@nodejs_ru

Страница 657 из 2748
 
Pier
16.03.2017
11:46:48
Данные по GET не изменяются вообще
можно POST делать же

 
Vladimir
16.03.2017
11:46:54
Данные по GET не изменяются вообще
да, можно

 
Pier
16.03.2017
11:47:04
через автосабмит формы

 
Vladimir
16.03.2017
11:47:21
да, это то ещё веселье

Google
 
Artur
16.03.2017
11:47:26
jwt спасает от csrf?

 
oauth2 спасает от csrf?

 
Vladimir
16.03.2017
11:47:47
oauth2 не спасёт

 
Pier
16.03.2017
11:47:47
все что не в куках спасет

 
Vladimir
16.03.2017
11:47:52
jwt хуй знает

 
если оно в куках не спасёт

 
Pier
16.03.2017
11:48:04
куки в 2017 вообще не понимаю зачем нужны

 
Vladimir
16.03.2017
11:48:18
браузеры их автоматически в запросы к твоим доменам добавляют

 
Вот я сделал так: на запрос аутентификации проверяю логин + пасс, в ответ генерирую токен, кладу его в БД с привязкой к пользователю и отвечаю с заголовком set-cookie httpOnly, В остальных запросах проверяю что в куке, иду в БД, если нахожу токен то считаем что пользователь, привязанный к токену - это наш чувак. Если предположить, что запросы идут только через https, какие недостатки?
прочитай мануалы от овасп, что я дал

 
Artur
16.03.2017
11:48:54
Окей, если мы токен положим в локалсторейдж, то расширение к хрому вполне может его утянуть

 
Vladimir
16.03.2017
11:49:21
Окей, если мы токен положим в локалсторейдж, то расширение к хрому вполне может его утянуть
его можно хранить в памяти твоего спа

 
Artur
16.03.2017
11:49:21
прочитай мануалы от овасп, что я дал
окай

 
Vladimir
16.03.2017
11:49:30
и не хранть в локалсторадже

Google
 
Artur
16.03.2017
11:49:37
его можно хранить в памяти твоего спа
Да, но тогда на каждый F5 придётся логиниться

 
Vladimir
16.03.2017
11:49:51
да

 
vitaliy
16.03.2017
11:49:58
CSRF
делают защиту с помощью токена

 
Vladimir
16.03.2017
11:50:09
допускание того, что компьютер скомпрометирован

 
ты ничего не можешь сделать

 
Pier
16.03.2017
11:50:17
Окей, если мы токен положим в локалсторейдж, то расширение к хрому вполне может его утянуть
расширение к хрому что угодно может делать

 
Artur
16.03.2017
11:50:29
Ну или хитрожопо поступать - при запуске спа ходить на один единственный урл который по куке выдаёт временный токен для спа, а во всех остальных местах проверять его

 
Vladimir
16.03.2017
11:50:33
против кейлогеров ты не защитишь свой сайт

 
Artur
16.03.2017
11:50:58
допускание того, что компьютер скомпрометирован
Ну, httpOnly кука недоступна жабаскрипту

 
Pier
16.03.2017
11:51:01
делают защиту с помощью токена
зачем если можнл изначально токен другим заголовком передавать?

 
Ну, httpOnly кука недоступна жабаскрипту
доступны любые действия с этой кукой зато

 
vitaliy
16.03.2017
11:52:00
зачем если можнл изначально токен другим заголовком передавать?
другой токен а не авторизации

 
Pier
16.03.2017
11:54:25
Окей, если мы токен положим в локалсторейдж, то расширение к хрому вполне может его утянуть
хм, тогда можно генерировать два токена: один в куку httpOnly, второй в локалсторейдж и передавать в отдельном хедере. В таком случае, пользователь защищен от CSRF (потому что тогда передастся только 1 токен из куки, а второй нет) и от кражи токена из локалсторейджа расширением.

 
vitaliy
16.03.2017
11:55:02
запросы подписывать надо и все

 
Pier
16.03.2017
11:55:16
запросы подписывать надо и все
ключ где хранить?

 
vitaliy
16.03.2017
11:57:14
все хранится в куки, каждый запрос подписывается токен (созданным по правилам), при каждом запросе этот токе проверяется

 
Vladimir
16.03.2017
11:57:18
Ну, httpOnly кука недоступна жабаскрипту
форму без джаваскрипта можно засабмитить

 
vitaliy
16.03.2017
11:57:50
все хранится в куки, каждый запрос подписывается токен (созданным по правилам), при каждом запросе этот токе проверяется
про этом много написано, можно выбрать решение по душе

 
Pier
16.03.2017
11:58:28
все хранится в куки, каждый запрос подписывается токен (созданным по правилам), при каждом запросе этот токе проверяется
выглядит переусложненно

 
какие профиты от такой схемы?

Google
 
Artur
16.03.2017
11:58:49
форму без джаваскрипта можно засабмитить
Проверять на сервере и куку, и заголовок который js выставил.

 
Как @krkma предложил

 
vitaliy
16.03.2017
11:59:22
какие профиты от такой схемы?
защита от CSRF (да и вообще) это вполне стандартное решение, используют почти все

 
Vladimir
16.03.2017
11:59:51
овасп всё рассказывает

 
Pier
16.03.2017
12:00:17
защита от CSRF (да и вообще) это вполне стандартное решение, используют почти все
проблема с CSRF решается любым кастомным заголовком, не понимаю для чего тут подписи и прочий оверинженеринг

 
Котяй Негодяй
16.03.2017
12:05:34
То есть, в случае с однооконным приложением, помимо рефреш токена и рабочего токена, для защиты от CSRF нужно хранить в куках ещё и третий токен-подпись? Не совсем понял вас. Что, если бэкенд, в принципе не читает куки у клиента напрямую? Что мешает использовать рабочий токен так же, как и подпись?

 
Славик
16.03.2017
12:06:36
скоро пятница

 
надо размяться

 
нода многопоточна

 
Vadim
16.03.2017
12:08:11
нода многопоточна
это надо в erlang чат вбрасывать, не сюда

 
Славик
16.03.2017
12:08:24
дай ссылку

 
Vadim
16.03.2017
12:08:41
дай ссылку
не имею

 
Славик
16.03.2017
12:09:05
остается довольствоваться тем, что есть

 
vitaliy
16.03.2017
12:10:41
проблема с CSRF решается любым кастомным заголовком, не понимаю для чего тут подписи и прочий оверинженеринг
смотря насколько хочется защититься)

 
Artur
16.03.2017
12:15:17
нода многопоточна
Js код нет

 
Славик
16.03.2017
12:18:50
да ладно

 
setInterval(function() { //thread code }, 1000);

 
Сергей
16.03.2017
12:22:21
нода многопоточна
Опять вбрасываешь?

 
setInterval(function() { //thread code }, 1000);
Прекращай уже. Глупо выглядит

 
Славик
16.03.2017
12:23:26
ну вот что ты сразу

Google
 
Славик
16.03.2017
12:23:29
нормально же общались

 
Alexei
16.03.2017
12:24:59
http://itchallenges.me

 
Михаил
16.03.2017
12:41:56
Господа, как вы пишете на js и живете с этим? Я тоже так хочу. )) По этому поводу есть пара вопросов: 1. Есть ли возможность убрать ассинхронность у функций mysql и писать человеческий код, а не гору вложенных функций. 2. Есть ли макросы или тому подобное, чем можно заменить гору кода на одну функцию? Пятьдесят повторяющихся блоков кода это зло, исправлять это зло - зло в квадрате.

 
Sergey
16.03.2017
12:42:41
Господа, как вы пишете на js и живете с этим? Я тоже так хочу. )) По этому поводу есть пара вопросов: 1. Есть ли возможность убрать ассинхронность у функций mysql и писать человеческий код, а не гору вложенных функций. 2. Есть ли макросы или тому подобное, чем можно заменить гору кода на одну функцию? Пятьдесят повторяющихся блоков кода это зло, исправлять это зло - зло в квадрате.
я понимаю твою боль :D

 
я люблю грин дей
16.03.2017
12:42:55
Господа, как вы пишете на js и живете с этим? Я тоже так хочу. )) По этому поводу есть пара вопросов: 1. Есть ли возможность убрать ассинхронность у функций mysql и писать человеческий код, а не гору вложенных функций. 2. Есть ли макросы или тому подобное, чем можно заменить гору кода на одну функцию? Пятьдесят повторяющихся блоков кода это зло, исправлять это зло - зло в квадрате.
1. Для библиотек, использующих промисы щас есть async await

 
Сергей
16.03.2017
12:42:56
Господа, как вы пишете на js и живете с этим? Я тоже так хочу. )) По этому поводу есть пара вопросов: 1. Есть ли возможность убрать ассинхронность у функций mysql и писать человеческий код, а не гору вложенных функций. 2. Есть ли макросы или тому подобное, чем можно заменить гору кода на одну функцию? Пятьдесят повторяющихся блоков кода это зло, исправлять это зло - зло в квадрате.
найди драйвер с промисами и пиши async/await

 
Artur
16.03.2017
12:43:06
Господа, как вы пишете на js и живете с этим? Я тоже так хочу. )) По этому поводу есть пара вопросов: 1. Есть ли возможность убрать ассинхронность у функций mysql и писать человеческий код, а не гору вложенных функций. 2. Есть ли макросы или тому подобное, чем можно заменить гору кода на одну функцию? Пятьдесят повторяющихся блоков кода это зло, исправлять это зло - зло в квадрате.
async/await

 
Сергей
16.03.2017
12:43:25
Господа, как вы пишете на js и живете с этим? Я тоже так хочу. )) По этому поводу есть пара вопросов: 1. Есть ли возможность убрать ассинхронность у функций mysql и писать человеческий код, а не гору вложенных функций. 2. Есть ли макросы или тому подобное, чем можно заменить гору кода на одну функцию? Пятьдесят повторяющихся блоков кода это зло, исправлять это зло - зло в квадрате.
напиши функцию которая заинкапсулирует твой повторяющийся блок кода макросы — зло

Admin
ERROR: S client not available

 
я люблю грин дей
16.03.2017
12:43:55
1. Для библиотек, использующих промисы щас есть async await
если либа не юзает промисы, ищи обертку. Но мне всегда казалось зашкваром

 
Сергей
16.03.2017
12:44:54
если либа не юзает промисы, ищи обертку. Но мне всегда казалось зашкваром
есть promisify

 
я люблю грин дей
16.03.2017
12:45:14
есть promisify
погуглю, спасибо

 
есть promisify


 
Сергей
16.03.2017
12:48:18
npmjs.com/promisify

 
Михаил
16.03.2017
12:49:13
А в sqlPool.getConnection(function(err, sqlcon){ sqlcon.release(); } обязательно вызывать sqlcon.release(); ? Или он сам может определить, что больше не нужен и вызвать соответствующую функцию?

 
Pier
16.03.2017
12:49:28
Господа, как вы пишете на js и живете с этим? Я тоже так хочу. )) По этому поводу есть пара вопросов: 1. Есть ли возможность убрать ассинхронность у функций mysql и писать человеческий код, а не гору вложенных функций. 2. Есть ли макросы или тому подобное, чем можно заменить гору кода на одну функцию? Пятьдесят повторяющихся блоков кода это зло, исправлять это зло - зло в квадрате.
1. async/await 2. что мешает выносить повторяющийся код в функцию?

 
Vadim
16.03.2017
12:51:11
Господа, как вы пишете на js и живете с этим? Я тоже так хочу. )) По этому поводу есть пара вопросов: 1. Есть ли возможность убрать ассинхронность у функций mysql и писать человеческий код, а не гору вложенных функций. 2. Есть ли макросы или тому подобное, чем можно заменить гору кода на одну функцию? Пятьдесят повторяющихся блоков кода это зло, исправлять это зло - зло в квадрате.
либа mysql2 имеет встроенную поддержку промисов, с ней можно писать с async/await из коробки

 
Котяй Негодяй
16.03.2017
12:51:13
async/await
Нет сначала пусть курит промисы. А потом уже это. А то потом ещё больше вопросов будет.

 
Pier
16.03.2017
12:52:25
Нет сначала пусть курит промисы. А потом уже это. А то потом ещё больше вопросов будет.
тогда он докурится до того, что сможет писать нормальный код просто на промайсах без всяких await, а значит фича языка останется незаюзанной!

 
Михаил
16.03.2017
12:56:06
Промисы уже скурил. Выкинул нафик, вызываю одну функцию. Кстати, еще вопрос. Есть функция. Ее надо вызвать при выходе из функции. Как сделать, чтобы она вызвалась сама?

Google
 
Котяй Негодяй
16.03.2017
12:57:17
Промисы уже скурил. Выкинул нафик, вызываю одну функцию. Кстати, еще вопрос. Есть функция. Ее надо вызвать при выходе из функции. Как сделать, чтобы она вызвалась сама?
Вызвать её.

 
Промисы уже скурил. Выкинул нафик, вызываю одну функцию. Кстати, еще вопрос. Есть функция. Ее надо вызвать при выходе из функции. Как сделать, чтобы она вызвалась сама?
Объясни конкретнее.

 
Pier
16.03.2017
12:57:55
Промисы уже скурил. Выкинул нафик, вызываю одну функцию. Кстати, еще вопрос. Есть функция. Ее надо вызвать при выходе из функции. Как сделать, чтобы она вызвалась сама?
промайсами)

 
Михаил
16.03.2017
12:58:13
Вызвать её.
Лень. Нужно вызывать в разных местах. Можно забыть.

 
Eugene
16.03.2017
12:58:20
напиши фукнцию которая принимает функцию как параметр и выполняет ее, а потом уже нужную тебе функцию

 
Михаил
16.03.2017
13:01:19
Объясни конкретнее.
Деструкторы в js есть? Которые должны вызываться при выходе из функции.

 
Pier
16.03.2017
13:02:50
выход == уничтожение объекта?

 
Котяй Негодяй
16.03.2017
13:06:12
Деструкторы в js есть? Которые должны вызываться при выходе из функции.
Нет.

 
Деструкторы в js есть? Которые должны вызываться при выходе из функции.
Декоратор, в данном случае, — самое то.

 
Artur
16.03.2017
13:23:23
Деструкторов прям очень не хватает

 
Для объектов

 
Михаил
16.03.2017
13:27:48
Деструкторов прям очень не хватает
И ни в каком виде их нет? Это казалось бы базовый функционал, который просто обязан быть. Может есть деструкторы не для объектов?

 
Artur
16.03.2017
13:28:09
Нету. Нельзя отследить когда объект был собран GC

 
Victoria
16.03.2017
13:28:30


 
Электрон #ненужен.

 
Дружу Ноду с WPF в порядке опыта.

 
Сергей
16.03.2017
13:35:40
Есть жи чатег по электрону @electron_ru

 
Victoria
16.03.2017
13:36:51
Так он тоже не нужен.

 
Есть же WPF .-.

 
Vladimir
16.03.2017
13:37:59
Нету. Нельзя отследить когда объект был собран GC
ручная память ненужна

Страница 657 из 2748