Aleksey
Ты об этом?
Aleksey
Practical security guide for web developers
https://github.com/FallibleInc/security-guide-for-developers
Vladimir
@ChALkeR а можно подробней?
Aleksey
Ребят, а sierra кто нибудь ставил?
Igor
у друга brew упала
Aleksey
У меня норм с brew.
Aleksey
Aleksey
Когда два внешних монитора часто вижу такую картинку на буке, на мониторах все норм.
Aleksey
Ну и с двумя мониторами стал как черт греться, из-за этого обороты на 6к :(
Igor
ох
Aleksey
Но опять же, не всегда. Выключаешь один монитор, он остывает.
Aleksey
Vladimir
какие пункты не такие?
Vladimir
ну насчет JWT я тоже скептичен, но без конретных претензий
Vladimir
остальное не понял
Vladimir
почитал тред, въехал, что ты имеешь в виду
Vladimir
xss нужно фильтровать на выходе, а для борьбы с SQLi не нужно вообще собирать запросы по частям
Vladimir
ну это понятно
Vladimir
в том и фишка
Vladimir
наверно нет
Vladimir
красиво
Vladimir
для меня вопрос с JWT закрыт теперь)
Vladimir
например?
Vladimir
ну все равно можно решить обычными токенами
Vladimir
но идея понятна, есть плюсы
Vladimir
вроде у S3 есть подобная схема
Aleksey
Поиском прошелся? :)
Vladimir
а какая разница кто что публикует?
Vladimir
это их проблемы
Aleksey
метеор попадает в гит, но не с папкой .meteor/local.
Aleksey
Ты про npm сейчас?
Aleksey
Ну в npm странно публиковать meteor проекты, я об этом...
Aleksey
Хм, не понял немного, meteor устанавливается как cli в систему. Сам проект метеора есть на гите, да, но там вроде нет .meteor папки :)
Aleksey
Никита, я всю ночь пил, сейчас пытаюсь работать, и общаться в чатике, извини, но я наверное выпилюсь из дискуссии :D
Aleksey
PS: https://github.com/foobarbecue/navgraph – не вижу здесь метеора.
Michael
Ахахаха
Открыл jwt.io, там прямо черным по белому советуют сохранять авторизационную печеньку в локалсторадже, а не в куках 😂
Michael
Мрак
Michael
Плюс на это ещё и RFC настрочили
Michael
Я в шоке слегка
Michael
Либо кто-то целенаправленно саботирует людей, либо я не знаю
Michael
INDUSTRY STANDARD
Michael
FIPS-compilant поди ещё
Vladimir
а для local storage нет какой нибудь защиты?
Michael
что ты подразумеваешь под защитой?
Vladimir
ну типа только скрипты с домена, который установил ключ, могут прочитать это ключ
Michael
нет конечно
Andrey
как разшарить свой профиль?
Michael
есть HttpOnly куки
Michael
Больше ничего не надо
Michael
Можно подписать и самому данные, чтобы не тащить пару сотен байт
Vladimir
https://html.spec.whatwg.org/multipage/browsers.html#concept-origin
Vladimir
вроде есть
Vladimir
стhttps://html.spec.whatwg.org/multipage/webstorage.html#dom-localstorage
Vladimir
там есть раздел про это
Vladimir
да вот непонятно
Vladimir
Thus, strictly following the origin model described in this specification is important for user security.
Vladimir
но это значит, что обертки с cdn не будут работать тоже
Vladimir
ну если доступ будет ограничен с других доменов
Vladimir
Ну да
Yuriy
Везде есть свои подводные камни, и в каждой области фокус на кардинально разных моментах. А почему такой вопрос возникает?
Anonymous
с брю проблем нет. есть проблемы с питонами
Anonymous
с первой беты не сиерре
Igor
а что за проблемы?
Anonymous
они не собираются
Michael
Кто все эти люди
andrei
¯\_(ツ)_/¯
Roman
¯\_(ツ)_/¯
Пётр
¯\_(ツ)_/¯
Максим
В какой-то конторе узнали о существовании телеграма и паблик чатов
Andrey
ой шо будет
Andrey
Раньше они думали люди голубиной почтой переписуються?
Энлов Свичблейд
¯\_(ツ)_/¯
Alexey
¯\_(ツ)_/¯
Andrey
люди писать разучились ?
Anonymous
¯\_(ツ)_/¯
Andrey
¯\_(ツ)_/¯
Maks
это же просто дичь