Группа CB: сборник терминов

Группа CB: сборник терминов — не просто список, а инструмент профи

Большинство справочников грешат сухими формулировками, которые оторваны от реальной практики. Мы в «Группе CB» пересобрали подход к глоссарию. Здесь нет перечисления очевидностей — только то, на что обращают внимание действующие специалисты. Цель — убрать иллюзии и показать механику веб-технологий и защиты так, как она работает на самом деле.

Распространённые заблуждения: что не так с классическими определениями

Возьмём, к примеру, «брандмауэр». Многие уверены: достаточно включить стандартный экран — и вы защищены. На деле корпоративный опыт показывает обратное: более 70% инцидентов связаны с тем, что правила фильтрации остаются «по умолчанию». Эксперт никогда не ограничится дефолтным профилем — он убирает разрешающие правила на весь исходящий трафик и настраивает логирование в обход стандартных очередей.

• Миф: «SSL-сертификат полностью гарантирует безопасность передачи» — Реальность: сертификат шифрует канал, но не проверяет контент на вредоносные скрипты. Профессионалы всегда комбинируют HTTPS с дополнительной санацией данных на стороне сервера.
• Миф: «Кэш браузера ускоряет всегда» — Реальность: при динамических AJAX-запросах агрессивное кэширование ломает логику обновления. Опытные разработчики явно задают заголовки Cache-Control: no-store для критичных эндпоинтов.
• Миф: «SQL-инъекции побеждены современными ORM» — Реальность: ORM часто пропускают сложные атаки через хранимые процедуры или непроверенные «сырые» запросы. Каждый четвёртый пентест находит уязвимости именно в этом месте.

Неочевидные нюансы: что упускают из виду даже опытные коллеги

В веб-безопасности и разработке есть тонкие моменты, которые не описаны в базовых мануалах. Приведём три показательных примера из практики «Группы CB».

1. Разница между revalidating и preflighting CORS-запросов. Когда браузер отправляет сложный запрос (например, с нестандартным заголовком или методом PUT), он сначала шлёт OPTIONS. Мало кто настраивает сервер отвечать на этот предварительный запрос быстро — стандартный тайм-аут в 30 секунд режет производительность SPA-приложений на 40%. Профи выставляют максимальный возраст кэша для OPTIONS-ответов (Access-Control-Max-Age) в 24 часа.
2. Кодировка application/x-www-form-urlencoded и пробелы. Строгий стандарт требует заменять пробелы на +, подавляющее большинство парсеров понимает %20, но старые компоненты (например, некоторые платёжные шлюзы) не декодируют + обратно. Итог — необъяснимые ошибки верификации данных. Мы всегда пишем функцию нормализации: сначала заменяем + на %20, а потом декодируем.
3. Тайм-ауты при веб-сокетах в корпоративных прокси. Многие специалисты ставят тайм-аут на уровне приложения (60 сек). Но корпоративные прокси (SQUID, Nginx) обрывают неактивные веб-сокеты уже через 60 секунд. Решение — внедрить ping/pong не каждые 55 секунд, а каждые 30 секунд. И обязательно со стороны сервера, так как клиент может быть за NAT.

Профессиональные советы: как настраивают глоссарий и работают с терминами настоящие эксперты

Мы в «Группе CB» используем глоссарий не как статичный словарь, а как живую систему фиксации паттернов. Вот что работает безотказно.

• Ведите «Словарь антипаттернов». Рядом с каждым термином фиксируйте не корректное использование, а самую частую ошибку. Например, к термину «CSRF-токен» добавьте: «Ошибка — хранить токен в localStorage, откуда его может считать XSS-скрипт. Правильно — в атрибуте cookie с флагом SameSite=Strict».
• Привязывайте термины к измеримым метрикам. Не «оптимизация скорости загрузки», а «ускорение LCP (Largest Contentful Paint) на 1,2 секунды за счёт предзагрузки шрифтов и отложенной загрузки некритичного CSS».
• Используйте «Коллекцию провальных кейсов». У каждого термина укажите ссылку на реальный инцидент. Например, «HTTP 429 Too Many Requests» — разбор ситуации, когда бан-фильтр случайно затронул легитимных клиентов из-за неверной настройки throttling на уровне IP без учёта прокси-цепочки.
• Создайте перекрёстные ссылки между терминами по уровню угрозы. «Загрязнение HTTP-заголовков (Header Injection)» должно вести к «Cache Poisoning» и «Web Cache Deception». Это покажет системную картину, а не разрозненные понятия.
• Обновляйте глоссарий раз в квартал. Технологии меняются стремительно: термин «протокол SPDY» уже мёртв, а «машинное обучение в WAF» всё активнее закрепляется. Мы в «Группе CB» встраиваем в сборник триггеры на появление новых уязвимостей из баз CVE — чтобы термин «API-аутентификация» сразу дополнялся новыми векторами атак.

Наш сборник — не для галочки. Это концентрат практического опыта, где каждый термин проверен на собственных проектах и инцидентах. Если вы хотите не просто знать слова, а понимать, как за ними стоит реальная угроза или возможность, — этот справочник станет вашей настольной опорой.

Добавлено: 27.04.2026