какой нибуть alternative фонтом font awesome?

можно ставить куки пользователю с сервера, предварительно зашифровав их своим алгоритмом, тогда только сервер будет знать как их рассшифровать

а зачем шифровать?

Не шифровать, а подпись ставить

Не шифровать, а подпись ставить

но зачем? http only cookie + https с проверкой подлинности исключает их модификацию

Даже only могут перехватить по дороге от сервера к клиенту

И изменить

Даже only могут перехватить по дороге от сервера к клиенту

используй https никто не перехватит ничего, это исключено

Ну, без https, так делают

Ну, без https, так делают

с осени без https ты будешь маргиналом, тебя браузер будет помечать как подозрительного

https - это просто уже, это бесплатно, это обязательно, это по умолчанию

А как быть с токеном? Его надо как-то шифровать, или открытым слать?

А как быть с токеном? Его надо как-то шифровать, или открытым слать?

а ты как его шлешь и где хранишь? если в локалсторадже то надо шифровать, если в нормальных куках то не надо

а ты как его шлешь и где хранишь? если в локалсторадже то надо шифровать, если в нормальных куках то не надо

Я пока не как) на будущее хотел узнать

любой современный браузер поддерживает кучу стандартных заголовков позволяющих предельно лимитировать доступ к твоим данным даже в песоциниче браузера

а ты как его шлешь и где хранишь? если в локалсторадже то надо шифровать, если в нормальных куках то не надо

А как он шифруется?

Я пока не как) на будущее хотел узнать

это не все олдскульные пацаны одобрят, но http cookie + https сегодня - самое надежное и самое простое решение

А как он шифруется?

как хочешь так и шифруй, но учти что надежно скрыть код реализации в браузере невозможно, хотя и можно усложнить процесс если тебе нужно секреты держать на фронте, то лучше это делать с помощью замыканий (чтобы данные были видны только в нужном lexical environment) и не класть их локально нигде на хранение, тогда никто кроме тебя к ним доступа точно не получит

тогда все xss тебе похер вообще будут с точки зрения кражи чего-то

Спасибо огромное!

Кстати, твой совет по вебпаку не помог, вообщем понял что dev-server, и вебпак нужно запускать по отдельности, иначе я хз как

Когда убераешь все нативные модули, дев-сервер вообще не пускается

Но все равно спасибо, помог разобраться

Когда убераешь все нативные модули, дев-сервер вообще не пускается

вот надо разбираться почему, это уже специфика твоя

Когда убераешь все нативные модули, дев-сервер вообще не пускается

Потому что он их использует, без них не будет работать, это логично

Кстати, твой совет по вебпаку не помог, вообщем понял что dev-server, и вебпак нужно запускать по отдельности, иначе я хз как

я не использую gulp, а к вебпаку для поднятия стенда с hot-reload и прочими штуками я пишу свои обвязки всегда простые, поэтому даже хз как в конфиг дев-сервер засовать

Потому что он их использует, без них не будет работать, это логично

так их не надо паковать, они не упакаются, но они должны быть ему доступны, просто он их почему-то не видет

Там получается конфликт между дев сервером и вебпаком, один использует нативные модули, другой нет. И все в одном конфиге. Вообщем их по отдельности нужно пускать

С разными конфигами

Из чата понятно что надо делать свои курсы (

https://github.com/hola/challenge_substring_search/blob/master/submissions/Joran%20Dirk%20Greef/substring_search.js мило ❤️

https://github.com/hola/challenge_substring_search/blob/master/submissions/Joran%20Dirk%20Greef/substring_search.js мило ❤️

хаха, я с этим чуваком общался на гитхабе, один из самых странных парней что я видал вообще в ИТ

Joran?

Или который проводил ?

Или который проводил ?

с победителем, у него настолько вывернутый мозг и код что я не удивлен его победе)

Ну пока я вижу что можно было бы оптимизировать

абузит ограничение ascii dictionary ну впрочем ладно

5 | Gregg Jansen Van Vüren | 525 | 3045 | 19767 | 6 | Ken Ramela | 230 | 3346 | 7559 | странный там зачет

Ну есть ощущение что если бы сразу выделяли всю память

Ну пока я вижу что можно было бы оптимизировать

на ск ms?

то можно было бы выиграть на алокации еще

учитывая что там до 100 символов

и тогда делать бафер сравнение

Ну хз не думаю что прямо очень значительно учитывая что текст по заданию должен быть в разы больше

С другой стороны однобайтовое сравнение против двухбайтового

может тут и выиграл парень? :о

https://github.com/hola/challenge_substring_search/blob/master/submissions/Ralf%20Kistner/combined.js

ахаха

второе место в разы проще выглядит на первый взгляд

может тут и выиграл парень? :о

я немного вяну с его кода, сложно так оценить)

может ктото помочь ?

я употребляю react routes и как понял все употребляют * для него но иза этого не могу употребить другой

json

как мне быть?

я немного вяну с его кода, сложно так оценить)

не ну вроде все понятно. парень абуизит ограничение dictionary. Но не уверен что так стоит делать

есть какой то except?

ох шит курсив

есть какой то except?

у меня от шрифта exception, прочти вслух лучше

реально ( как ты с этим живешь

:D

https://github.com/hola/challenge_substring_search/blob/master/submissions/Ralf%20Kistner/combined.js сюда бы еще зависимость от длинны текста

реально ( как ты с этим живешь

вчера меня за такой вопрос хейтером назвали

сделал так но оно инфиниты loading делает

re.lastIndex = match.index + 1;

интересное решение

ERROR: S client not available

re?

Парень запускает регулярку с нового места

https://github.com/hola/challenge_substring_search/blob/master/submissions/Ralf%20Kistner/combined.js

а кто-то знает надежный способ проверить в браузере что код работает в validated https контексте? ну чтобы отсечь ситуации когда кто-то грубо встал посередине и пользователь взял и все равно принял сертификат

Именно про другой сайт или про перехват?

как проверить со страницы, что сейчас https полностью окейный

Ну так там прикол в том что есть тупо перехват

И такой не особо отследить

что на самом деле он окейный, а не юзер добавил исключение для сайта и доверился сертификату

Ну так там прикол в том что есть тупо перехват

ну кто-то MITM сделал, браузер скажет что выписан левый сертификат и так нельзя, но пользователь может забить. Вот как в таком случае сказать что я не буду работать и ему следует сделать то и то

И такой не особо отследить

есть способ, но он не очень надежный

ну кто-то MITM сделал, браузер скажет что выписан левый сертификат и так нельзя, но пользователь может забить. Вот как в таком случае сказать что я не буду работать и ему следует сделать то и то

Ну нет браузер не скажет если это сквид

Ну нет браузер не скажет если это сквид

скажет, ну брось

Это будет нормальный сертификат

корневой центр недоверенный будет

Погугли

Атаку

я хорошо знаю о чем я

можно выписать на мой домен сертификат и заставить клиента центру доверять, ровно это и хочет сделать РКН, например

но в общем случае браузер скажет что это выписал хз кто, я его не знаю

можно выписать на мой домен сертификат и заставить клиента центру доверять, ровно это и хочет сделать РКН, например

Нет. В этой атаке человек по середине просто запоминает ключи и другую информацию и читает трафик

можно выписать на мой домен сертификат и заставить клиента центру доверять, ровно это и хочет сделать РКН, например

если всех обязать доверять центру РКН тогда он будет выписыват ьсвой сертификаты на все сайты сам

Нет. В этой атаке человек по середине просто запоминает ключи и другую информацию и читает трафик

?

Нет. В этой атаке человек по середине просто запоминает ключи и другую информацию и читает трафик

MITM HTTPS возможна только с невалидным сертификатом, либо с модификацией списка корневых центров у клиента

посмотри как это делает любой MITM-отладчик, там везде самоподписанный и ему надо доверять

а открыть сайт с сертификатом на другой домен и вовсе не выйдет

Нет. В этой атаке человек по середине просто запоминает ключи и другую информацию и читает трафик

https бесполезен?

https бесполезен?

он надежен очень, если не презирать предупреждения

просто так незаметно вмешаться в трафик невозможно, клиент должен согласиться тем или иным действием

Ну там какую-то часть сети защищает. Скину атаку завтра д ко сплю

Хотя а этом чате уже обсуждали

Ну там какую-то часть сети защищает. Скину атаку завтра д ко сплю

ну скинь, если клиент аккуратный и не согласен то встать посередине невозможно