Исправление ошибок и обновления сервисов веб-клиента


Задача по изменениям с целью снятия ограничений на голосование в рамках недельного окна откладывается для дальнейших обсуждений и правок уже к ХФ.

Вместо неё воркеру была передана задача по исправлению потенциальных уязвимостей в сервисах/зависимостях к коду веб-клиента
https://github.com/golos-blockchain/golos-ui/issues/163

  • Устранена XSS-уязвимость в модуле remarkable, которая при определенных настройках в коде позволяла вставлять JavaScript-код, выполняющийся на клиенте. Также уязвимость к DoS, вызванная неоптимальностью кода в remarkable.
  • Убрана зависимость на crypto-js, которая на данный момент не используется, но ее использование по принципу "оно же уже у нас есть" было бы плохой идеей.
  • Убрана зависимость на sendgrid, который был в коде, и мог быть включен для доработок, при этом содержал уязвимость к DoS.
  • Обновлена библиотека underscore.string, содержавшая уязвимость к DoS.
  • Убран модуль medium-editor-insert-plugin, который мог быть использован в коде, но содержал множество уязвимостей...

Comments 3


Здорово, что работа идёт, пусть и незаметная обычным людям. С моей стороны работа с кодом выглядит как медленный процесс выздоровления, которые внешне не виден, но приводит к тому, что человек очнётся из комы и начнёт что-то делать, полноценно жить.

27.07.2020 16:39
0

@benken время покажет )

27.07.2020 18:06
0