Перу

← Вернуться ко всем постам

Мемы в коде: как стажёр случайно спас систему безопасности

r/csMajors ⬆ 14.3k голосов 💬 271 комментариев 🕒 23 янв 2025 👁 0 просмотров

Наш летний стажёр (я на 90% уверен, что это профессиональный мемер подрабатывающий разработчиком) только что спас всю нашу службу аутентификации, будучи, скажем так, абсолютным агентом хаоса.

Предыстория: у нас есть эта легаси-система аутентификации, работающая ещё с тех времён, когда TikTok был никому не извест. Никто её не трогает. Документирована она на древнесанскрите и в комментариях на COBOL. Последний специалист, полностью её понимавший, ушёл преподавать йогу в Перу.

Появляется наш стажёр. На первой неделе он спрашивает, почему наши коммиты такие скучные. Начинает добавлять мемы. Ну ладно, думаем мы. Потом он начинает оставлять в коде комментарии вроде:

// Эта функция старше меня и, наверное, платит налоги
// TODO: Спросить, у этой while loop есть медстраховка
// Здесь покоятся надежды и мечты Сары (2019-2022), убитые этим рекурсивным вызовом

Старшие разработчики разделились: одни были в шоке, другие — в восторге. Но самое интересное ещё впереди.

Он читает код аутентификации (потому что «коммиты здесь слишком нормальные, сус»), и добавляет такую жемчужину:

// йо, почему валидация токена такая толстоватая
// серьёзно, без кепки, base64 декод просто огонь
// стоп... подожди... тут вообще не огонь

Оказалось, что его ген Z-интуиция не просто реагировала на мемы. Парень реально нашёл обход валидации, который прятался в нашем коде с первого срока Обамы. Та самая уязвимость, от которой аудиторы просыпаются в холодном поту.

Самое забавное? Название его тикета в Jira: «Auth ведёт себя как полный сус, без кепки, серьёзно (Critical Security Issue)».

Самое неприятное? Теперь придётся объяснять CEO, почему в нашем отчёте по безопасности за третий квартал встречается фраза «без кепки, серьёзно».

И финальный штрих? Официальный комментарий нашего старшего инженера по безопасности: «дорогуша... ты реально угарнул с этим находом, честно».

Я не могу понять, это пик или дно нашей инженерной культуры. Но точно знаю: стажёр получит оффер на следующий год, хотя бы потому, что мне очень хочется увидеть, что он сделает с нашей документацией по GraphQL.

💬 Комментарии

📚 Другие интересные посты