@nodejs_ru
Vladimir12.08.2016
09:19:58
09:19:58
crsf?
Igor12.08.2016
09:20:19
09:20:19
ага
Artur12.08.2016
09:20:39
09:20:39
Поэтому да, тут правильно подсказывают - генерить токены для запросов к апи.
Google
Evgeny12.08.2016
09:21:24
09:21:24
что тоже особо не поможет
Vladimir12.08.2016
09:21:34
09:21:34
в целом - никак
Igor12.08.2016
09:22:20
09:22:20
а что делать вообще? генерить страницы на сервере
или все должно через авторизацию работать
Artur12.08.2016
09:23:00
09:23:00
Ну тут комплекс мер нужен. Токены, авторизация, лимит запросов.
Alex12.08.2016
09:23:38
09:23:38
Ну если кто-то захочет, то он прикинется браузером и все все равно получит
Alex12.08.2016
09:24:14
09:24:14
это просто повысит стоимость =) Antigate 1000 запросов за 1 бакс
больше юзеров напряжет))
А вообще, зачем ограничивать-то? Какая основная идея?
Igor12.08.2016
09:25:37
09:25:37
не дать скачать данные
Alex12.08.2016
09:25:54
09:25:54
Так если их через браузер можно качать, то какая разница?)
GoogleArtur12.08.2016
09:26:03
09:26:03
Igor12.08.2016
09:26:19
09:26:19
усложнить выкачиваение контента
Artur12.08.2016
09:26:29
09:26:29
Гу да, если их можно вручную выкачать, значит их можно автоматизированно выкачать
Даешь свободный доступ к данным)
Igor12.08.2016
09:28:19
09:28:19
история такая: мы сами скачиваем повсюду контент, структурируем и на сайте показываем. заказчик не хочет чтобы эти данные попали кому то
Evgeny12.08.2016
09:28:39
09:28:39
так не давайте их никому
Igor12.08.2016
09:28:55
09:28:55
максимум что можно сделать
- рендерить на сервере
- ввести лимиты и прочее
Artur12.08.2016
09:29:15
09:29:15
максимум что можно сделать
- рендерить на сервере
- ввести лимиты и прочее
Да какая разница, ну распарсят сайт.Ну через апишку попроще будет собрать
Evgeny12.08.2016
09:29:34
09:29:34
рендерить в картинку
Artur12.08.2016
09:30:09
09:30:09
Вообще, я бы сказал, что если контент ценный и нужен людям - вводить платную подписку еще можно.
Vladimir12.08.2016
09:30:20
09:30:20
Alex12.08.2016
09:30:26
09:30:26
в JPG рендерить, так чтобы вообще пздц
Artur12.08.2016
09:30:38
09:30:38
С quality 10 )))
Igor12.08.2016
09:31:08
09:31:08
сеcсии т.е. доступ к контенту для авторизированных?
Vladimir12.08.2016
09:31:12
09:31:12
да
Evgeny12.08.2016
09:31:15
09:31:15
в видео с небольшим тремором
GoogleVladimir12.08.2016
09:31:36
09:31:36
ну в плане доступ к апи только по авторизации
логин/пароль для сторонних апи пользователей
конкретно для вашего сайта скорее всего подойдёт проверка на host и origin
Alex12.08.2016
09:34:35
09:34:35
Да это тоже сомнительная защита. Один раз авторизовавшись я смогу воткнуть Useragent, cookies, host, origin, etc. в скрипт и никто не отличит его от браузера.
Anton12.08.2016
09:55:58
09:55:58
Никакие токены и авторизации не вводить, общаться через ssh каналы.
Есть канал - есть доступ. Нет - тогда сори.
Юрий12.08.2016
09:56:54
09:56:54
Парни, а кто-нибудь пользуется минифицирование серверных исходников перед выкладыванием их в прод?
Paul12.08.2016
09:57:15
09:57:15
А зачем?
Anton12.08.2016
09:57:35
09:57:35
Чуток быстрее работает.
Чуток проверок меньше можно делать, вырезая различные конструкции при сжатии
Paul12.08.2016
09:58:22
09:58:22
Вырезать конструкции и сжатие это разные этапы
скажем, от assert-ов почистить это к минификации отношения не имеет
А повлиять сама минификация может только на скорость запуска, пока код не скомпилировался
Anton12.08.2016
09:58:56
09:58:56
Ну конкретно у нас вырезалка в улгифай встроена
マイク
Brs12.08.2016
09:59:40
09:59:40
а че тогда?
Алексей12.08.2016
10:01:12
10:01:12
Парни, а кто-нибудь пользуется минифицирование серверных исходников перед выкладыванием их в прод?
очень не рекомендую.. выйгрыш минимальный, а отлаживать это G замучаешься ( поверьте я работал с такими сумашедшими кто так делали, врагу не пожелаю )Google
Vadim12.08.2016
10:02:06
10:02:06
+1, когда в лог упадет ошибка, понять, где ее найти не будет никакой возможности
Алексей12.08.2016
10:03:17
10:03:17
+1, когда в лог упадет ошибка, понять, где ее найти не будет никакой возможности
есть souceMap - Node.js их поддерживает.. но бываю ( редко ) ситуации когда нужно именно исходник отладитьPaul12.08.2016
10:10:40
10:10:40
Ну правильно всё
Давайсте сначала минифицируем
А потом добавим сорцмапы, чтобы проблему решить
Юрий12.08.2016
10:13:44
10:13:44
Через меня пытаются продавить идею «защиты интеллектуальной собственности»™ путём обфускации исходников в продакшене. Я упираюсь всеми силами, но вот решил спросить — вдруг у кого-то был положительный опыт.
Evgeny12.08.2016
10:14:34
10:14:34
на проде минификация - добро. на беке - зло. Или вы продаете их?
Алексей12.08.2016
10:14:42
10:14:42
AdminERROR: S client not available
Vladimir12.08.2016
10:18:02
10:18:02
Через меня пытаются продавить идею «защиты интеллектуальной собственности»™ путём обфускации исходников в продакшене. Я упираюсь всеми силами, но вот решил спросить — вдруг у кого-то был положительный опыт.
Security through obscurityэто путь в никуда
это только видимость безопасности, а не безопасность на самом деле
Алексей12.08.2016
10:18:56
10:18:56
Через меня пытаются продавить идею «защиты интеллектуальной собственности»™ путём обфускации исходников в продакшене. Я упираюсь всеми силами, но вот решил спросить — вдруг у кого-то был положительный опыт.
ты им обьясни что на любой обфускатор существуте деобфускатор - причем для JS они очень легко пишустсяVladimir12.08.2016
10:19:06
10:19:06
https://en.wikipedia.org/wiki/Security_through_obscurity
предложи в ответ заказать аудит безопасности
Юрий12.08.2016
10:20:39
10:20:39
Уже :) Жду ответа от генерального.
Попутно собираю еще аргументацию, почему не надо тратить человекочасы на борьбу с ветряными мельницами )
Vladimir12.08.2016
10:21:45
10:21:45
самая сильна имплементация такой херни у авито
avito.ru
попробуйте посмотреть скрипты в дебаггере
GoogleVladimir12.08.2016
10:22:48
10:22:48
они наркоманы) только внимание привлекают
KlonD9012.08.2016
10:22:54
10:22:54
разбить коты на кучу микросеврисов сделать несолько из них фейковыми - прогонять через свою систему куча трафа
а потом анализаторами выбирать какую-то часть на которую обрабатывать
Алексей12.08.2016
10:23:21
10:23:21
попробуйте посмотреть скрипты в дебаггере
тоже тупость - простой прокси срежет всю их “гениальную” защитуKlonD9012.08.2016
10:23:28
10:23:28
пишите код хуево и даже с дебагером хрен поймут что вы хотите
KlonD9012.08.2016
10:24:54
10:24:54
вообще наймите отдельно группу разработки которая будет считать на вашем железе в ваших функцияых какую-то другую фигню типа нейросети про моряка папая или дональд дак
Юрий12.08.2016
10:26:34
10:26:34
KlonD9012.08.2016
10:27:01
10:27:01
обфускация кода это не защита вообще ни разу :о нужно играть с противником
KlonD9012.08.2016
10:28:24
10:28:24
так все равно чикуенок еще в далеком году эту историю разгадал а теперь и v8 позволяет смотреть в код который уже преобразован
Vladimir12.08.2016
10:29:17
10:29:17
какую историю?
KlonD9012.08.2016
10:29:35
10:29:35
ну типа как посмотреть преобразованный код
Vladimir12.08.2016
10:29:49
10:29:49
а что разгадывать? берешь и смотришь
KlonD9012.08.2016
10:30:11
10:30:11
ну да и обфускация ни к чем не приводит
Vladimir12.08.2016
10:30:21
10:30:21
они приводят к тому что ниего не понятно
KlonD9012.08.2016
10:30:38
10:30:38
ничего не понятно и без обфускации
Vladimir12.08.2016
10:30:52
10:30:52
смотря кто пишет)
KlonD9012.08.2016
10:31:51
10:31:51
так выпьем же за защитные названия переменных t8, t9 и t513
Ярослав12.08.2016
10:46:57
10:46:57
попробуйте посмотреть скрипты в дебаггере
https://bugs.chromium.org/p/chromium/issues/detail?id=635906
Открыть в Telegram