Какого вида интроспекции не существует: ИНТРОСПЕКЦИЯ | это… Что такое ИНТРОСПЕКЦИЯ?

ИНТРОСПЕКЦИЯ | это… Что такое ИНТРОСПЕКЦИЯ?

– метод познания и психическая деятельность, направленная вовнутрь и связанная с пристальным наблюдением человека за своими собственными желаниями, чувствами, мыслями, фантазиями, переживаниями.

   С точки зрения философии, интроспеция является самонаблюдением, свидетельствующим о способности человека обращать внимание на свой собственный внутренний мир. С точки зрения психоанализа, инстроспекция не только играет важную роль в изучении нормальных и патологических процессов и выступает в качестве необходимого средства познания бессознательного, но и может обернуться патологическим проявлением чрезмерного интереса пациента к своей собственной личности.

   З. Фрейд обратил внимание на такие особые виды интроспекции, как свободное ассоциирование и анализ сопротивлений. Тем самым он освободил интроспективное наблюдение от различного рода искажений, выступающих в форме всевозможных рационализаций. Вместе с тем он показал, что интроспекция может приводить к преобладанию фантазий в жизни человека и служить питательной почвой для возникновения нарциссических неврозов.

Кроме того, в «Лекциях по введению в психоанализ» (1916/17) З. Фрейд высказал мысль, что при изучении нарциссических неврозов важно исходить из психологии Я, которая должна основываться «не на наших самонаблюдениях», а на анализе «нарушений и распадов Я».

   Проблема двойственности интроспекции (как метода познания психических процессов и как одного из возможных источников невротических заболеваний) привлекла к себе внимание ряда психоаналитиков. В частности, американский психоаналитик Х. Кохут (1913–1981) подверг пристальному рассмотрению такие формы наблюдения, как внутренняя интроспекция и викарная интроспекция, то есть эмпатия, что нашло свое отражение в его докладах, прочитанных на заседании Международной психоаналитической ассоциации в Париже и в Чикагском психоаналитическом институте в середине и конце 1957 г., и в опубликованной им статье «Интроспекция, эмпатия и психоанализ: взаимоотношения между способом наблюдения и теорией» (1959).

   Х. Кохут отметил, что в психоанализе бессознательное рассматривается в качестве психоаналитических структур не только потому, что психоаналитик подходит к нему с интроспективным намерением, но и потому, что пытается понять его в рамках интроспективного опыта. Вместе с тем он показал, что, как и любая наука, психоаналитическое познание имеет свои пределы, соответствующие интроспективному методу наблюдения, то есть границы психоанализа определяются границами возможностей интроспекции. Одновременно Х. Кохут подчеркнул, что активная интроспекция при нарциссических неврозах и пограничных состояниях приводит «к признанию борьбы неструктурированной души в целях поддержания контакта с архаическим объектом или едва заметной сепарации от него».

   В современном психоанализе проблема интроспекции рассматривается в нескольких ракурсах: в плане потенциальных возможностей и ограничений психоанализа как специфического опыта познания бессознательного, основанного на психоаналитической интроспекции; с точки зрения того, как и в какой степени аналитик интроспективно переживается пациентом в рамках архаических межличностных отношений; в контексте невротических расстройств, имеющих нарциссическую природу и связанных с тревожностью, порожденной чрезмерной интроспекцией пациента; с позиций терапевтического воздействия, направленного на ослабление патологической интроспекции и усиления нормальной способности человека к самонаблюдению.


   
* * *
(лат. «смотрение внутрь») – исследование собственного психического опыта, самоотчет о психическом содержании своего сознания. Ср. в «Герое нашего времени» М. Лермонтова – записи Печорина в своем журнале (дневнике), в частности, сделанные перед дуэлью. Ср. многие люди, ведущие дневники, делают интроспективные записи, помимо изложения событий. Ср. рефлексия, самоанализ.


* * *
(лат. introspecto — смотреть внутрь) – 1. самосозерцание, самонаблюдение. Большинство психопатологических феноменов стало известным только благодаря самоотчётам пациентов, что, с точки зрения бихевиоризма, вызывает серьёзные сомнения в научной адекватности таких описаний. Согласно результатам специальных опытов социальных психологов, ориентированных на бихевиоризм, люди в среднем гораздо чаще думают о чём-то другом или вообще ни о чём не думают, чем наблюдают за событиями своей внутренней жизни (на последнее уделяется будто бы всего около 8% времени), что может означать, что большинству участников таких экспериментов упомянутые события не представляют интереса, они бессмысленны, неприятны или хорошо известны.

В отношении интровертов указанные данные, скорее всего, сильно занижены; 2. в психоанализе – взгляд внутрь, изучение своих мыслей и чувств. Отличается от самонаблюдения тем, что интроспекция используется для обозначения тревожной или нарциссической озабоченности собой, тогда как самонаблюдение подразумевает объективное исследование самого себя.


* * *
(от лат. introspecto — смотрю внутрь), метод психологического анализа. Заключается в наблюдении собственных психических процессов, без использования каких-либо инструментов или эталонов. В качестве особого метода интроспекция была обоснована в работах Р. Декарта, который указывал на непосредственный характер познания собственной душевной жизни, и Дж. Локка, разделившего человеческий опыт на внутренний, касающийся деятельности нашего разума, и внешний, ориентированный на внешний мир. В качестве самостоятельных вариантов этого метода можно выделить интроспекцию аналитическую, систематическую и феноменологическое самонаблюдение.



* * *

(от лат. introspecto – смотрю внутрь) – синоним самонаблюдения, постепенно все реже и реже употребляется как научная категория.

Интроспекция в психологии, метод интроспекции сознания

Интроспекция – это метод сознательного самонаблюдения. Название происходит от латинского (introspecto) и означает смотреть внутрь. Интроспекция и самонаблюдение являются синонимами и оба эти методы применяются в психологических исследованиях. Важность данного метода нереально переоценить, поскольку с его помощью возможно углубленно научиться воспринимать действительность и тогда перед индивидом раскрывается его сознание и интуиция. Излишней интроспекцией обладают шизофреники, у них происходит замена реального мира собственным внутренним миром.

Метод интроспекции в психологии используется для наблюдения человеком собственных психических процессов и проводится без помощи каких-нибудь инструментов или средств, только посредством собственного сознания.

Интроспекция в психологии это основательное познание и изучение индивидом собственных мыслей, чувств, переживаний, деятельности разума, образов, установок и так далее. Метод интроспекции в психологии основал Дж. Локк.

Интроспекция – это субъективный анализ, в котором человек не стремится к самоосуждению, чем этот метод и отличается от угрызений совести.

Интроспекция в философии это способ самонаблюдения, на котором основывается ретроспективная философия для достижения рефлекторного освобождения сознания и иерархии чувств в строении личности. Слишком сильное самокопание или склонность к углубленному самоанализу могут способствовать формированию подозрительного отношения к другим личностям и ко всему окружающему миру. Дуалистическая философия разделяет материальную природу и духовную (сознание), поэтому интроспекция в философии это основа психологической методологии. Она имела огромное значение для многочисленного количества философов: Дж. Локка, Дж. Беркли, Т. Гоббса, Д. Юма, Дж. Милля и других. Все они считали сознание результатом внутреннего опыта, а наличие чувств и переживаний свидетельствовало о знаниях.

Метод интроспекции

Интроспекция и самонаблюдение очень полезны в познании человеком самого себя, своей деятельности. Метод самонаблюдения достаточно практичный, так как не нуждается в дополнительных инструментах и эталонах. Он имеет большое преимущество перед другими методами, поскольку никто и никаким другим способом не может познать человека намного лучше, чем он себя сам. Вместе с большим преимуществом имеются также недостатки, основными из которых являются субъективность и необъективность.

Интроспекция в психологии это был самый применяемый метод исследования до 19 века. Психологи того времени пользовались следующими догматами: процессы сознания невозможно познать каким-то образом извне, они могут открываться только самому субъекту наблюдения.

Методом интроспекции занимался Дж. Локк, который также выделил в процессах познания два вида: наблюдение предметов внешнего мира и рефлексию (самоанализ, направленный на переработку информации, полученной от внешнего мира).

Метод интроспекции сознания имеет определенные возможности и имеет ограничения. В процессе применения самоанализа могут возникнуть проблемы. Данным методом в достаточной мере обладают не все люди, поэтому их необходимо специально обучать методу. Восприятие и психика детей вовсе не настроены на то, чтобы исследовать самих себя таким способом.

Интроспекция сознания функционально бесполезна и ее результаты противоречивы. Самым большим минусом самоанализа является его субъективность. Причины ограничений могут быть различными. Невозможность одновременно выполнять процесс интроспекции и наблюдения за этим процессом, а можно наблюдать только затухающий процесс.

Интроспекции сложно раскрыть причинно-следственные связи из сознательной сферы. Рефлексия самонаблюдения способствует искажению или исчезновению данных сознания.

Метод интроспекции сознания может иметь отдельные независимые варианты.

Виды интроспекции: аналитический, систематический и феноменологический.

Аналитическая интроспекция в психологии это восприятие вещей посредством структурных элементарных чувств. Сторонники такого взгляда называются структуралистами. Согласно структурализму большинство предметов внешнего мира, воспринимаемых человеком, являются комбинациями ощущений.

Систематическая интроспекция является методом описания сознания, с помощью переживаемых образов и ощущений. Она отслеживает основные стадии мыслительных процессов, основываясь на ретроспективном отчете. Это метод ментального самоанализа, который требует от личности ее высокоорганизованного самонаблюдения.

Сторонники данного метода разделяют сознание на базовые процессы и их самонаблюдение. Проблемой самонаблюдения является то, что только один человек может наблюдать за открытыми ему процессами, другие не способны оценить его мысли. Самонаблюдение обращено к продуктам сознательных процессов, а не к закономерным связям.

Феноменологическая интроспекция сознания была разработана в гештальтпсихологии, она характеризуется описанием психических феноменов в их целостности и непосредственности испытуемого. Данный метод исходит из метода внутреннего восприятия, он активно использовался в описательной психологии, а потом в гуманистической психологии.

Метод интроспекции часто применяется для сбора первичных данных и проверки гипотез. Его применяют исключительно для получения данных, но не их интерпретации.

Самонаблюдение проводится за простейшими процессами психики: ощущениями, ассоциациями и представлениями. Самоотчет не нуждается во вспомогательных инструментах или целях. Во внимание берется исключительно факт самонаблюдения, который потом будет проанализирован. Об интроспекции можно сказать, как о наличии осознанного переживания и отчета о нем. Такое определение дал В. Вундт. Он считал, что непосредственный опыт человека имеет влияние на предмет психологии, тем не менее, отличал внутреннее восприятие от интроспекции. Внутреннее восприятие имеет собственную ценность и к науке его нельзя отнести.

Интроспекция в психологии

Ранее данный метод признавался не только основным, но и единственным. Такое убеждение основывалось на двух бесспорных фактах: фундаментальном свойстве сознательных процессов непосредственно репрезентироваться субъекту; закрытости этих же процессов для наблюдателя извне.

Интроспекция в психологии это метод самонаблюдения, анализа, изучения психических процессов путем индивидуального наблюдения за функционированием собственной психики. Интроспекция, как метод имеет некоторые особенности. Она может проводиться только одним человеком над самим собой, чтобы узнать, что чувствует другой человек, нужно представить самого себя на месте этого человека, увидеть себя в тех же условиях и понаблюдать за собственным состоянием, за своими реакциями и сделать выводы об ощущениях, мыслях и чувствах другого человека. Поскольку самонаблюдение это особая деятельность, она требует длительного упражнения в ней.

В методе отмечаются весомые преимущества, раньше им предавали большую ценность. Считалось, что сознание прямо отображает следственно-причинную связь в психических явлениях, поэтому положение психологии признавалось, как более легкое, в противоположность другим наукам, которым приходится еще выискивать причинные связи.

Интроспекция представляет психологические факты, как они есть, и этим психология также очень отличается от других наук.

Использование интроспекции подкреплялось суждениями об особых преимуществах данного метода. Психология в конце XIX в. осуществила большой эксперимент, проверку возможностей самонаблюдения. Во многих случаях изучались не факты сознания, как они есть в жизненных обстоятельствах, что также представляет не меньший интерес, но лабораторные эксперименты, которые проводились в требовательно контролируемых обстоятельствах и условиях.

Самые строгие интроспекционисты осложняли свои эксперименты дополнительными требованиями. Они ориентировались на выделение самых элементарных деталей сознания (ощущений и чувств). Испытуемые обязывались избегать терминов, которые описывали бы внешние объекты и говорить только о чувствах, вызывающихся этими объектами, о качестве вызванных ощущений, если звучал ответ в терминах ощущений – это ошибка стимула. По степени развития экспериментов возникали большие прогалины и трудности.

Все шло к признанию нецелесообразности такой «экспериментальной психологии». Собирались противоречивые результаты, даже у одного исследователя в работе с совершенно разными испытуемыми.

Начали ставиться под сомнение и основные положения психологии. Выявлялись такие содержания сознания, такие элементы, которые не могли раскладываться на некоторые чувства или были показаны в виде суммы этих элементов. Также систематическое использование метода интроспекции выявило нечувственные элементы сознания, и начали обнаруживаться неосознанные причины отдельных явлений сознания.

Стало получаться, так что в психологии, которая располагает таким уникальным методом интроспекции, нарастал кризис. Причиной было то, что доводы на пользу метода интроспекции только на первый взгляд выглядели верными. И возможность раздвоения сознания получается мнимой, поскольку строгое наблюдение за процессом собственной деятельности только мешает ее осуществлению или совсем даже ее разрушает. Таким же разрушительным действием обладает рефлексия.

Одновременное исполнение двух различных видов деятельностей является возможным двумя путями: скорого переключения с одного рода деятельности на другой, или в таком случае, когда одна из деятельностей является сравнительно простой или производится автоматически. Из убеждения, что интроспекция также вторая деятельность, выходит, что ее возможности очень ограничены.

Интроспекция полного акта сознания возможна, только если ее прерывать. Возможность раздвоение сознания также существует, но с некоторыми ограничениями, оно совсем невозможно при совершенной отдаче какой-то деятельности или чувствам, и, во всяком случае, вносит искажающее воздействие. Например, когда человек делает что-то и сразу наблюдает, как это выглядит. Выходит, что данные получаемые путем применения интроспекции очень неопределенные, чтобы основываться на них. Сами сторонники этого метода интроспекционисты достаточно быстро осознали это. Они замечали то, что им приходилось наблюдать не настолько протекающий процесс, как только его затухающий след.

Для того чтобы следы в памяти смогли сохранять еще более возможную полноту, необходимо раскладывать процесс наблюдаемых актов на более мелкие части. Таким образом, интроспекция со временем преобразовалась в «дробную» ретроспекцию.

Попытка с помощью данного метода выявить причинные связи в сознании ограничивается отдельными примерами произвольных действий среди массы необъяснимых фактов (мыслей, чувств) сознания. Из этого напрашивается вывод, что если бы было можно напрямую наблюдать причины психических процессов, тогда и психологией никто бы не занимался. Она была бы совершенно не нужна. Утверждение того, что как будто метод самонаблюдения демонстрирует познания о фактах сознания не искаженно, как они есть действительно, может быть совершенно неправильным в свете данных о введении интроспекции в процесс исследования. Делая по памяти даже моментальный отчет о совсем недавнем испытанном опыте, исследователь неизбежно его искажает, потому что он направляет свое внимание только на его определенные аспекты. Особенно сильно искажающим является внимание наблюдателя, знающего, чего именно он ищет. Человек обычно ориентируется по нескольким фактам, поэтому без внимания остаются другие стороны явления, которые также могут иметь большую ценность.

Таким образом, практика применения и глубокое обсуждение метода интроспекции выявили линию фундаментальных недостатков данного метода. Недостатки оказались настолько существенными, что ученые взяли под сомнение целый метод и даже вместе с этим – предмет психологии, который в то время был неразделимо связан с методом интроспекции.

Автор: Практический психолог Ведмеш Н.А.

Спикер Медико-психологического центра «ПсихоМед»

Самоанализ | GraphQL

Часто бывает полезно запросить у схемы GraphQL информацию о том, что запросы, которые он поддерживает. GraphQL позволяет нам делать это с помощью самоанализа. система!

В нашем примере со «Звездными войнами» файл starWarsIntrospection-test. ts содержит ряд запросов, демонстрирующих систему самоанализа, и представляет собой тестовый файл, который можно запустить для проверки эталонной реализации. система интроспекции.

Мы разработали систему типов, поэтому знаем, какие типы доступны, но если мы этого не сделали, мы можем запросить GraphQL, запросив __schema поле, всегда доступны в корневом типе запроса. Давайте сделаем это сейчас и спросим, ​​какие типы доступны.

Ух ты, сколько типов! Кто они такие? Давайте сгруппируем их:

  • Запрос, Персонаж, Человек, Эпизод, Дроид — Это те, которые мы определены в нашей системе типов.
  • String, Boolean — это встроенные скаляры, которые система типов предоставил.
  • __Schema, __Type, __TypeKind, __Field, __InputValue, __EnumValue, __Директива — Всем им предшествует двойной подчеркивание, указывая на то, что они являются частью системы самоанализа.

Теперь давайте попробуем выяснить, с чего начать изучение запросов. доступный. Когда мы разрабатывали нашу систему типов, мы указывали, какой тип следует использовать для всех запросов. начнется в; давайте спросим об этом систему самоанализа!

И это соответствует тому, что мы сказали в разделе о системе типов, что мы начнем с типа Query ! Обратите внимание, что имя здесь было просто по соглашению; мы могли бы назвать нашу Запрос введите что угодно else, и он все равно был бы возвращен здесь, если бы мы указали его был начальным типом для запросов. Тем не менее, назвать его Query полезно. соглашение.

Часто бывает полезно изучить один конкретный тип. Давайте посмотрим на Droid type:

Что, если мы хотим узнать больше о Droid? Например, это интерфейс или объект?

вид возвращает перечисление __TypeKind , одно из значений которого равно ОБЪЕКТ . Если мы спросили о Символ вместо этого мы бы обнаружили, что это интерфейс:

Для объекта полезно знать, какие поля доступны, так что давайте спросите систему самоанализа о Droid :

Это наши поля , которые мы определили на Droid !

id выглядит немного странно, у него нет имени для типа. Это потому что это тип «обертки» вида NON_NULL . Если бы мы запросили Типа для типа этого поля, мы найдем там тип ID , сообщая нам, что это ненулевой идентификатор.

Точно так же появляются оба друзей и . У нет имени, так как они являются СПИСОК тип обертки. Мы можем запросить ofType для тех типов, которые будут скажите нам, что это за списки.

Давайте закончим особенно полезной функцией системы самоанализа. для оснастки; давайте запросим у системы документацию!

Таким образом, мы можем получить доступ к документации о системе типов, используя самоанализ, и создавайте браузеры документации или богатые возможности IDE.

Это лишь малая часть системы самоанализа; мы можем запрос значений перечисления, какие интерфейсы реализует тип и многое другое. Мы может даже интроспекции самой системы интроспекции. Спецификация идет более подробно об этой теме в разделе «Самоанализ», а самоанализ файл в GraphQL. js содержит код, реализующий GraphQL, соответствующий спецификации. система самоанализа запросов.

Подробное руководство по самоанализу

Уязвимость GraphQL
Антуан Кароссио

• 5 мин чтения

GraphQL Introspection Banner

Вопрос о том, следует ли отключать самоанализ, часто обсуждался разработчиками GraphQL с момента его создания. В этом посте мы объясним, почему полностью отключать самоанализ не нужно и почему это может быть контрпродуктивно.

Я не могу найти веских причин для блокировки/удаления возможностей самоанализа #GraphQL по соображениям безопасности. Звучит очень похоже на «безопасность через неизвестность».

Может ли кто-нибудь придумать что-то, что не может быть лучше решено с помощью фильтров видимости и/или внесения в белый список запросов?

— Марк-Андре Жиру (@__xuorig__) 28 января 2020 г.
Марк-Андре Жиру, автор Production Ready GraphQL

Чем полезен самоанализ?

Что такое самоанализ?

Во-первых, важно понять, что такое самоанализ в GraphQL. Это возможность предоставлять метаданные о своей схеме , включая типы, поля и директивы. Это позволяет разработчикам исследовать структуру API и понимать доступные данные.

Самый простой способ узнать, открыта ли ваша интроспекция, — достать ее самостоятельно!

 curl --location 'https://example.com/graphql' \
--header 'Авторизация: носитель <токен>' \
--header 'Тип содержимого: приложение/json' \
--data '{"query":"query IntrospectionQuery { __schema { queryType { имя } MutationType { имя } subscribeType { имя } типы { ... FullType } директивы { имя описание местоположения аргументы { ... InputValue } } } } фрагмент FullType on __Type {поля описания вида (includeDeprecated: true) { аргументы описания имени { ...InputValue } type { ...TypeRef } isDeprecated deprecationReason } inputFields { . ..InputValue } interfaces { ...TypeRef } enumValues ​​(includeDeprecated : true) { описание имени isDeprecated deprecationReason } возможных типов { ...TypeRef } } фрагмент InputValue on __InputValue { тип описания имени { ...TypeRef } defaultValue } фрагмент TypeRef on __Type { вид имени ofType { вид имени ofType { вид имени ofType { имя вида ofType { имя вида ofType { имя вида ofType { имя вида ofType { имя вида } } } } } } } }","variables":{}}' \
> самоанализ.json 
Команда самоанализа curl

Важнейшая функция для повышения производительности и гибкости

Самоанализ — удобная функция для интерфейсных и клиентских разработчиков . В частности, одним из наиболее значительных преимуществ GraphQL является его способность позволять им запрашивать только те данные, которые им нужны . Самоанализ играет решающую роль в этом процессе, позволяя им обнаруживать и понимать доступные типы и поля в схеме. Отключая самоанализ, вы, по сути, лишаете себя ценного инструмента, который разработчики могут использовать для повышения своей производительности и принимают более обоснованные решения о том, как структурировать свои запросы.

Кроме того, Introspection может быть ценным инструментом для документирования API и обнаружения . Отключив его в рабочей среде, вам может потребоваться вложить дополнительные ресурсы в , поддерживая отдельную документацию и поддерживая ее в актуальном состоянии. Это может усложнить процесс обслуживания вашего API и потенциально привести к несоответствиям между фактической схемой и документацией.

Действительно ли самоанализ опасен для безопасности?

Похоже на потенциальную угрозу безопасности

Основной аргумент в пользу отключения самоанализа заключается в том, что это может представлять угрозу безопасности. Разрешив самоанализ, злоумышленники могут использовать эту информацию для организации целенаправленных атак на ваше приложение. В частности, он потенциально может открывать дополнительные точки входа, такие как скрытые или недокументированные операции, которые могут быть не такими безопасными, как остальная часть вашего приложения.

Это также может быть проблемой производительности. Когда сервер GraphQL получает запрос на самоанализ, он должен просмотреть всю схему и собрать метаданные, что может занять много времени и ресурсов.

Там, где есть воля; есть способ

В этот момент может показаться очевидным отключить самоанализ в целях безопасности. Проблема в том, что его отключение — это всего лишь «ложная хорошая идея» . Всегда есть простой способ найти вашу схему и создать вредоносные запросы к вашему GraphQL API.

Предложение поля приводит к утечке вашей схемы

Большинство движков GraphQL имеют функцию под названием Предложение поля. Когда сервер получает запрос с недопустимыми полями, он отвечает сообщением об ошибке, указывающим, что запрошенное поле не существует.

Однако это сообщение об ошибке также содержит информацию о полях с похожими именами, которые существуют в схеме. Эта функция GraphQL называется Field Suggestion .

 {
  "ошибки": [
    {
      "message": "Невозможно запросить поле \"пробел\" по типу \"Запрос\". Вы имели в виду \"экранирование\"?",
      "Места": [
        {
          "линия 1,
          "столбец": 5
        }
      ],
      "расширения": {
        "code": "GRAPHQL-VALIDATION-FAILED"
      }
    }
  ]
} 
Предложение полей в GraphQL

Этой функцией можно злоупотреблять: отправляя случайные имена полей в запросе и собирая предложения, которые серверы отправляют обратно, можно восстановить полную схему GraphQL! Это атака под названием Field Fuzzing.

Ясновидение — это операционный инструмент ns ource, созданный Никитой Ступиным и поддерживаемый Escape, который позволяет разработчикам извлекать данные интроспекции GraphQL даже при отключении с помощью Field Fuzzing .

Анализируя эти сообщения об ошибках, Ясновидение может определить структуру схемы и получить необходимые данные для самоанализа.

Полная схема GraphQL, созданная компанией Clairvoyance на конечной точке с деактивированным самоанализом

На серверах Apollo и Yoga вы можете легко отключить Field Suggestion с помощью нашего бесплатного инструмента GraphQL Armor с открытым исходным кодом.

Внешний интерфейс знает все.

Очевидно, можно воссоздать интроспекцию из трафика, генерируемого внешним интерфейсом. Это означает, что даже если вы отключите самоанализ, решительный злоумышленник все равно может получить доступ к информации о схеме, перейдя на веб-сайт вашего приложения.

Мой самоанализ включен только на стадии подготовки

Как вы думаете, сохранение открытой возможности самоанализа на стадии подготовки делает ваше производство более безопасным?

В большинстве случаев мы замечаем, что если ваша производственная конечная точка доступна на https://graphql.example.com/ , ваша промежуточная среда доступна через https://staging.graphql.example.com/ . В этом случае получить самоанализ вашей постановки не составляет труда.

Допустим, вы попытались скрыть свою промежуточную среду по случайному URL-адресу. В Escape мы разработали программное обеспечение с открытым исходным кодом для поиска любой конечной точки GraphQL, связанной с вашим основным приложением. Используя перечисление поддоменов, веб-сканирование и перебор, Goctopus может найти любую из ваших конечных точек GraphQL и узнать, включены ли для каждой из них самоанализ или предложения полей.

Мы используем Goctopus на нашей собственной платформе Escape для индексации всех открытых конечных точек GraphQL наших клиентов. Мы обнаружили, что на удивление большое количество организаций имеют открытую среду подготовки и разработки с включенным самоанализом.

На нашей платформе Escape мы индексируем все открытые конечные точки GraphQL наших клиентов с помощью Goctopus

Вывод: не жертвуйте производительностью на неизвестность

В Escape мы верим в безопасность через неизвестность, и поэтому мы советую не отключать самоанализ .

  1. Вы можете не отключать самоанализ: Полное отключение самоанализа на самом деле не делает ваш сервер более безопасным; это просто мешает разработчикам выполнять свою работу.

About the Author

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Related Posts