Вайб-кодинг

С появлением вайбкодинга всё больше приложений выходит сразу к реальным пользователям и часто без базовой защиты и ограничений. За это прилетают счета Supabase на $200, боты, которые забивают формы в первый же день, письма с требованиями прекратить деятельность и т.п. Поэтому вот чеклист для вайбкодеров от разработчика с 20+ лет опыта. Он поможет закрыть базу перед релизом:

1. Защищайте не только приложение, но и себя. Как только вы начинаете собирать данные пользователей, вступают в силу юридические требования (GDPR, CCPA). Подготовьте политику конфиденциальности и точно знайте, где хранятся пользовательские данные.

2. Row Level Security. Без RLS любой может открыть DevTools и прочитать всю вашу БД. В Supabase это настраивается через Auth → Policies. Если политик нет, то база фактически открыта. Исправляется за несколько минут.

3. Тестируйте не только успешные сценарии. Попробуйте ввести неправильный пароль пять раз, сбросить пароль для несуществующей почты, дважды открыть ссылку подтверждения, зарегистрироваться с уже существующим email. Именно так находится большая часть ошибок аутентификации.

4. Проверьте базовую безопасность. Попросите ИИ: «Проверь моё приложение как специалист по безопасности и убедись, что у меня сильные заголовки безопасности и надёжный базовый уровень безопасности».

5. Прогоните приложение по рекомендациям OWASP. Запрос для ИИ: «Проверь моё приложение на соответствие стандартам OWASP и подсвети уязвимости». Так часто обнаруживаются SQL-инъекции, XSS и ошибки в системе аутентификации.

6. Валидация на клиенте. Злоумышленник может отключить JavaScript и обращаться к API напрямую. Все проверки нужно повторять на сервере.

7. Код, написанный ИИ, часто допускает утечки данных в трёх местах:

- значения из .env попадают во фронтенд;
- API возвращает больше данных, чем нужно;
- секреты оказываются в логах.

Запрос для проверки: «Проверь моё приложение на утечки credentials или чувствительных данных во фронтенде или API-роутах».

8. API-ключи не должны попадать во фронтенд. Если ключ оказался в браузере, считайте, что он уже скомпрометирован. Перенесите работу с ним на сервер или используйте прокси.

9. Настройте rate limiting до релиза. Ограничьте все эндпоинты, которые обращаются к платным API. Один неконтролируемый поток запросов способен увеличить счёт, например, с $20 до $200 всего за день.

10. Добавьте CAPTCHA на публичные формы. (например, бесплатный Cloudflare Turnstile) и ограничьте CORS своим доменом. Это занимает около 10 минут и эффективно защищает от массовых атак ботов.

11. Не раскрывайте внутренние ошибки пользователям. Вместо сообщений вроде: «SELECT * FROM users failed», показывайте нейтральные: «User not found». Подробности сохраняйте только в серверных логах.

Прогоняйте это чеклист перед каждым запуском. Вот полный разбор. 🐸