Это если после поиска нужно будет чет вырезать

На всякий случай, грепать можно без ката

Ну и less или vim нормально справляются с большими файлами, если нужно глазами пройтись

Ну и less или vim нормально справляются с большими файлами, если нужно глазами пройтись

глазами пройтись по 500 мб логов не справлюсь уже я :D

Спасибо за годное чтиво, каждый вечер читаю 1 ке сообщений)

Спасибо за годное чтиво, каждый вечер читаю 1 ке сообщений)

включи уведомления на тел))))

Ну и less или vim нормально справляются с большими файлами, если нужно глазами пройтись

Файлов сразу несколько. :)

50 файлов по 500 мб.

Файлов сразу несколько. :)

да прибудет с тобой сила cat и стримов

cat log1 log2 log3 | less

Вышел Kotlin/Native 0.6 Из интересного: - K/N теперь можно использовать в мультиплатформенных проектах; - улучшен Objective-C/Kotlin интероп; - можно писать под STM32!; - поддержка Kotlin 1.2.20, Gradle 4.5 и Java 9; - размер бинарников для wasm уменьшен; - обновили плагин для CLion 2018.1. https://blog.jetbrains.com/kotlin/2018/02/kotlinnative-v0-6-is-here/?utm_source=dailykotlin_tl

и все же надо будет попробовать написать экстеншен к пхп на котлин нейтив

было б забавно

cat log1 log2 log3 | less

85 миллионов строк так смотреть конечно не очень. :))

LNAV реально помог. Крутая штука.

https://github.com/symfony/symfony/pull/26059 не помню обсуждали или нет

https://github.com/symfony/symfony/pull/26059 не помню обсуждали или нет

Да. Как раз косяк через наше приложение нашли. :)

Там в обсуждении. :)

Alan у меня кнопка)

Alan Samsung C3322i Duos Metallic Black

уже 7 лет работает, и норм)

конечно не нокиа, которой убить можно

WSSE vs Guard vs JWT vs API авторизации, обычные упускаем по типу HTPP_BASIC

http://www.xml.com/pub/a/2003/12/17/dive.html

Это вопрос, если сайт использует API для фронта, а админ панель нет. Для API ясно что JWT идеален, а какой для админ панеле лучше подойдет?

У мну сейчас базовый для админ панели.

jwt почему нет?

через гугл с привязкой к домену

у них есть oauth

Jwt уязвим. Лучше использовать аналоги

Jwt уязвим. Лучше использовать аналоги

чем уязвим? какие аналоги?

why not jwt погугли. Уже обсасывалось тут

why not jwt погугли. Уже обсасывалось тут

может накинешь ссылок каких? why not jwt гуглить, учитывая что его довольно часто юзают - это как гуглить why not php ??? а альтернативы какие? - тоже заодно загуглю

насколько помню там было про то чтоб не хранить в токене секреты и не исползовать как сессию

что собственно тупая идея)

может накинешь ссылок каких? why not jwt гуглить, учитывая что его довольно часто юзают - это как гуглить why not php ??? а альтернативы какие? - тоже заодно загуглю

я не буду за тебя гуглить. Еще раз говорю, тут (или в PHP чате) уже обсасывалось. В кратце в хидере JWT хранится способ его же проверки. Тоесть, по протоколу, если ты закодил в RSA будет хидер rsa, злоумышленник может подсунуть хидер null и по протоколу, это будет валидный токен. Альтернатива: принцип тот же, но в хидерах нет инфы о том, каким метотдом jwt проверяется. Сервер должен хранить не только ключ но и способ проверки

может накинешь ссылок каких? why not jwt гуглить, учитывая что его довольно часто юзают - это как гуглить why not php ??? а альтернативы какие? - тоже заодно загуглю

вот еще статьи как пища для размышлений http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/ http://cryto.net/~joepie91/blog/2016/06/19/stop-using-jwt-for-sessions-part-2-why-your-solution-doesnt-work/

я не буду за тебя гуглить. Еще раз говорю, тут (или в PHP чате) уже обсасывалось. В кратце в хидере JWT хранится способ его же проверки. Тоесть, по протоколу, если ты закодил в RSA будет хидер rsa, злоумышленник может подсунуть хидер null и по протоколу, это будет валидный токен. Альтернатива: принцип тот же, но в хидерах нет инфы о том, каким метотдом jwt проверяется. Сервер должен хранить не только ключ но и способ проверки

ну, по сути, это можно решить просто проверкой на алго в хэдэре. И в таком случае, или ошибку кидать или дефолтный алго использовать

я не буду за тебя гуглить. Еще раз говорю, тут (или в PHP чате) уже обсасывалось. В кратце в хидере JWT хранится способ его же проверки. Тоесть, по протоколу, если ты закодил в RSA будет хидер rsa, злоумышленник может подсунуть хидер null и по протоколу, это будет валидный токен. Альтернатива: принцип тот же, но в хидерах нет инфы о том, каким метотдом jwt проверяется. Сервер должен хранить не только ключ но и способ проверки

вообщем ясно "(или в PHP чате) " на просторах интернета гдето кемто обсуждалось. Так бы и написал =) P.S null в хедере вообще не убедительно

вот еще статьи как пища для размышлений http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/ http://cryto.net/~joepie91/blog/2016/06/19/stop-using-jwt-for-sessions-part-2-why-your-solution-doesnt-work/

cпс

?? Где-то была фотка ванной комнаты на эту же тему

я не буду за тебя гуглить. Еще раз говорю, тут (или в PHP чате) уже обсасывалось. В кратце в хидере JWT хранится способ его же проверки. Тоесть, по протоколу, если ты закодил в RSA будет хидер rsa, злоумышленник может подсунуть хидер null и по протоколу, это будет валидный токен. Альтернатива: принцип тот же, но в хидерах нет инфы о том, каким метотдом jwt проверяется. Сервер должен хранить не только ключ но и способ проверки

так это дело не в jwt а в либах которые считают none алгоритм как валидный

@sergey_smile братан, мне не платят чтобы тебя в чем-то убеждать. Я тебя предупредил, вон, человек захотел, нашел ссылки (или знал). @Shandur ? да, проверить хидер это решение, но не по протоколу ))) а костыль. Поэтому, собсна, jwt не оч. Ты в курсе этого, а другой девелопер просто возьмет готовую либу и не будет знать, лучше сразу вбивать в голову, что это плохо.

в lexik jwt authentication есть эта проблема? не использовать его?)

так вон Протько говорил что у него вообще не хэндлится этот хэдэр

не хэндлится - нет проблем

:)

так это дело не в jwt а в либах которые считают none алгоритм как валидный

Насколько я понял, дело в самом протоколе, а не либе

ну нет

6.1. Example Unsecured JWT The following example JOSE Header declares that the encoded object is an Unsecured JWT: {"alg":"none"}

Unsecured )

в рфц все честно

так то можн ос любой авторизацией встрять имея достаточно упорства

но конечно стоит уделить внимание и либам которые на себя возьмут головную боль и прикроют тылы)

ну мне лично нравится подход использования jwt для одного действия типа скачивание файла или еще чего-то, но то такое

@sergey_smile братан, мне не платят чтобы тебя в чем-то убеждать. Я тебя предупредил, вон, человек захотел, нашел ссылки (или знал). @Shandur ? да, проверить хидер это решение, но не по протоколу ))) а костыль. Поэтому, собсна, jwt не оч. Ты в курсе этого, а другой девелопер просто возьмет готовую либу и не будет знать, лучше сразу вбивать в голову, что это плохо.

Давай чуть попроще, меня убеждать в чёмто не надо. Ты написал за аналоги - я за них конкретно спросил. Аналог jwt - jwt, но с другим принципом - окей, это твоё видение. Человек скинул ссылки - спасибо. Если ты думаешь что я от тебя тут ожидаю или ожидал, или упаси ты подумал что я могу "требовать" разжовывать - то нет. Предлагаю на этом завершить нашу полемику. P.S остальным спс за ссылки и инфу

ты читал эти ссылки?)

и зачем токен а зачем сессия?)

ты читал эти ссылки?)

сохранил - прочту вечером/на выхи

вместо JWT применяют PAST вроде

что в жвт что в куках не стоит хранить пароли) и это на значит что куки - плохо)

так же и с oauth2 было когда всякие модули не проверяли state при возвращении и до сих пор такие найти можно хотя в спецификации сказано что это важно

ERROR: S client not available

так же и с oauth2 было когда всякие модули не проверяли state при возвращении и до сих пор такие найти можно хотя в спецификации сказано что это важно

Ну .... как-сказать, ты сам скинул кусок RFC Там написано Unsecured а не что-то вроде "Should be failed" - alg:none это как один из вариантов токена. Да, небезопасного, но вариант. Хорошей библиотеке, следующей протоколу, нет адекватной возможности понять, изначально создавали токен с alg:none или был alg:rsa и это его хакнули. Или как?

Объясни как ты сделаешь токен валидным если не пришлешь алгоритм ?

Прислал null и что дальше ?

плюсую за вопрос

Я ща открою линки выше, не читал

Хм там такого нет

Объясните

Объясни как ты сделаешь токен валидным если не пришлешь алгоритм ?

Заголовок alg:none это валидный кейс "небезопасного" токена.

В ссылках объясняется, как не желательно использовать jwt токены. Точнее, что не следует заменять сессии ими.

Заголовок alg:none это валидный кейс "небезопасного" токена.

но как это связано с его небезопасностью?

выстрелить себе в ногу можно по-разному

но как это связано с его небезопасностью?

Так, что либы, которые реализуют этот токен, ДОЛЖНЫ смотреть на этот заголовок при парсинге

То что @fes0r не смотрит - не делают его реализацию соответсвующей протоколу (однако, делает более безопасной, что несомненно ?)

там было что то вроде того что либы при ноне не проверяли сигнатуру

может сейчас найду

https://github.com/namshi/jose/blob/master/src/Namshi/JOSE/JWS.php у меня строка не видна, правда, но первое вхождение alg показывает

Если я сделаю либу, буду проверять там алгоритм, но если мне пришлют null я просто выдам 401 и все

это если для авторизации

А что ещё бывает?

может кому то надо нулл) и либа покрывает этот кейс

Если я сделаю либу, буду проверять там алгоритм, но если мне пришлют null я просто выдам 401 и все

Лол, но ведь это валидный способ (по протоколу!) .... короче ладно, юзайте jwt но не доверяйте alg

Это и будет "альтернатива". В последнем дайджесте пхп была ссылка

Лол, но ведь это валидный способ (по протоколу!) .... короче ладно, юзайте jwt но не доверяйте alg

Надо чуть поыиксить протокол))

Делов то

ну серьезно jwt позволяет стрелять в ногу, да

но аутентификация то рядом может ты токен используешь для чего нибудь ещё

php тоже позволяет и что, не будем на нем писать?

конкретная имплементация аутентификации с жвт позволяет стрелять имхо

http://tech.namshi.io/blog/2015/02/19/update-your-namshi-slash-jose-installations-as-a-security-vulnerability-was-found/

lcobucci, кстати, в этом плане менее продуман, чем jose у них нет специального unsecure mode

ну серьезно jwt позволяет стрелять в ногу, да

Ничего он не позволяет)) я не читал спецификацию, ну пропустили пункт, бывает)

http://tech.namshi.io/blog/2015/02/19/update-your-namshi-slash-jose-installations-as-a-security-vulnerability-was-found/

у них последний релиз 7.2.3)