Anonymous
только о них )
Lev
название правда неудачное
Nikolay
гайз а к то нить на госте делал что нить?
Nikolay
как там отключить версии скриптов?
Nikolay
а то бесят и тупят
Willy
Я вот делаю мессенджер с e2ee, при первом сообщение юзеру, отправляю ему сгенерированный ключ, он хранится в localStorage..
Это вполне безопасно?=)
ixplo
скорее всего
Willy
Просто, я глядел что в е2ее должно быть 2 ключа
ixplo
Просто, я глядел что в е2ее должно быть 2 ключа
ты с e2ee разберись сначала, а то магии не получится )
ixplo
а чтобы ключ из локалстореджа не спёрли, почитай про XSS атаки и как от них защититься
Willy
Я читал, и сам проводил их, и защищался
Willy
Про е2ее читал
Willy
У меня куча проверок идет)
Willy
Помню когда я положил сервер, передав массив в параметр..
Bogdan
та не очень это безопасно. Это хранилище читается на ура локально, лучше что бы каждый раз устанавливалось безопасное соединение
Willy
Читается на ура, при наличие xss уязвимостей
Willy
Но, они исправлены
Willy
Bogdan
Сам факт того, что можно.
И если сейчас все безопасно, то это значит что уязвимость еще не найдена)
Bogdan
Кто работал с selenium webdriver - к вам вопрос.
Как на экземпляре WebDriver проверить актуально ли еще подключение? Оно выпадает время от времени по таймауту, а мне не охота в обработку ошибок добавлять условие проверки ошибки.
Sergey
Читается на ура, при наличие xss уязвимостей
Локалсторадж может прочитать любой скрипт на странице, абсолютно. Даже расширение
ixplo
А куку нельзя прочитать? )
Anton
можно коенчо же, csrf например
Sergey
А куку нельзя прочитать? )
Куку может прочитать только тот скрипт с домена которого она была установлена
ixplo
Бло, чот я не понял в этой жизни, видимо )
Sergey
Собственно это та причина по которой нет смысла юзать jwt для аутентификации браузера
ixplo
Через document cookie я не смогу получить доступ к кукам?
ixplo
Объясните плез
Aleksand
Через document cookie я не смогу получить доступ к кукам?
к простым сможешь, если сервер пометит их как http only то нет
Anton
Объясните плез
у всех решений есть достоинства и недостатки. куки уязвимы к csrf, сторадж - нет. сторадж уязвим к xss, а http-only кука нет, обычная да.
В идеале можно использовать комбинированные схемы, хттп-онли куки + токены против csrf
ixplo
?
ixplo
Я с куками плох, сорян)
Aleksand
у всех решений есть достоинства и недостатки. куки уязвимы к csrf, сторадж - нет. сторадж уязвим к xss, а http-only кука нет, обычная да.
В идеале можно использовать комбинированные схемы, хттп-онли куки + токены против csrf
зачем комбинации? сделай нормальную защиту от csrf и все
ixplo
Придётся страницу перезагружать ему в чате на каждое обновление
ixplo
Ничоси
Anton
зачем комбинации? сделай нормальную защиту от csrf и все
так дополнительный токен это и есть одна из техник защиты от csrf
Aleksand
так дополнительный токен это и есть одна из техник защиты от csrf
ну как, защититься от csfr можно соблюдая принципы REST, и ограничивая источник через referer, при грамотном подходе к данным этого хватает
Sergey
ну как, защититься от csfr можно соблюдая принципы REST, и ограничивая источник через referer, при грамотном подходе к данным этого хватает
Referrer подделать достаточно просто же
Aleksand
мы предполагаем что http only кука не воруется никак, без 0day в браузерах, конечно. ну и без дополнительных уязвимостей вынудить клиента на что-то кроме GET и HEAD не выйдет
Alexander
Во многих бойлерплейтах модели подключаются через fs. Насколько это нормально?
Aleksand
достаточно просто соблюдать гигиену и данных не менять там
Sergey
Во многих бойлерплейтах модели подключаются через fs. Насколько это нормально?
Мне не нравится, я переписываю
Alexander
Мне не нравится, я переписываю
Вот и мне тоже не нравится. Да, так можно просто создать файл, но работать же медленнее будет
Aleksand
С помощью расширений
ну что-то сомневаюсь, например User-Agent браузер точно перетрет всем выставленный
Dika
В хроме расширениями очень легко меняется и юзерагент, и реферер
Aleksand
В хроме расширениями очень легко меняется и юзерагент, и реферер
ну нет же, возьми postman и попробуй, поэтому они рекомендуют нативные приложения свои
Dika
В хроме расширениями очень легко меняется и юзерагент, и реферер
С использованием эвента onBeforeSendHeaders
https://developer.chrome.com/extensions/webRequest
Dika
https://chrome.google.com/webstore/detail/referer-control/hnkcfpcejkafcihlgbojoidoihckciin
Willy
Куку может прочитать только тот скрипт с домена которого она была установлена
Кхм-кхм, куки отправляются в запросе, а мне этого не нужно.
Sergey
Кхм-кхм, куки отправляются в запросе, а мне этого не нужно.
а локалсторадж у тебя угнать достаточно легко
Willy
Ладно, попробую куки.
Willy
Кто какие либы юзает для быстрого сжатия изображения?
O.
http://sharp.dimens.io/en/stable/performance/
Alex
А нода может вызывать хранимые функции на mssql?
Vadim
Всем привет! Никто не замечал проблему в ноде, что когда открываешь файл в append mode и вызываешь на нём write, position игнорится. Причём в доке написано, что только в Linux, но у меня и в Win 7 не работает?
Willy
Хм, лично я - нет
Willy
Отлично, спасибо