Bạn đang vô tình lộ dữ liệu nhạy cảm mỗi khi sử dụng công cụ lập trình online

Bạn đang vô tình lộ dữ liệu nhạy cảm mỗi khi sử dụng công cụ lập trình online

Hầu hết các lập trình viên thường không suy nghĩ nhiều trước khi dán dữ liệu vào các công cụ trực tuyến.

Các trình định dạng JSON, bộ giải mã JWT, công cụ chuyển đổi Base64, trình kiểm tra biểu thức chính quy (regex)...

Bạn chỉ cần mở một trang web, dán dữ liệu vào, nhận kết quả và tiếp tục làm việc.

Tuy nhiên, vấn đề nằm ở chỗ: Bạn thường đang gửi dữ liệu đó đến máy chủ của người khác.

Rủi ro tiềm ẩn

Liệu "tiện ích nhanh" mà bạn đang sử dụng có thực sự an toàn?

Nó có thể đang:

• Ghi log dữ liệu của bạn
• Lưu trữ tạm thời dữ liệu đó
• Hoặc thậm chí giữ lại lâu hơn mức bạn mong đợi

Và hầu hết thời gian, bạn không hề hay biết gì về điều này.

Không có cam kết rõ ràng. Không có khả năng kiểm soát. Không có quyền quản lý.

"Chỉ là công cụ định dạng thôi mà" — có đúng không?

Ngay cả những công cụ đơn giản cũng thường hoạt động theo quy trình sau:

1. Bạn dán dữ liệu của mình vào
2. Dữ liệu được gửi đến backend (máy chủ)
3. Máy chủ xử lý dữ liệu
4. Bạn nhận được phản hồi kết quả

Điều đó có nghĩa là dữ liệu của bạn đã rời khỏi máy của bạn.

Đôi khi nó vô hại. Đôi khi thì không.

Khi nào vấn đề này trở nên nghiêm trọng?

Hãy nghĩ xem các lập trình viên thường dán những gì vào những công cụ này:

• Khóa API (API keys)
• Token xác thực
• Dữ liệu JSON nội bộ
• Log chứa dữ liệu người dùng
• Tệp cấu hình (config files)

Đó là những thứ vốn dĩ không bao giờ được phép rời khỏi môi trường làm việc của bạn.

Tôi nhận ra mình cũng đang làm điều này

Vào một lúc nào đó, tôi nhận ra rằng chính mình cũng đang thực hiện hành động này.

Sao chép → Dán → Chuyển đổi → Xong.

Thậm chí không cần suy nghĩ xem dữ liệu đó đi đâu về đâu.

Đó là lúc tôi bắt đầu cảm thấy... có gì đó sai sai.

Một cách tiếp cận tốt hơn

Tôi bắt đầu tìm kiếm các công cụ có khả năng:

• Chạy hoàn toàn trên trình duyệt (client-side)
• Không gửi dữ liệu đi bất cứ đâu
• Không yêu cầu tài khoản đăng nhập

Chỉ cần Mở → Sử dụng → Đóng.

Tại sao điều này lại quan trọng?

Đối với các tiện ích nhỏ, thực sự không có lý do gì để phải sử dụng đến máy chủ.

Định dạng, mã hóa, giải mã — tất cả những điều này đều có thể thực hiện cục bộ trên máy của bạn.

Nhanh hơn. An toàn hơn. Đơn giản hơn.

Giải pháp cuối cùng của tôi

Tôi bắt đầu tự xây dựng một bộ công cụ nhỏ chạy trên trình duyệt cho riêng mình.

Ban đầu chủ yếu là để phục vụ bản thân.

Chỉ để tránh việc phải nhảy qua lại giữa các trang web ngẫu nhiên và luôn phải tự hỏi chuyện gì sẽ xảy ra với dữ liệu của mình.

Bạn có tin tưởng các công cụ trực tuyến với dữ liệu nhạy cảm, hay bạn ưu tiên các giải pháp xử lý nội bộ (local-first)?