Т
Ну так непонятно, два таба или один таб
Size: a a a
2021 April 14
Т
Там про это спор и был...
АМ
я так понял имеется в виду что там всегда 1, но в редакторах будет заменяться 1 таб на X пробелов(благодаря настройкам редактора)
АП
Какая дичь
Таб всегда один
А вот отображаться он может и как два пробела, и как двадцать два
Таб всегда один
А вот отображаться он может и как два пробела, и как двадцать два
АП
Если они именно о табах спорили, то что-то не так с ними
АМ
но когда вложенность большая, то табы по-моему вообще плохой вариант = начинают смешиваться с пробелами и выходит ерунда
Т
Вы недооцениваете
IB
А корпоративные( арбитрарно) стандарты и настроенные линтеры?
KR
какая дич, пробела всегда два :)
АП
А таб один :)
JK
🔗
По мотивам предыдущего поста про base64. Если бегло пробежаться по гитхабу, то можно найти дохрена примеров отзыва JWT токена через добавление его как есть в черный список. In-memory или в redis какой-нибудь. Прямо в base64 форме.
Проблема в том, что два токена:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.CDfhHu9_n2jSQGHcUwmSgZLL1OKEGjK4hw6D3Q40MA0
и
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.CDfhHu9_n2jSQGHcUwmSgZLL1OKEGjK4hw6D3Q40MA1
оба валидны (можете сами проверить на https://jwt.io/ секретный ключ - secret6). И если добавить в черный список только один, то можно поправить один символ и ходить на апи дальше.
Если вы думаете, что люди так делать не будут, то ошибаетесь. Я спросил в чате про го народ как они блочат токены и первый ответ был именно такой. Или вот библиотека на гитхабе на 13 тысяч звездочек https://github.com/feathersjs/feathers и в документации у них написано делать именно так https://docs.feathersjs.com/cookbook/authentication/revoke-jwt.html
По сути это у кучи народу дыра в безопасности. На практике она минорная и хрен заэксплуатируешь, баунти за неё не получишь, а ходить репортить просто так лично мне лень.
Вот такое вот IT-говно.
По мотивам предыдущего поста про base64. Если бегло пробежаться по гитхабу, то можно найти дохрена примеров отзыва JWT токена через добавление его как есть в черный список. In-memory или в redis какой-нибудь. Прямо в base64 форме.
Проблема в том, что два токена:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.CDfhHu9_n2jSQGHcUwmSgZLL1OKEGjK4hw6D3Q40MA0
и
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.CDfhHu9_n2jSQGHcUwmSgZLL1OKEGjK4hw6D3Q40MA1
оба валидны (можете сами проверить на https://jwt.io/ секретный ключ - secret6). И если добавить в черный список только один, то можно поправить один символ и ходить на апи дальше.
Если вы думаете, что люди так делать не будут, то ошибаетесь. Я спросил в чате про го народ как они блочат токены и первый ответ был именно такой. Или вот библиотека на гитхабе на 13 тысяч звездочек https://github.com/feathersjs/feathers и в документации у них написано делать именно так https://docs.feathersjs.com/cookbook/authentication/revoke-jwt.html
По сути это у кучи народу дыра в безопасности. На практике она минорная и хрен заэксплуатируешь, баунти за неё не получишь, а ходить репортить просто так лично мне лень.
Вот такое вот IT-говно.
JK
Тут не так давно группа по jwt проскакивала, вот это туда же)
N
не совсем понял как вы изменили букву в подписи так что токен остался валидным
JK
не я, жто с гоферского чата
N
ну не к вам вопрос, а вообще тогда)
JK
блин, тут нельзя медиа переслать
JK
вот https://ibb.co/VtBF5gf
Внезапно открыл для себя что соотношение между base64EncodedText - PlainText не однозначное.
Для одного PlainText иногда можно подобрать несколько base64 текстов.
АМ
можно было ссылку на сообщение кинуть https://t.me/subchan/1156