PS
Кто то украл токен, но он живет только пару минут
то есть пару минут он сможет делать что хочет
Size: a a a
2019 November 13
GS
Кто то украл токен, но он живет только пару минут
А если юзер просто ушёл чай попить?
С
А если юзер просто ушёл чай попить?
Я выше описывал, как я понял логику
Там про это написал
Там про это написал
С
то есть пару минут он сможет делать что хочет
А если украл сессионый токен, то сможет пользоваться им вечно
PS
А если украл сессионый токен, то сможет пользоваться им вечно
пока токен не забанят
С
пока токен не забанят
Во, то есть jwt безопаснее, как минимум потому, что обладает функцией самоуничтожения
С
Во, то есть jwt безопаснее, как минимум потому, что обладает функцией самоуничтожения
Ну это такой вывод из всего вышесказанного. Я не прав?
И
Кстати да
А что если чел скопирует значение ID сессии и впишет себе в куки, то как понять что это не тот человек, который нужен ?
А что если чел скопирует значение ID сессии и впишет себе в куки, то как понять что это не тот человек, который нужен ?
PS
Кстати да
А что если чел скопирует значение ID сессии и впишет себе в куки, то как понять что это не тот человек, который нужен ?
А что если чел скопирует значение ID сессии и впишет себе в куки, то как понять что это не тот человек, который нужен ?
а как он скопирует?
И
а как он скопирует?
(не рассматривая HttpOnly)
малварь мб, которая вытянет инфу с браузера
малварь мб, которая вытянет инфу с браузера
PS
Во, то есть jwt безопаснее, как минимум потому, что обладает функцией самоуничтожения
какое-то время ведь у злоумышленника будет. такая себе безопасность
GS
а как он скопирует?
так же, как jwt?
И
Давно таких не видел, но сам факт существования оных есть
PS
(не рассматривая HttpOnly)
малварь мб, которая вытянет инфу с браузера
малварь мб, которая вытянет инфу с браузера
это кто же сессию не в httponly куке ставит
GS
Но мы же считаем, что jwt плох именно потому, что его могут угнать.
Почему угнать jwt проще, чем идентификатор сессии?
Почему угнать jwt проще, чем идентификатор сессии?
PS
Но мы же считаем, что jwt плох именно потому, что его могут угнать.
Почему угнать jwt проще, чем идентификатор сессии?
Почему угнать jwt проще, чем идентификатор сессии?
если хранится в серверых куках, а не в локал сторадже, то тяжело угнать.
но если угонят, то у админов не будет никаких средств защиты кроме как дождаться срока действия. ни забанить, ничего.
но если угонят, то у админов не будет никаких средств защиты кроме как дождаться срока действия. ни забанить, ничего.
K
Ð
вот это надо явно проверять на undefined, или на пустую строку тройным === смотря какая у тебя задача, никакой магии делать не нужно, а про применение || в непредназначенных для него местах лучше забыть
👍 я сначало нагорродил с || посмотрел, и вернулся к if. Так 100% понятней, не надо будет потом вспоминать что там я такое имел ввиду))))
Ð
👍 я сначало нагорродил с || посмотрел, и вернулся к if. Так 100% понятней, не надо будет потом вспоминать что там я такое имел ввиду))))
самая опасная фигня в такой записи в том, что под || иногда попадает куча корректных значений, например пустая строка может внезапно по решению заказчика стать корректным именем, а будет определяться как не заданное, аналогично null и undefined
GS
Ждём нуллиш оператор
PS
Ждём нуллиш оператор
в тс уже завезли