Как один школьник изменил интернет (и создал тысячи дыр в безопасности)

Задолго до WordPress, до Squarespace, до того как слово «no-code» вошло в обиход, жил обычный школьник. Звали его Мэтт Райт. Он просто хотел поделиться своими скриптами на Perl.

В 1995 году он запустил Matt's Script Archive — скромную подборку утилит для сайтов: контактные формы, гостевые книги, счётчики посещений и одну особенно вирусную штуку под названием WWWboard. За считанные месяцы тысячи сайтов работали на его коде. Обычные люди — те, кто понятия не имел, что такое Perl или CGI — внезапно получили работающие форумы и интерактивные функции.

Так интернет впервые попробовал демократизацию инструментов. И со всеми вытекающими последствиями.

Пропасть между разработчиками и пользователями

Популярность скриптов Мэтта объяснялась просто: они работали. Не изящно. Не безопасно. Но работали.

Райт наткнулся на фундаментальную истину: большинству людей не нужно понимать свои инструменты. Им нужно, чтобы инструменты работали на них. Владелец малого бизнеса в 1996 году не думал про валидацию ввода или защиту от SQL-инъекций. Ему было важно, чтобы посетители могли оставить сообщение на его самописном сайте.

А опытные разработчики смотрели на его код и видели кошмар. Пароли в открытых директориях. Переменные окружения в URL. Одна уязвимость в textcounter получила оценку 10.0 по шкале CVSS — это как открытая дверь на сервер для любого желающего.

Perl-сообщество ответило проектом nms — набором замен, которые не подвергали пользователей риску. Их вердикт был жёстким, но честным: «Скрипты общеизвестны как плохо написанные, багованные и небезопасные».

Парадокс безопасности популярности

Тут начинается самое интересное.

Код Мэтта был не уникально ужасным для своего времени. Много раннего веб-кода имел дыры в безопасности. Проблема была в охвате. Когда тысячи сайтов работают на одном уязвимом софте, получается огромная поверхность атаки. Теоретическая уязвимость превращается в эпидемию.

Эта история повторялась бесконечно. Windows. WordPress. jQuery. Любой достаточно популярный инструмент становится мишенью не потому что он плохо спроектирован, а потому что он везде. Работа специалистов по безопасности — не только чинить баги, но и объяснять людям, что «сойдёт для начала» может не сойти потом.

Но вот в чём напряжение: иногда «сойдёт для начала» — это именно то, что позволяет расти. Стартап на кривом раннем инструменте может построить следующий WordPress. Запретить людям строить на несовершенных инструментах — значит запретить им строить вообще.

Привет, Vibe Coding

Перемотка на тридцать лет вперёд. У нас новое поколение «достаточно хороших» инструментов: AI-платформы для кодинга, vibe-coded приложения, LLM-сниппеты, загруженные напрямую в продакшен.

Реакция сообщества уже разворачивается. Да, есть опасения насчёт кода с субтильными уязвимостями. Да, идут жаркие споры об этичности vibe coding. И да, некоторые люди точно деплоят небезопасный мусор.

Но критика упускает главное: vibe coding делает ровно то, что делали скрипты Мэтта. Позволяет не-разработчикам выпускать работающие продукты. Соло-предприниматель может за день собрать функциональный веб-инструмент. Это не мелочь — это демократизация создания.

Вопрос не в том, безопасны ли vibe-coded приложения. Часто — нет. Вопрос в том, перевешивают ли преимущества доступности недостатки в безопасности. История подсказывает: ответ сложный, но в целом положительный — при условии лучших инструментов, лучших настроек по умолчанию и лучшего образования.

История домена

Есть эпилог, который особенно важен для тех, кто видит в доменах больше, чем просто адреса.

Worldwidemart.com — домен, где когда-то хостился Matt's Script Archive — со временем освободился. Какое-то время там обитал спам и гемблинговый контент, от которых антивирусы плачут. А потом, в конце прошлого года, кто-то купил этот просроченный домен специально ради сохранения истории архива.

Кому-то было не всё равно на веб-историю. Кто-то спас кусочек прошлого от киберсквоттеров. Это стоит отметить. Домены — это не только технические активы. Это культурные артефакты. Иногда история, которую рассказывает домен, важнее его SEO-ценности.

Что это значит для вас

Итого для современных разработчиков, фаундеров стартапов и технарей:

Первое. «Достаточно хорошее» всегда двигало adoption. Не отметайте инструменты только потому, что эксперты смотрят свысока. Инструменты, которые люди реально используют, важнее инструментов, которые одобряют эксперты.

Второе. Долг по безопасности копится. Если строите на «достаточно хорошем» фундаменте, понимайте, что наследуете. Планируйте технический долг. Включайте аудит безопасности в roadmap.

Третье. Доступность и качество — не враги, но требуют баланса. Цель не в том, чтобы запретить людям строить. Цель в том, чтобы безопасное строительство было проще небезопасного. Это ответственность создателей инструментов. Платформ. Наша ответственность.

Мэтт Райт не стремился формировать интернет. Он просто выложил скрипты для тех, кому они были нужны. Иногда мирам именно этого и не хватает.

Просто, может быть, обновляйте зависимости.