бери, читай

а куки шифрованные лежат, не так просто забрать

ну вот

да

там пробелы точками помечаются

но не суть

В общем, вы поняли, не буду больше спамить

Такое? Ну не такое

Если малварь на компе пользователя - проблем уже куча у него

localStorage?

localStorage?

Да

Если малварь на компе пользователя - проблем уже куча у него

ну в общем-то да если на компе есть вирь, то сильно не помочь юзеру

куки можно расшифровать

но сложно

Ну там AES

Ебаться долго будешь

ну ключ же где-то лежит)

:))

Я это всё к чему, почему бы не юзать что-то более секурное, если оно есть?

Что мешает самому шифровать localstorage если такая паранойя

ключ на сервере хранить?)

Я это всё к чему, почему бы не юзать что-то более секурное, если оно есть?

indexeddb?

Или использовать токены с малым временем свежести

Или использовать токены с малым временем свежести

рефрешить как-то придется

Что мешает самому шифровать localstorage если такая паранойя

Посмотрят клиентский код и всё

рефрешить как-то придется

Рефреш не нужен

indexeddb?

Подержка

ключ на сервере хранить?)

Ключ для шифрования кукисов так то тоже хранится на компьютере клиента

Ключ для шифрования кукисов так то тоже хранится на компьютере клиента

не факт, ну точнее там всё круче

Раньше ещё и алгоритмы своевременно выкладывали для браузеров

Алсо, вроде совсем недавно у Сафарей была дыра, что можно было файлик с компа юзера получить

Так и сторейдж можно прочитать, если сильно захотеть

Никаких тебе малварей, онли веб

Мне нравится идея access и refresh токенов, с малым временем жизни первого

Мне нравится идея access и refresh токенов, с малым временем жизни первого

Чем?

Мне нравится идея access и refresh токенов, с малым временем жизни первого

один хрен рефреш токен угнал и всё

Угнали второй , реального клиента выкинет или можно послать предупреждение украли первый - действует не долго

Угнали второй , реального клиента выкинет или можно послать предупреждение украли первый - действует не долго

как ты узнаешь, что второй токен угнали?

как ты узнаешь, что второй токен угнали?

Реальный клиент попробует получить новый access токен и у него не пооучится

При таком инцеденте можно создавать оповещения , выдавать инфу о пользователе токена и т.д.

Сбросить сессии при желании пользователя

Шанс украсть свежие токены меньше

А куки ещё всегда срут в запросах хоть картинку ты грузишь хоть аякс

А куки ещё всегда срут в запросах хоть картинку ты грузишь хоть аякс

Ну это да

Но если у тебя как у нормальных людей картинки на cdn

То не срут

Раньше были уязвимости связанные с недостаточной безопасностью отладочных инструментрв. Получил доступ к списку запросов к ресурсам, запросил картинку, получил печеньки

Обычный юзер не откроет отладочные инструменты

Обычный юзер не откроет отладочные инструменты

Были уязвимости, возможность получить доступ к заголовкам запросов юзера с твоего домена

Но это давно

Поэтому куки начали шифровать ещё и на бэке прежде чем туда класть что то важное

кто нить помнит как звучит задача с console.log() и там еще метод надо вызвать , забыл как он называет.

кстати давненько я помогал ребятам из самсунга,которые пилили тайзен платформу. так они там такое навертели что можно было написать приложения по типу фрейма, открывать любые url в фоне и собирать все данные cookie, localStorage

так что всякие разработчики новых платформ те еще дыры оставляют

tizen так и осталась неизвестной, слышал на паре холодильников запустили :D

кто нить помнит как звучит задача с console.log() и там еще метод надо вызвать , забыл как он называет.

эта? На какую функцию должна быть ссылка в f, что бы код выполнился? f('console.log("done!")');

эта? На какую функцию должна быть ссылка в f, что бы код выполнился? f('console.log("done!")');

не, но я вспомнил

не, но я вспомнил

расскажи :)

eval

Лул

eval

Зачем ты произнёс вслух, он щас на твоём компе код выполнит!

Вот так и попадаются незнающие

Зачем ты произнёс вслух, он щас на твоём компе код выполнит!

Мой комп слишком загружен телеметрией, чтобы там еще какой-то код выполнялся :)

не, но я вспомнил

какая

ERROR: S client not available

вызывать console.log().someFunc() где someFunc может быть любой метод. console.log('test').toUpperCase();

Мой комп слишком загружен телеметрией, чтобы там еще какой-то код выполнялся :)

тонко

+

Таааак. Ну я собрал инфу по Security Отличие cookie от localStorage. https://github.com/artalar/blog/blob/master/src/pages/notes.md#%D0%9E%D1%82%D0%BB%D0%B8%D1%87%D0%B8%D0%B5-cookie-%D0%BE%D1%82-localstorage

Таааак. Ну я собрал инфу по Security Отличие cookie от localStorage. https://github.com/artalar/blog/blob/master/src/pages/notes.md#%D0%9E%D1%82%D0%BB%D0%B8%D1%87%D0%B8%D0%B5-cookie-%D0%BE%D1%82-localstorage

Нормес

какие есть нормальные autocomplete для областей/республик

Таааак. Ну я собрал инфу по Security Отличие cookie от localStorage. https://github.com/artalar/blog/blob/master/src/pages/notes.md#%D0%9E%D1%82%D0%BB%D0%B8%D1%87%D0%B8%D0%B5-cookie-%D0%BE%D1%82-localstorage

блог есть?

городов и улиц

для России

какие есть нормальные autocomplete для областей/республик

Гугл

У них что-то было

блог есть?

пока не билдю

пока не билдю

я бы не стал так громко называться программистом. Программисты это серьезные дядьки, пишущие на компилируемых языках - игры, ИИ, дата сайнс, win/os приложения etc

Но у тебя все впереди!

Главное что есть стремление к саморазвитию

Если ты конечно не приврал у себя в статье)

P.S. звездульку поставил?

я бы не стал так громко называться программистом. Программисты это серьезные дядьки, пишущие на компилируемых языках - игры, ИИ, дата сайнс, win/os приложения etc

А как? HR'ы называют программистом ?‍♂️ Программист - это создатель программы. Программа - это это набор скриптов, обычно объедененных для достижения бизнес-задач. Продукты моей работы - тексты для интерпритирования машинами. Они (работы) в конечном счете вполне успешно достигают бизнес-целей. Так что даже не знаю...

я бы не стал так громко называться программистом. Программисты это серьезные дядьки, пишущие на компилируемых языках - игры, ИИ, дата сайнс, win/os приложения etc

что это было?)

А как? HR'ы называют программистом ?‍♂️ Программист - это создатель программы. Программа - это это набор скриптов, обычно объедененных для достижения бизнес-задач. Продукты моей работы - тексты для интерпритирования машинами. Они (работы) в конечном счете вполне успешно достигают бизнес-целей. Так что даже не знаю...

ну, фронтэнд и программист - это сильно сказано конечно

я бы не стал так громко называться программистом. Программисты это серьезные дядьки, пишущие на компилируемых языках - игры, ИИ, дата сайнс, win/os приложения etc

Простите, а что такое "компилируемые языки"? Что это за процесс такой, компиляция, делящий языки на два типы и заслуживающий упоминания в вашем высказывании?

ну, фронтэнд и программист - это сильно сказано конечно

Почему?

Простите, а что такое "компилируемые языки"? Что это за процесс такой, компиляция, делящий языки на два типы и заслуживающий упоминания в вашем высказывании?

не трать время, ребята представляю разработку для декстопа как нечто магическое)

Почему?

потому что в моем понимании это не настоящее программирование.

потому что в моем понимании это не настоящее программирование.

А что делает программирование настоящим?

?

А что делает программирование настоящим?

Ну вот смотри. Ваз 2107 автомобиль?

?

Погоди, мне интересно

Ну вот смотри. Ваз 2107 автомобиль?

Да

А что делает программирование настоящим?

Божье слово этого господина)

Да

А AUDI A8?

А AUDI A8?

Да