ну в случае браузера - да, тебя это спасет. но что если человеку эта форма прилетит в каком-нибудь говно-аппе-браузере, который чхал на cors?

cors разруливает сервер, просто считая от реферрала

в тоже время и браузер тоже следит чтобы ориджин не отличался

хотя тут скорее воля браузера, подчиниться или нет

так что ты прав

ну тип если ты с сервера на сервер запрос делаешь

то там всем похуй

главное чтобы в случае браузера

со стороннего сайта форма не отправилась

а если тебе в твой сайт инжектнут чего-нить? :)

со стороннего сайта форма не отправилась

это уже csrf

то что ты описал - xss

Не

смотрите изначально

что такое csrf

это когда сторонний сайт рисует форму

которая отправляется на твой урл

угу.. или даже не форму, а просто говнецо запрятал куда-то, найдя xss дырку

@cannotbe я потерялся, тебе нужно защиту от XSS навести?

просто если так, то csrf и в бой

изначально

csrf от чего придумана

и что будет если я все запросы делаю через ajax

csrf это эктра поле в форме, содержащее токен и проверяемое при отправки формы любым не GET запросом. Ajax тут средство доставки, если делаешь не гет, то и токен тебя спасет

если же ты боишься, что твой GET могут подделать и слать из жопы, то для начала наведи проверку реферрера(http://nginx.org/en/docs/http/ngx_http_referer_module.html) и CORS на вебсервере.

ну вот вопрос втом

рейтлимит в крайнем случае вонзи

достаточно ли cors чтобы защитить все то же

что защищает csrf токен

нет

cors не защищает ни от чего кроме подделки страниц пользователям

csrf защищает даже от курла

я тебе пейлоад могу сделать и курлом запихать в сервер

твой корс не почешится даже, т.к я еще и реферерр подделаю

ок

ну от курла не оч интересно защищаться

в 99м году когда браузеры писали без мыслей о защите, можно было в input file засунуть строчку и форму засабмитить

вот было весело, юзер открывает страницу, а с нее сразу сабмитится форма с его конфигами от диалапа

я тогда знатным “хакером” был ;)))

а не, 97 год

http://insecure.org/sploits/netscape.file_swipe.input.type.file.html

сейчас от XSS надежно защищает csrf

прикольно, похоже на rails for zombies что я видел лет 6 назад

прикольно, похоже на rails for zombies что я видел лет 6 назад

ну мне кажется rails for zombies повеселее были. на много...

я помню на конфе в Москве был тот парень из Envy labs

вообще я за появиления таких курсов, степень убогости не сильно волнует. Try руби помню вообще был просто реплом с базовыми вещами типа a+b=c

не. несомненно от них есть польза, для определенной аудитории

помню боярский прямо курс по ангуляру

чего там с flatlanders

удивительно, как ангуляр стал нахер никому не нужен всего за пару лет

не. несомненно от них есть польза, для определенной аудитории

мне фор фан было пройти сейчас, конечно в последнем задании я растерялся, думал надо сматчить арити, там с // и прочим

оказалось что копипейст и вперед

наверное дальше лучше

я с ним работал, все годно, но я на рубях просто брал fog.

ок, спасибо за отзыв :)

ок, спасибо за отзыв :)

но потом я все же обратно на s3 ушел, как-то мило сердцу, что засунуть туда гиг это 20 центов

у меня начальство такого мнения что сторонние сервисы не секурно :)

ну тогда все ок, мне понравился minio

я долго искал какой клон S3 - этот самое оно

сейчас у нас в конторе из-за секьюрности свой Swift

ну вот с поддержкой в эликсире беда какая-то пока, последняя версия ex_aws не хочет коннектится, в дебри не лез пока, но думаю разберусь со временем и вылью в опенсорс :)

ну мне понравился arc а он как раз с ex_aws

https://github.com/stavro/arc

годная штука :)

я https://github.com/keichan34/exfile пользовался, но мне кажется он подзагнил

в эликсире быстро эйфория слетает

и репы все мхом покрываются

ERROR: S client not available

:D

поэтому надо развивать :)

Дело времени

вспомнил что меня в arc насторожило

там какая-то проблема с памятью была

типа закачать 100 меговый файл сервер с 2 гигами оперативки не выдерживал

ну у меня задачи простые картинки грузить там не больше 2-3 метров :D

но посмотрю спасибо

(Enhancement) File streaming to S3 - Allows the uploading of large files to S3 without reading to memory first.

исправили

раньше просто весь файл в память загружался

весело :)

я после того раза всегда грепаю на File.read

было несколько раз ставил пакет, а там пиздец

качество ниже чем в npm

ну это нормально

На Elixir сложно писать сразу правильно, но пакеты какие-то нужны уже сегодня. Поэтому люди и выкладывают что получается. И то хорошо.

@ki0k1 ты кстати чем деплоишься?

edeliver

билдишь на том же сервере?

релиз копируешь локально или через скачать себе, потом на сервер?

на CI машине собираю и лью

идентичные

О, кстати кто тут

решал задачу с пропущенными n элементами

на перле

смотри

ты берешь первое число

в нем стоит номер 5

ты берешь число на пятом месте

ты получаешь 1, допустим

ты зациклился