[Перевод] Я завайбкодил и запустил приложение за три дня. И его взломали. Дважды. Вот что я усвоил
Моё приложение представляет собой каталог, который объединяет профили исследователей безопасности с различных платформ, таких как HackerOne, Bugcrowd, GitHub и других. Фронтенд подключается к Supabase, и я создал его с помощью инструментов Lovable и Cursor. Вся автоматизация, которая подает данные в базу данных, обрабатывается отдельно.
Изначально я планировал разрешить пользователям самостоятельно регистрироваться через Supabase Auth и запрашивать профили, которые они хотели бы агрегировать. Но в процессе реализации я понял: это создаёт риски, ведь нужно корректно управлять как аутентификацией (какой именно пользователь), так и авторизацией (что ему разрешено). Я отказался от саморегистрации… но упустил важную деталь. (Подробнее об этом чуть позже.)
Читать далееИсточник: Хабрахабр
Похожие новости
- Absolute Zero Reasoner: ИИ научился программированию без входных данных — и это может поменять всё
- Мой начальник хочет no-code в проде. Я против — и готов уйти
- [Перевод] Как я «случайно» получил root-доступ к платёжному терминалу
- Программируя с использованием AI ты продаешь душу дьяволу
- Spark_news: Более 20% стартапов-«единорогов» с оценкой выше $1 млрд могут обанкротиться — Accel
- Наше расследование: ищем отечественные микросхемы в «отечественных» счетчиках электроэнергии. Часть 4 и снова блогер…
- Чудо-курсы с обещанием быстрых результатов: 200 лет рекламы, которая не меняется
- DarkGaboon: яд кибергадюки в цифровых жилах российских компаний
- Агентная экономика. Дайджест за неделю
- Редакция Spark.ru: Бизнес в фронтовом приграничье: Белгород, часть 2. «Танцы - это кислород для города»