Come autodidatta alla scoperta dello sviluppo professionale, mi imbatto quotidianamente in cose che mi lasciano perplesso.
In parole povere: dovrei lavorare su una vecchia applicazione ZF1 (con codice veramente brutto, ternari imbricati, condizioni interne all'assegnazione e cose senza commenti), ma da venerdì non ho iniziato comunque a lavorare perché ... I non riesco a scoprire come "autenticare correttamente l'applicazione"! L'applicazione effettua una chiamata SOAP al "portale", passandogli una versione troncata da HTTP_HOST, che viene quindi controllata per la sua presenza in un database. La riga corrispondente è composta essenzialmente da nomi di dominio senza sottodomini, una password in testo semplice e un array serializzato che viene restituito all'applicazione.
Se fallisce, lancia un'eccezione con il messaggio "110" (significativo in huh), niente lo cattura così: errore fatale.
Per quanto comprendo ciò che dice il mio capo (sono autodidatta su siti e libri in inglese, non è proprio un dev o un architetto o un oratore inglese, quindi il dialogo potrebbe diventare strano): "questo è sicuro l'applicazione, in modo che nessuno sarebbe in grado di utilizzare il nostro codice per simulare la nostra applicazione attraverso un dominio simile al nostro ". Anche se cerco di mantenermi informato il più possibile, la mia conoscenza della sicurezza non è sufficiente per rispondere a me stesso ... Ma sento che la loro sicurezza è totalmente inutile !! Se "usano il loro codice" è perché i cattivi hanno accesso ad esso ... quindi al server ... e tuttavia, se ottengo il codice, ho solo bisogno di liberarmi del processo di autenticazione ... o di fingere nome di dominio quando si effettua la chiamata SOAP ... Posso semplicemente riprodurre ...
Questo ha senso ?? Le richieste su SSL / TLS non sono molto più sicure di questo tipo di lavoro di fortuna ??
Domanda bonus: qual è il punto nel rispondere con un codice "Welcome to nowhere" 200 anziché un 503 o qualsiasi altra cosa quando si richiede l'IP del server ?? Salvo dire ai cattivi "HEY, ecco da nessuna parte, ma c'è ancora qualcosa dietro !!"
Grazie!