Интересный материал про интереснейший сервис про разные типы уязвимостей в веб приложениях.
Hacksplaining — интерактивный курс по веб-уязвимостям
Я не то что предпочитаю не думать, а я даже никогда и не начинал думать. Это позволительно, когда ты пишешь бизнес логику в тригерах и стандартных Visualforce страницах :p
Да, в этом есть плюс 
"Это просто фиаско, братан"
Читал и плакал.
Рассказ о том, как я ворую номера кредиток и пароли у посетителей ваших сайтов
Мы сегодня ни от чего не защищены. И можно 100500 раз патчить сайт по теме безопасности, а нежданчик прилетит откуда не ждешь.
Конечно то что NPM то еще болото я дано читаю в нете, но думаю что другие репозитории с пакетами на других языках тоже не святые (в комментах очень красочно описали похожую ситуацию для Java).
Даже уже не знаю как теперь можно создавать безопасные приложения?
Я, кстати, исправлял некоторые вещи на одном портале. Чтоб заплатить надо было ввести данные, которые сохранялись в орге и только птм отправлялись через API на оплату. Это очень "круто".
Лично я ввожу свои карточные данные только на странице сервиса, на который тебя перенаправляют с сайта. А в РБ так вообще, почти все можно через ЕРИП заплатить с телефона.
Ничего не имею против ЕРИП - мне нравится 
Но то что данные карточек сохраняются где-либо это плохо - просто допускать к разработке неквалифицированных разрабов в области платежных сервисов это плохо.
