PM
если мой сайт подвержен xss, то ssl моих посетителей не спасёт
Size: a a a
2017 July 13
AE
а ну это да
PM
да, физический доступ к компьютеру хотел вторым вариантом предложить
AE
ну, насколько я понимаю, от xss спасает эскейпинг пользовательского инпута
PM
ещё раньше сессии угоняли когда они были видны в url, типа example.com/phpbb/index.php?topicid=123&PHPSESSID=ABCDS324234324 - несведущий пользователь копировал этот url и постил где-нибудь "посомотрите какой тред интересный...", а у него в url ID сессии явно!
AE
и с учётом того, что все сейчас используют фреймворки, которые делают эскейпинг из коробки, довольно маловероятны случае xss в современных веб-приложениях
AE
от физического доступа.. ну я не знаю, спасает только бдительность пользователя, разработчик всё равно не может предусмотреть все варианты
AE
так что MITM атаки наиболее распространённые
AE
и SSL решает здесь бóльшую часть проблем
PM
вирусы Petya и WanaCry смотрят с ухмылкой на утверждение "MITM атаки наиболее распространённые"
AE
ну нет, я имел в виду в рамках темы "а если украсть чужой токен"
AE
:)
DC
Однажды попадался заказчик, который просил через каждые 5 минут рефреш токен)
K
Однажды попадался заказчик, который просил через каждые 5 минут рефреш токен)
в таких случаях кстате redis отлично помогает, у него есть таймеры жизни ключа
K
Чертов react-router4, есть более толковые примеры по организации роутинга с проверкой доступа?
🦉
Чертов react-router4, есть более толковые примеры по организации роутинга с проверкой доступа?
Rr3
K
ноу
2017 July 14
PM
Новый выпукс подкаста про генератор статических сайтов Gatsby: http://5minreact.ru/25-gatsbyjs/
ДК
Всем привет от команды loftblog! Новый выпуск devshow - в том числе про ваш подкаст https://www.youtube.com/watch?v=MnIwWoecMZI