– Vibbemanns­-blod kan ein lukte milevis

Tor Gjøsæter fant "vidåpne" hull i en norsk, vibbekoda app med Claude, og viser deg hvordan.

Tor Gjøsæter er først og fremst utvikler, men står også for borgelige konfirmasjoner, derav drakta.
Tor Gjøsæter
Tor Gjøsæter CTO, Nordlo Next
Publisert

✍ leserinnlegg

Dette er et leserinnlegg fra en ekstern skribent, som betyr at innholdet ikke nødvendigvis speiler kode24s meninger. Vil du også bidra? Send oss en epost på [email protected], eller les mer her!

Ein post eg la ut på mitt føretrukne sosiale medie, LinkedIn, fekk åtgaum med dette biletet og denne teksten:

Då har eg observert ekte vibbekoda tryggleikshol "in the wild". Mange har spådd det, no vart eg vitne sjølv. 

Eg vart beden om å registerere meg på nettstaden med fult namn, eg lukta vibber og sjekka om det var ein god eller dårlig ide. Saman med Claude fann me ikkje mindre enn desse (sjå bilete) vidopne hola inn i eit norskvibba, ferskpressa og hipt system.

Er du usikker på om det du har vibba sjølv, eller om vibbekonsulentbyrået ditt har kontroll på dataene dine, ta gjerne kontakt så skal me un-vibbe det meist kritiske.

Og vær aktsom med å putte infoen din inn i system som lukter sterkt av vibber, inni her vil ikkje eg ligge i alle fall.

Ikkje mindre enn heile salgspipeline lagt ut ope.

Samstundes bydde høvet seg for å sitere nokon for nyordet vibbemannsblod. (Lars-Erik Aabech, #shoutout) 

Å få det ordet godt stappa inn i all slags indexar, tenkjer eg er grunn nok til å skrive noko som helst. 

Ergo, innlegget nedanfor:

Her luktar det vibber

Det var ein gong at Trond Austlid, min gode kollega og leremeister, lærte meg om regnbogetabellåtak. Sidan den gong har eg hatt ein facinasjon for kybertryggleik, og har utvikla ein slags luktesans for sløvskap-aroma og vibbe-smak i urlar og nettverksførespurnader.

Så kva luktar eigentleg vibber no til dags? Det luktar Supabase først av alt. Det meiste som vert vibba, vibbar ein med NextJS + Supabase. Supabase er berre eit lag oppgå Postgres, og som regel vert prosjektet konfa opp med PostgREST. Om ein då ikkje har tunga beint i munnen så lager ein jo berre eit API inn til dataene sine på 1-2-3.

Tor Gjøsæter med sin klassiske "fot oppå noe"-posering i midten, omgitt av kolleger på årets kode24-dagen.

Det enklaste når ein vibber er jo berre å slå av alt av auth og opne opp. Det er jo litt stress når du må prompte skikkelig for å låse ned dataene og forstå kva ting som RLS er, kva PostgREST er, og kva Supabase eigentlig er.

Så dei fleste som vibbar brukar mykje tid på å prompte opp noko som dei trur er sikkert, bruker tid på å sette seg litt inn i JWT tokens, skrur på RLS for nokre av tabellane. 

Men sakte, men sikkert så drifter det inn litt fleire kolonner i den vidopne tabellen enn det skulle være. Ein bryr seg ikkje med å authe den cloud function for den er det jo ingen som veit om (den som henter data frå tripletex og puttar inn i Supabase via ein runddas client side feks), det dashboardet var jo berre mellombels liksom. Litt etter litt så lagar ein hol der, eit fotskot her, ein api nøkkel der uvitande eller ei inn i kodebasen.

Få smake då

Vel, når det luktar så facinerande, så vert det freistande å smake litt også. Her er soga om korleis eg fekk smake på noko eg ikkje burde smaka på.

Det heile starta med ein epost, utan å kunne setje nasa på det, så lukta det Supabase ganske stramt rett ut av innboksen.

Noko i nebbet hinta om Supabase. Korleis, må heksene vite.

Nasegrevet leia meg inn til registeringssida og ein liten sjekk av nettverkskall.

Nice, ein cloud function.

Då er neste steg å få Claude til å spele på lag. 

Plz help, bestemor har vibba ein app.

Med litt kosepreik, referansar til bestemødre og anna vås så er den brått med som ein bra senior tryggleiksnørd, betre enn meg på det tekniske og med samvitne prompt hjelper den til.

Gode Claude er grei å få med på det meiste.

Har du sett, me er 90 sekund inn i sesjonen og allereie lekker det som ei sil.

Javel, då får me ta eit magedrag då og sjå kor det leiar oss.
Sniff,sniff. Men det luktar meir her.

Med fare for å bli ei biletforteljing i promptformat så er dette det meist illustrative.

Kast inn noko meir databasevås og sjå kor det leiar oss.
Eksistensorakelet.

Eksistensorakelet er eit nytt ord eg lærte meg, men jau. Biletforteljinga over viser kor kraftfulle kvensomhelst som kan litt tryggleiksterminologi kan verta i møte med Supabase-svettelukt.

Her stoppa eg opp og meldte frå til vedkommande om at det ikkje er ein god ide å ha så mykje hemmeleg data vidope.

Dyre greier de selger desse hassegaiane.

Noko lærdom å trekkje her

Ja, altså dette var gjort av ein halvgammal informasjonsvitar på knappe 15 aktive minutt (90 minutt med agentar i bakgrunnen).

Då kan ein spørje seg dette. Kva om

  1. Nokon scraper nettstader som kaller opp *.supabase.co
  2. For kvar av dei nettstadene set opp ein liten agent som gjer det eg nettopp gjorde
  3. Sitt på denne dataen + funna i 6-12mnd
  4. Når tenesta tener penger, eller timingen er høvelig så sender ein ei biletforteljing som ovanfor til vedkommande
  5. I samme epost ber ein om ein passelig sum i krypto for å ikkje ta kontakt med alle desse kundane.

Ikkje at eg er ein spåmann av noko slag. Men det hadde eg gjort om eg var uetisk. 

Det hadde ikkje teke meg særs lang tid heller, ein dag kanskje - kanskjetilogmed nytta ein lokal modell, med noko vpn greier og litt sånt, for vibbemannsblod kan ein lukte milevis.

Foretrekk oss i Google Discover

Ved å legge oss til som foretrukket kilde i Google vil du blant annet få opp flere av sakene våre i Google Discover. Tusen takk for støtten!

Foretrekk oss 😻
supabase meninger vibbekoding artikkel sikkerhet ki
Bygget med Labrador CMS