Чилл

Да

А кто то не считает ВАЗ за автомобиль, так, ведро с болтами

В общепринятом смысле - это по-прежнему машина, как и Ауди, как и Волга и любая другая "4 колесная колесница с огнедышащим сердцем"

А кто то не считает ВАЗ за автомобиль, так, ведро с болтами

А как по вашему, какой инженер более "крутой". Который может починить ваз 2107 или который может починить AUDI A8? ?

А кто то не считает ВАЗ за автомобиль, так, ведро с болтами

бро а ты в какой сфере разрабатывал?)

Зачем кормите лисью морду?

я бы не стал так громко называться программистом. Программисты это серьезные дядьки, пишущие на компилируемых языках - игры, ИИ, дата сайнс, win/os приложения etc

Такая вот попытка сегрегации внутри одной профессии по языкам, стажу или лычкам — обыкновенный снобизм и ничего более.

А как по вашему, какой инженер более "крутой". Который может починить ваз 2107 или который может починить AUDI A8? ?

Который может починить конструктивно более сложный автомобиль

Зачем кормите лисью морду?

У меня кофебрейк

У меня кофебрейк

Кофе ночью, уу

Кофе ночью, уу

Дела-дела

Такая вот попытка сегрегации внутри одной профессии по языкам, стажу или лычкам — обыкновенный снобизм и ничего более.

все это понимают

Настоящее программированное только на ассемблере !!

все это понимают

Я бы не назвал это сегрегацией, просто личное мнение + немного стереотипов. Я не понимаю почему люди обижаются на это.

фигня ассемблер, кодинг для микроконтроллеро, там вообще местами электрические цепи рисуют)

Который может починить конструктивно более сложный автомобиль

А если к конструктивно-сложному автомобилю инструменты есть, а к конструктивно не сложному инструментов нет? ?

А если к конструктивно-сложному автомобилю инструменты есть, а к конструктивно не сложному инструментов нет? ?

но их же всегда можно достать... Какой программист круче, то кто может плагин написать на Python, или написать нейросеть, играющую в ГТА 5?

но их же всегда можно достать... Какой программист круче, то кто может плагин написать на Python, или написать нейросеть, играющую в ГТА 5?

А если санкции? :-)

А если санкции? :-)

Тогда есть 2 варианта 1. Митинговать и добиваться отмены санкций 2. Изменить ореол обитания

Я считаю что хороший программист - это человек с сильными аналитическими способностями и знанием какого-либо инструмента программирования, для реализации своих способностей...

Я считаю что хороший программист - это человек с сильными аналитическими способностями и знанием какого-либо инструмента программирования, для реализации своих способностей...

Я бы добавил, что не только аналитическими, но и креативными

Вообще "программист" странное слово. Это как "лопатокопатель" среди разнорабочих. Мне нравится более общее слово инженер.

Я бы добавил, что не только аналитическими, но и креативными

О да, хорошее замечание.

но их же всегда можно достать... Какой программист круче, то кто может плагин написать на Python, или написать нейросеть, играющую в ГТА 5?

Дело ведь не в "кто круче", а в профессии

Таааак. Ну я собрал инфу по Security Отличие cookie от localStorage. https://github.com/artalar/blog/blob/master/src/pages/notes.md#%D0%9E%D1%82%D0%BB%D0%B8%D1%87%D0%B8%D0%B5-cookie-%D0%BE%D1%82-localstorage

забыл указать что сторонние js скрипты которые подключаешь на своем сайте имеют доступ к твоему localStorage )

забыл указать что сторонние js скрипты которые подключаешь на своем сайте имеют доступ к твоему localStorage )

Ну "доступ из JS" - это "любого JS" ?‍♂️ Там по всем пунктам можно развернуть ответ. Это пока шпаргалочка, потом, может, статейку напишу

Вообще "программист" странное слово. Это как "лопатокопатель" среди разнорабочих. Мне нравится более общее слово инженер.

Инженер это да, а следующая стадия - архитектор?

Инженер это да, а следующая стадия - архитектор?

Проблема в том, что архитектор не всегда на 100% инженер

Вообще "программист" странное слово. Это как "лопатокопатель" среди разнорабочих. Мне нравится более общее слово инженер.

+++

Часто инженеры архитекторов видят слишком "розово". Сам таким был

Проблема в том, что архитектор не всегда на 100% инженер

Инженеры - сотрудники, реализующие задумки архитекторов / конструкторов и т.д.

Инженеры - сотрудники, реализующие задумки архитекторов / конструкторов и т.д.

Все верно - это разные люди

То есть высшая стадия - "архитектор". То есть тот, с чего все начинается. Так?

Начинается все с бизнеса ?

Но архитектор, конечно, выше инженера

Начинается все с бизнеса ?

с постановки задачи им, не всегда конечно инициатива оттуда, но зачастую

Проблема в том, что архитектор не всегда на 100% инженер

"Проблема" - это я к тому, что кто-топо натуре инженерм и ему, тогда, не надо в архитекторы

"Проблема" - это я к тому, что кто-топо натуре инженерм и ему, тогда, не надо в архитекторы

Плох тот казак что не хочет стать.... Да?

Плох тот казак что не хочет стать.... Да?

нет

Психология людей не совсем такова.

Психология людей не совсем такова.

Она разная, как и люди. поэтому для кого-то ответ: "Да", для тебя - "Нет", для меня - "Не все так однозначно"

блог есть?

А на твой где ссылка, только что была >_>

Она разная, как и люди. поэтому для кого-то ответ: "Да", для тебя - "Нет", для меня - "Не все так однозначно"

+ ?‍♂️

Тогда главное, не то кем тебя считают другие, а то, кем ты себя считаешь, и кем ощущаешь себя, да?

Ну "доступ из JS" - это "любого JS" ?‍♂️ Там по всем пунктам можно развернуть ответ. Это пока шпаргалочка, потом, может, статейку напишу

к кукам еще CSRF можно приписать

к кукам еще CSRF можно приписать

А, что это?

Тогда главное, не то кем тебя считают другие, а то, кем ты себя считаешь, и кем ощущаешь себя, да?

Если думать только о себе - да ?

к кукам еще CSRF можно приписать

А, понял

Если думать только о себе - да ?

ну нет же, ты потерял контекст. Ты ответил, что казак не мечтающий стать атаманом совсем не плох, а другая часть людей, скажет что плох. Но казаку то какое дело, что скажут люди, да? Никакого ведь не должно быть?

Вы бы не могли обсудить вопросы не связанные с реактом в лс обсудить, парни ? Тут почти 5к людей.

Вы бы не могли обсудить вопросы не связанные с реактом в лс обсудить, парни ? Тут почти 5к людей.

ночь уже, все спят ?

сори

А, понял

то есть если выбираешь вебсторадж то защищаешься от xss, если куки то от csrf)

Вы бы не могли обсудить вопросы не связанные с реактом в лс обсудить, парни ? Тут почти 5к людей.

Ежели, кто-либо из паддаванов изъявит желание в помощи, мы тот час же предоставим ее.

Не гневайся

то есть если выбираешь вебсторадж то защищаешься от xss, если куки то от csrf)

поэтому надо по старинке, на листик пароли записывать, и под подушку!

Коллеги, а сторонний скрипт как-то может прочитать мои запросы? Ну банальное window.fetch = ... Да?

Коллеги, а сторонний скрипт как-то может прочитать мои запросы? Ну банальное window.fetch = ... Да?

Через расширение - да. Но не все запросы

имхо лучше от csrf защищаться)

чем надеяться что защитился от xss )))

то есть если выбираешь вебсторадж то защищаешься от xss, если куки то от csrf)

Не понял как csrf коррелируется с кукой или локалстораджем. Механизмы защиты,В данном случае, везде одинаковые. А дырявые, по умолчанию, обе технологии

куку ты можешь от xss защитить с http only и останется только от csrf защищаться

а токен в вебсторадже ты не защитишь)

Коллеги, а сторонний скрипт как-то может прочитать мои запросы? Ну банальное window.fetch = ... Да?

Ну там в нетворке будет видно, что дублируются запросы

куку ты можешь от xss защитить с http only и останется только от csrf защищаться

Но http only даёт очень мало гибкости

Но http only даёт очень мало гибкости

для хранения токена и аутентификации какая гибкость нужна?)

Как защищаться от csrf, если фронт и апи разделены?

ERROR: S client not available

Как защищаться от csrf, если фронт и апи разделены?

cors?

да как и всегда)

Определенный домен вписываешь от которого можно получать запрос и все

ну и не обязательно топить за куки если у тебя например нет левых подключаемых скриптов а защиту от xss тебе обеспечивает реакт санитизацией вывода

ну и не обязательно топить за куки если у тебя например нет левых подключаемых скриптов а защиту от xss тебе обеспечивает реакт санитизацией вывода

Я топлю за куки потому что они на диске хранятся в зашифрованном виде))

это тоже клиентсайд хранилище

они передаются с запросами

ну и не обязательно топить за куки если у тебя например нет левых подключаемых скриптов а защиту от xss тебе обеспечивает реакт санитизацией вывода

npm это левые подключаемые скрипты)

кстати да)

это тоже клиентсайд хранилище

Да, но именно физически на диске они лежат зашифрованные

А локалсторейдж нет

а, не вдавался

Собственно, с чего тред и начали)

интересно спасибо)

npm это левые подключаемые скрипты)

И у их ментейнеров слабые пароли

И у их ментейнеров слабые пароли

Где-то была статья, как чувак написал маленький полезный модуль, который заимело в зависимостях куча народу

И скачиваний получилось овердохуя

плохо что оно пакуется локально и паблишится в нпм отдельно от системы контроля версий )

в гите одно, запаблишено другое

Вроде если у тебя Кука летает с id сессии как httponly а токен ты получил на авторизации и хранишь где угодно в принципе, только с привязкой к домену, локал или сесшн сторадж и шлёшь его потом в хедерах всех запросов, то система получается не ломаемая

Вроде если у тебя Кука летает с id сессии как httponly а токен ты получил на авторизации и хранишь где угодно в принципе, только с привязкой к домену, локал или сесшн сторадж и шлёшь его потом в хедерах всех запросов, то система получается не ломаемая

xss дает пизды, если ты хоть как-то в джаваскрипте получаешь куку

Содержимое условного токена

Токен нужен в js сайта, его не нужно шифровать, он без зашифрованного httponly id сессии ничегл не даст

зачем тебе тогда токен

у тебя id сессии с каждым запросом бегает

+

Cross-site request forgery

Кароче, csrf и xss не важно - куки или локалСторадж, если только куки не хттпОнли, так?

Кароче, csrf и xss не важно - куки или локалСторадж, если только куки не хттпОнли, так?

Да

Вернее, нет

Csrf предполает вызов с другого домена