SS
открыл пару ссылок. Честно говоря, чтоб так лохануться это нужно постараться. Точнее вообще мозг не включать))) Переданные из вне свойства пихать без разбора в пропсы? Да, это точно реакт виноват
Size: a a a
2019 November 17
SS
ну вот ты говоришь, что "это не обязательно". то есть все-таки понимаешь о чем я говорю
не обязательно делать разлогинивание/продление. Вопрос как это сделать? С двумя токенами. Перед этим выше речь шла про другую сессию, как я понял по крайней мере
AA
открыл пару ссылок. Честно говоря, чтоб так лохануться это нужно постараться. Точнее вообще мозг не включать))) Переданные из вне свойства пихать без разбора в пропсы? Да, это точно реакт виноват
В реакте ты постоянно добавляешь всякие либы. Создатель либы всегда может пропустить какой-нибудь моментик
PS
не обязательно делать разлогинивание/продление. Вопрос как это сделать? С двумя токенами. Перед этим выше речь шла про другую сессию, как я понял по крайней мере
то есть если мы хотим сессию продлевать, то нужны два токена. и в чем тогда преимущество перед обычной традиционной сессией на куках?
SS
В реакте ты постоянно добавляешь всякие либы. Создатель либы всегда может пропустить какой-нибудь моментик
ну как бы надо посмотреть на либу хотя бы мельком перед тем как добавить))) И опять же, при чём тут реакт? Я то имел ввиду что если руки из правильного места у разработчика приложения и разработчиков либ, то реакт проблему XSS вполне решает на автомате
AA
ну как бы надо посмотреть на либу хотя бы мельком перед тем как добавить))) И опять же, при чём тут реакт? Я то имел ввиду что если руки из правильного места у разработчика приложения и разработчиков либ, то реакт проблему XSS вполне решает на автомате
Ну да, никогда ведь такого не бывает, что надо по фасту добавить фичу и ты юзаешь либу сразу. Ты ведь всегда сначала смотришь полностью её сорцы, да?)
SS
то есть если мы хотим сессию продлевать, то нужны два токена. и в чем тогда преимущество перед обычной традиционной сессией на куках?
ты как будто никогда не видел сайтов которые вообще никогда не разлогинивают или разлогинивают через непомерное количество времени. Есть куча типов сайтов, где можно не параноить по безопасности)
SS
Ну да, никогда ведь такого не бывает, что надо по фасту добавить фичу и ты юзаешь либу сразу. Ты ведь всегда сначала смотришь полностью её сорцы, да?)
нет, но я никогда не передаю случайные данные какой-нибудь либе, которая может быть криво написана, например. Такой вариант устраивает?)) Ну и к тому же, на каждом проекте разные либы прям всегда? Нельзя разок убедиться что разработчики не полные обезьяны и спать потом спокойно?))
S🌴
Что здесь происходит?
SS
чё то тут всё перешло в реакт 🤣
SS
пора прекращать
PS
ты как будто никогда не видел сайтов которые вообще никогда не разлогинивают или разлогинивают через непомерное количество времени. Есть куча типов сайтов, где можно не параноить по безопасности)
опять ты ушел в сторону от ответа. вопрос был о преимуществах перед традиционными сессиями
AA
нет, но я никогда не передаю случайные данные какой-нибудь либе, которая может быть криво написана, например. Такой вариант устраивает?)) Ну и к тому же, на каждом проекте разные либы прям всегда? Нельзя разок убедиться что разработчики не полные обезьяны и спать потом спокойно?))
xss - уязвимости это не про передачу данных, это про запуск кода
а данные из стореджа по умолчанию всегда доступны
а данные из стореджа по умолчанию всегда доступны
SS
опять ты ушел в сторону от ответа. вопрос был о преимуществах перед традиционными сессиями
я не говорил ни о каких преимуществах. Сколько ещё раз это повторить?))
АП
ты как будто никогда не видел сайтов которые вообще никогда не разлогинивают или разлогинивают через непомерное количество времени. Есть куча типов сайтов, где можно не параноить по безопасности)
А как принудительно разлогинить? Вот пришёл пользователь в саппорт и жалуется, что это не он сейчас на сайте под своим логином
PS
я не говорил ни о каких преимуществах. Сколько ещё раз это повторить?))
а они вообще есть, по-твоему мнению?
SS
А как принудительно разлогинить? Вот пришёл пользователь в саппорт и жалуется, что это не он сейчас на сайте под своим логином
в БД/редисе/где хочешь гасишь токен и готово
SS
а они вообще есть, по-твоему мнению?
гибкость разве что
PS
А как принудительно разлогинить? Вот пришёл пользователь в саппорт и жалуется, что это не он сейчас на сайте под своим логином
он считает, что jwt — только для аутентификации. а дальше нужно авторизовывать каждый запрос заходом в базу
SS
xss - уязвимости это не про передачу данных, это про запуск кода
а данные из стореджа по умолчанию всегда доступны
а данные из стореджа по умолчанию всегда доступны
так и что что они доступны? Кому они доступны кроме целевого пользователя без XSS?