Để chứng minh một vấn đề đúng, bạn phải chứng minh nó đúng trong mọi trường hợp. Kẻ khác nói bạn sai, họ cần chỉ ra một trường hợp sai, đôi khi có-vẻ-sai, là đủ. Quả là cuộc chiến không cân sức. Thật dễ để hủy hoại một tâm hồn non nớt ham học hỏi bằng việc bác bỏ vô tội vạ ý kiến nó đưa ra bằng những luận điểm mơ hồ mà với trình độ non nớt nó chưa thể phản bác được.
Tôi viết ra đây kinh nghiệm mình học được từ những việc nhỏ hàng ngày tưởng chừng rành rành ra đấy, tưởng như ai cũng biết. Từ việc i++ và ++i khác nhau thế nào đến việc một lỗ hổng bảo mật "ghê gớm" có thật sự ảnh hưởng đến phần mềm tôi đang phát triển hay không? Ừ thì ai cũng biết, Java Core học qua hết rồi làm quái gì ko biết hai thằng "i" đó khác, mà khác thế nào thì...để chạy thử rồi biết! Ừ thì lỗi bảo mật đó nghiêm trọng lắm, config như thế là có nguy cơ đấy. Mà có chắc nó xảy ra ko? Ko chắc! Mà thôi, tốt nhất tránh nó ra cho an toàn! Kiểu tư duy lối mòn, lười biếng đó là thứ bạn phải đấu tranh đến cùng, tôi không khuyến khích bạn cãi bằng mồm, tôi cũng không khuyến khích hạ bệ ngươi khác bằng chút kiến thức lớn bằng..con ếch. Cái mà tôi, cũng như bạn phải đấu tranh là nỗi sợ của chính mình. Nỗi sợ bách nhục xuyên trym..à..xuyên tâm mỗi khi ai đó chỉ ra thế yếu của mình, đó là nỗi sơ ngu dốt. Ko, dốt ko có tội, nhưng cãi càn là có tội, bạn không thể chứng minh điều bạn nói là đúng thì ko dốt là gì? Hãy tìm hiểu đến tận cùng. Nỗi sợ tiếp đến là thời gian, bạn sợ mất thời gian nghiên cứu, bạn có thể bỏ 2h đôi co chứ ko chịu bỏ 30 phút google, câu trả lời luôn có sẵn đâu đó. Còn không, chính bạn phải viết câu trả lời ấy, chính bạn hãy nói cho thế giới biết vấn đề của mình, và tiếp đến là giải pháp. Còn tôi, tôi phải đi ngủ. Khuya lắc rồi. Nhớ nhé, cho cả thế giới biết..giờ này tôi ngủ rồi. bye.
P/s: BREACH Attack có thể hoá giải bằng length hiding trên enginx và bản thân ViewState của JSF đã mã hoá để tránh user modification. Có cướp được cũng ko dùng đc.