Entendo que seja apenas uma brincadeira, mas existem alguns problemas gravissimo · welovetech

Em resposta a —–௹ Criei uma plataforma de cursos do zero como projeto pessoal ௹—–

Entendo que seja apenas uma brincadeira, mas existem alguns problemas gravissimos em sua plataforma:

Ao entrar na pagina de login, e navegar pelos menus de topo, em ao menos duas vezes seu software me mostrou algumas funcionalidades da area restrita mesmo sem logar.
Voce usa elementos de iteração com Browser para receber inputs para o js, como o Prompt, por exemplo. Jamais utilize esse tipo de elemento em aplicações reais.
Parece que você não usou JWT ou algo semelhante para proteger as requisições da sua API (Embora, não analisei, só olhei por cima)

Eis a importancia de um bom projeto antes do desenvolvimento, envitando, ou dificultando, que dados do cliente sejam expostos indevidademente. Hoje, em tempos de LGPD sendo fiscalizada, um vazamento de dados por render uma multa de milhões de reais para a empresa ou até o responsável pelo sistema.

Ramon0001

9 dias atrás

MUITO obrigado pelas dicas! Welovetech 🤌
Sobre navegar pelo menu de topo sem logar, estou trabalhando nisso hoje. Pensei ter conseguido resolver, vou testar melhor aqui.

E os inputs, eu ainda vou criar um popup para digitar, só estava focando em criar as novas páginas.

JWT eu não sei o que é! Ainda bem que me deu esse toque. Eu não sei muito sobre back-end e estou tentando tornar o software mais seguro, como disse na publicação, para que as pessoas que testarem a plataforma não colocarem suas senhas reais.

welovetech

Autor

9 dias atrás

Boa, o importante é ir ajustando.

Quando você trabalha com APIs que fornecem dados publicos, o ideal é trabalhar com autenticação. JWT é umas das formas pelas quais consegue adicionar uma camada de proteção em sua api, permitindo que o cliente só tenha acesso a ela após se autenticar pelo endpoint de login, obter o token criptografado e consumir os endpoints protegidos utilizando o mesmo na Header das requisições.

É simples de usar.

Outras situações importantes é proteger sua api de injection, e isso pode ser feito, inicialmente, por prepared statements, principalmente se estiver usando SQL Raw. E isso seria só o começo, pois existem muitas outras técnicas importantes quando a segurança de dados que devm ser observadas.