eleday

👩‍💻 Хватит учить только синтаксис, начинай делать реальные проекты! Python Ready — авторский канал, где Python перестаёт быть только теорией и становится рабочим инструментом. Мини-проекты, боты, советы, разборы задач, гайды и шпаргалки для каждого программиста. 🔥 Советую подписаться: @python_ready

Что такое git. Часть 2: репозиторий и базовый рабочий процесс В прошлой части мы разобрались, зачем вообще нужен контроль версий и какую проблему решает Git. Теперь — как он устроен на практике и с чем программист реально работает. 2. Репозиторий Вся история проекта в Git хранится в репозитории Репозиторий — это папка с кодом и служебной информацией Git, которая знает: - какие файлы есть в проекте - какие изменения в них происходили - кто и когда эти изменения сделал Репозитории бывают двух типов: - Локальный — на вашем компьютере - Удалённый — на сервере (GitHub, GitLab и т.д.) 3. Рабочий процесс в Git Типичный цикл работы программиста выглядит так: 1. Изменил код. Например, написал функцию или исправил баг 2. Подготовил изменения. Git не сохраняет всё автоматически — ты сам указываешь, какие файлы готовы к фиксации. 3. Сделал коммит. Коммит — это снимок текущего состояния проекта с поясняющим сообщением: что именно и зачем было изменено. 4. Почему это удобно и полезно - Можно безопасно экспериментировать - Легко откатиться назад, если что-то сломалось - Видно, как проект развивался со временем - Код синхронизируется между разными устройствами [Следующий пост в разработке]

Я туда не публиковал ничего уже больше года, наверное

Сравнение через "==" небезопасно Очень хочется использовать тут эмодзи 😱😱 В контексте безопасности сравнение двух секретных строк, например, правильного хеша и эталонного, может оказаться плохой идеей

    
        if input_token_hash == right_token_hash:
    return True{}
    

При такой проверке злоумышленник может провести timing-атаку — смотреть на время выполнения операции, чтобы получить информацию о секретных данных Суть в том, что при сравнении через "==" строки сравниваются посимвольно, а при первом несовпадении возвращается False То есть сравнение "abcD" == "abcE" будет работать дольше, чем "aBcd" == "aEcd" В первом случае сравнение проанализирует 4 символа, найдёт расхождение и закончится, а во втором расхождение случится уже на втором символе. Очевидно, что если в каком-то месте строки не совпадают, значит они уже не равны, поэтому дальше сравнение даже не пойдет и уже вернет результат False Эта особенность классического сравнения дает злоумышленнику возможность более эффективно подбирать секретные значения. Ему не придется перебирать все возможные комбинации нужной длины, он сможет это делать по одному символу:

    
        Условный пример 

aaa — 1 мс
baa — 1 мс
caa — 1 мс
daa — 2 мс -> Правильный первый символ — d, можно перебирать следующие 

daa — 2 мс
dba — 2 мс 
dca — 3 мс -> Правильный второй символ — c{}
    

Как защититься Для сравнения чувствительных данных использовать специальное сравнение, например, из встроенного модуля secrets

    
        import secrets

if secrets.compare_digest(input_token_hash, right_token_hash):
    return True{}
    

Эта функция работает одинаковое время независимо от того, найдено уже совпадение или нет и полностью перекрывает возможность провернуть timing-attack @eleday

С новым годом, чат На ваших глазах канал сохранил свою жизнь и переродился. Новый формат eleday только начинает потихоньку раскручивать, поэтому в новом году вы увидите тут контент, полезный и краткий Спасибо, что смотрели и читали меня в этом году, спасибо, что будете читать в следующем Каждому из вас я искренне желаю всего самого доброго и светлого, чтобы код писался, приложения поднимались и получалось воплотить все, что захочется. А я буду вам в этом помогать @eleday

Как читать чужой код Читать код приходится, и зачастую это оказывается сложнее, чем писать его Основные пункты, на которые стоит опираться: 1. Прочитай документацию Первым делом стоит посмотреть на README-файлы и сопутствующие документы проекта 2. Посмотри на структуру и используемые технологии Какой язык, какие зависимости, requirements.txt, package.json, pom.xml, как устроены папки, какие модули есть 3. Найди точку входа - Для веб-приложений: server.js, app.js, manage.py, app.py, wsgi.py - Для консольных скриптов: if __name__ == '__main__', main() 4. "Потыкай" Запусти проект, посмотри, что он делает, какие данные принимает, как на них отвечает, на что ругается Главное убедись, что проект своим запуском ничего не сломает на твое компьютере 5. Используй инструменты IDE Поиск по файлам, перемещение к объявлению функции, отладка, подсветка синтаксиса, иерархия вызовов 6. Посмотри на тесты Если в проекте есть папки tests/, test/, spec/, посмотри на их содержимое. Они могут дать более чёткую картинку о том, что это вообще за проект 7. Спроси у ИИ Для ускорения понимания можно: - скинуть структуру проекта (tree) и спросить, где искать тот или иной функционал или объяснить архитектуру целиком - скинуть непонятную функцию или файл и попросить прокомментировать Читайте, это полезно) @eleday