A opět jsme u oné přeframeworkovanosti. Spring MVC umožní něco udělat, dělá onu činnost dobře, ale člověkovi, který to používá, ani nedojde, že dělá prasárnu.

Urcite okolo toho netreba robit az taky ,,povyk” - pride mi to ako zo servera java.bleskovky.cz. Mam ale pocit, ze nie kazdy cital povodne oznamenie, ktore rozhodne nebolo take dramaticke.

“We first discovered the vulnerabilities about four or five months ago,” Berg said. “We found a posting from 2004 on a form that said if you’re doing this, this could be a security issue. But there wasn’t any follow up or good dialogue on how to fix this. There wasn’t a lot of awareness.”

It’s important to note, Berg said, that the vulnerabilities are not flaws in the framework. “The issue is developers not understanding the complexity of the framework they’re using,” he said.

Cize dolezite je to, ze to treba zvyraznit v dokumentacii, lebo nie kazdy o tom moze vediet, resp. nie kazdy si to moze uvedomit.

To jako by nekdo rekl, ze z requestu getProperty je bezpecnostni chyb, protoze mi v tom muze kdokoli cokoli poslat.

U ostatních frameworků je to tak trochu diskutabilní. Nebezpečné to bylo až donedávna u Stripesů, nicméně po zavedení anotací @AllowBinding a @DenyBinding už je to opět jen na erudovanosti programátora.

Strutsy vás nutily vytvořit si speciální třídu (extends ActionForm) pro webovou vrstvu, a měli jste dvě volby

- buď duplikovat property ve dvou objektech (jedenkrát v ActionForm a podruhé v interním POJO)
- nebo POJO prsknout jako nested beanu do ActionForm a ouha, už máte “security issue”

No prostě bych řekl, že se současnou úrovní frameworků je obvykle chyba spíš na straně programátora a jeho neznalosti než ve frameworku samém.