класс

угадать и создать

и заманить пользователя

думаю уязвимость какая-нибудь есть, что бы браузеру послать несуществующий домен

что за прикол со слешем ищет в базе \app\model\object инсертит app\model\object

слишком это все странно работает, в локальные хранилища больше веры

куки - это не хранилище

Мне нужно исключить любой доступ к клиентским данным

куки - это не хранилище

но данные можно записывать и получать

Мне нужно исключить любой доступ к клиентским данным

это невозможно)

сервер может с легкостью куки получить

ТАк это ж куки. не храни данные в куки и все

а как же localstorage

Мне нужно исключить любой доступ к клиентским данным

пиши их на сервер, кек

Нет

Наоборот нужно на клиенте записывать

причем так, что бы сервер не знал

а как же localstorage

не заблокирует комп юзер, другой подойдет к компу, зайдет на твой сайт и через консоль из локалстораджа вытащит данные, т.е. Мне нужно исключить любой доступ к клиентским данным уже не выполнится

тогда изобретай шифрованный аналог localStorage, который работает везде :D

не заблокирует комп юзер, другой подойдет к компу, зайдет на твой сайт и через консоль из локалстораджа вытащит данные, т.е. Мне нужно исключить любой доступ к клиентским данным уже не выполнится

ну кроме физического вмешательства, само собой

LS реально везде почти работает, возьму его

Владимир, спасибо за наводку ?

Indexed Database API Web SQL Database sessionStorage localStorage в зависимости от поддержки)

LS реально везде почти работает, возьму его

а потом другой скрипт запустится в том же браузере и прочитает localStorage :3

а потом другой скрипт запустится в том же браузере и прочитает localStorage :3

Однако у LS есть плюсы перед кукисами

ест каэшн

но он не решает твоей проблемы

Решает

"думаю уязвимость какая-нибудь есть, что бы браузеру послать несуществующий домен"

работает как куки, но нельзя ставить\читать с сервера

то что мне и нужно

гм

"запустится другой скрипт"

под сервером я подразумеваю серверный код

там привязка к домену

и поставит ипрочитает тебе все что угодно :3

да, я пожертвую возможностью эксплойта, но она мала

особенно учитывая, что я сам ее придумал

А для чего вообще планируется использовать LS?

для E2E шифрования

@F01134H вон видишь, уже есть человек, который хочет поменить твой домен :3

Мне в общем то пофиг, главное реализация

это для портфолио

куки - это не хранилище

а что?

ну он куки рассматривает как некую БД

что есть извращение, как на мой взгляд

а в чем проблема

база данных и есть

Cookie (куки) — это небольшие текстовые файлы, в которые браузер записывает данные с посещенных вами сайтов. Файлы cookie позволяют сайтам «запоминать» своих посетителей, например, чтобы каждый раз не переспрашивать их логин и пароль

ну он куки рассматривает как некую БД

куки можно рассматривать как Berkeley db у клиента

лучше локалсторадж рассмтривать как берклидб

ну я и рассмотрел

ну local storage только для клиента, а куки сервер может без проблем читать

а ему не надо, чтобы сервер читал

ему как раз надо, чтобы не мог читать

тогда только клиентское приложение

сервер всегда может послать запрос, который прочитает localstorage и вернет серверу

ну вот я тоже самое говорил

а он не слушает :3

сервер всегда может послать запрос, который прочитает localstorage и вернет серверу

т.е. js код прочитает, а потом вернет серверу?

или о чем ты

т.е. js код прочитает, а потом вернет серверу?

да

или flash

или java

и как он прочитает, если не будет соответствующего js кода?

почему его не будет?

ну смотри, юзер спокойно может весь js код в документе посмотреть

и определить, отправляет он что то из локального хранилища, или нет

ERROR: S client not available

т.е. определить, не наебываю ли я его где то

ты про debug панель?

я про весь документ в целом

все что доступно из браузера

по умолчанию ни один браузер такого не предоставляет, это у тебя будет кастомный клиент

Т.е. без взаимодействия с внешним js кодом, данные из LS получить нельзя, да?

по умолчанию ни один браузер такого не предоставляет, это у тебя будет кастомный клиент

любой js код, отправленный с сервера, можно посмотреть

я про определение отправления из локального хранилища

короче проехали

любой js код, отправленный с сервера, можно посмотреть

а там обфускация :3

чисто с сервера localstorage никак не взять

и данные из LS без js получить можно

или вообще, загрузчик из Jpg

и данные из LS без js получить можно

как

java applet скачает без проблем

или вообще, загрузчик из Jpg

это уже вопрос доверия разработчику, меня он не волнует

или владельцу домена

кому угодно, мне пофиг

я делаю для портфолио

java applet скачает без проблем

есть хоть какая-то возможность сохранить данные без доступа с сервера?

хотя

что то мне подсказывает

что java апплет это пздц палево

потому что браузеры разрешения спрашивают

такое же палево, как отправка с js

потому что браузеры разрешения спрашивают

только у не подписанных

мм, все браузеры не подписаны по умолчанию

в любом случае, я могу добавить приписку "проверьте, что у вас флаг на java выставлен в false"

спрашивают у не подписанных java applet

ну

а браузеры по умолчанию не исполняют java applet, разрешение нужно полюбому

если юзер до этого врубил - его проблемы