
Alexey Ermakov
а зачем в консоли эвал, если в консоль ты и так ко...

да, не так написал. по сути консоль тот же евал. просто не пойму, чего его прям как в ГП боятся даже называть, если данные на сервак не делаешь с ним

Эвал просто необходим в двух особенных проектах на бэке

Максим- Автор вопроса
Мари
Эвал просто необходим в двух особенных проектах на...

Ну, я не о том, я про то, что при слове евал сразу АААА ЕВАЛ НЕ БЕЗОПАСНО ТЫШО НИЗЯ

Максим
да, не так написал. по сути консоль тот же евал. п...

в эвал можно захреначить майнинг битколенов, вместо 2+2 на onblur

Максим- Автор вопроса
Максим
Ну чем еваловый кулькулятор опасен? Фронт выполняе...

Я где-то сказал, что eval для хоммейд калькулятора это опасно? Я сказал, что это глупо. Если ты хочешь сделать свой калькулятор — делай, получится интересный проект. Сможешь даже выложить и показать кому-то. Будет солидно и интересно Если ты хочешь сделать свой калькульятор на eval — это бесполезная трата времени, да еще и с использованием сверх-небезопасной функции.

Максим
Ну, я не о том, я про то, что при слове евал сразу...

просто так было написано в "javascript для чайников"

Максим
как? как ты его для всех включишь?

обычно в хсс и дело: вот тебе код на деньги

Максим- Автор вопроса
stay calm
Я где-то сказал, что eval для хоммейд калькулятора...

я вообще-то изначально писал про него в целом, а не тебе ответил

Максим- Автор вопроса
Alexey Ermakov
обычно в хсс и дело: вот тебе код на деньги

ну xss это работа с беком уже, там надо в любом случае чекать на лишний прилет данных

Максим
ну xss это работа с беком уже, там надо в любом сл...

ну, допустим какой-нибудь нерадивый банк csrf не чекает. пихаешь какой-нибудь fetch(“bank.com/sendmoney?to=vasya&amount=99999”) и деньги васе улетают т.к. юзер не разлогинился в банке

Максим
евал тут не причем ж

эвал тут - самый простой способ сделать что угодно

Максим- Автор вопроса
Alexey Ermakov
эвал тут - самый простой способ сделать что угодно

все равно спорно, чтобы везде при его упоминании сразу варнинг алертить. Понятно, что лучше в нем не писать ибо каша будет, но в остальном сам прикинь как евал опасен, мне кажется приувеличивают. xss и без eval закинуть можно закинув подгрузку скрипта с другого сайта через xss или разу код в тег созданный кинуть

Максим- Автор вопроса
Alexey Ermakov
так ты его везде и не используешь

мне вообще не доводилось им пользоваться, но просто сама реакция на него постоянно удивляет, при том аргумент постоянно за безопасность

Максим
все равно спорно, чтобы везде при его упоминании с...

тема обмусолена тысячу раз, ты просто повторяешь одно и то же. я тебе выше уже привёл доводы, почему так

Максим
все равно спорно, чтобы везде при его упоминании с...

Никакая другая функция не опасна настолько, насколько опасен eval. Каждый раз, когда ты пишешь eval, тебе надо мини-аудит безопасности проводить, а потом поддерживать этот аудит при каждом изменении в коде. И проебаться тут ОЧЕНЬ легко. Намного проще, чем тебе кажетсяю Обычно это просто не стоит никаких рисков.

Максим- Автор вопроса
Рой Волков
тема обмусолена тысячу раз, ты просто повторяешь о...

ну, может другой взгляд увижу от тех, кто отвечает :с все равно пока суп варю и скучно

Максим
мне вообще не доводилось им пользоваться, но прост...

аргумент один - "я так прочитал в книге js для чайников, там пиздеть не будут, поэтому при виде Е-слова я буду выёбываться, типа я умный и я заню, что его нельзя юзать"

Максим- Автор вопроса
stay calm
Никакая другая функция не опасна настолько, наскол...

опять же, какая безопасность? что мешает в консоль вбить что "кулхакер" кинул бы в этот евал в коде?

Максим
опять же, какая безопасность? что мешает в консоль...

То, что консоль доступна только у тебя локально?

Максим- Автор вопроса
stay calm
То, что консоль доступна только у тебя локально?

тыж в курсе, что когда ты заходишь на сайт, тебе js так же на комп качает и ты менять его так же можешь и так же только для себя?

Максим
тыж в курсе, что когда ты заходишь на сайт, тебе j...

Ты что хочешь донести? Что на своем компе в своей песочнице можно писать что угодно?

Максим- Автор вопроса
stay calm
Я в курсе

тогда как евал нарушит безопасность в этом плане? чел если что-то поменяет в нем, то только для себя, как и в консоли

Максим
тогда как евал нарушит безопасность в этом плане? ...

Никак не нарушит, я об этом в первом же сообщении написал

Максим- Автор вопроса
stay calm
Никак не нарушит, я об этом в первом же сообщении ...

ну так я спрашиваю за то, что кричат, что это не безопасно // ненавижу с телефона писать, мисскликаю :с

Максим
ну так я спрашиваю за то, что кричат, что это не б...

Не безопасно, потому что многократно повышает риск инъекций

Максим
тогда как евал нарушит безопасность в этом плане? ...

если ты напишешь калькулятор через eval, и сделаешь подстановку значения из url, при этом сделаешь выполнение выражения сразу при загрузке страницы, то это позволит поместить вредоносный код в такой url и при переходе по нему можно будет украсть куки 😱

Максим- Автор вопроса
Рой Волков
если ты напишешь калькулятор через eval, и сделаеш...

ну разве что такой кейс, это да. забыл про гет параметры через js

Максим
ну разве что такой кейс, это да. забыл про гет пар...

Во та теперь представь какое еще кол-во кейсов ты забыл. И каждый из них потенциальная дыра, наличие которой тебе теперь надо каждый раз проверять

Рой Волков
если ты напишешь калькулятор через eval, и сделаеш...

следовательно калькуляторы это зло, не пользуйтесь ими. если у вас в доме есть старый калькулятор, немедленно сожгите его

это уже слишком толсто

Alexey Ermakov
это уже слишком толсто

а когда абсолютно то же самое пишут про евал, опираясь на точно такие же доказательства, это не толсто?

Рой Волков
а когда абсолютно то же самое пишут про евал, опир...

какие “такие”? Домашний калькулятор и eval это утрирование

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта