В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WebSec

115 membersпожаловаться на группу
2018 May 31

NK

ID:72036040 in WebSec
Таймураз Кайтмазов
http only cookie читаемы только на сервере. Доступа из js браузера к ним нет, не перезапишешь и не прочтешь
localstorage читаем из js, поэтому если исполняется чужой код на странице- небезопасно хранить токены и личную информацию там
"читаемы". А если сторонний скрипт запрос на другой ресурс сделает, там тоже будут http only cookie или можно как-то регулировать какие куки на какой сервак? Или это уже вопрос к CORS?
источник
22:26пожаловаться#1

ТК

Таймураз Кайтмазов in WebSec
🦉 ⁣
сдн скрипты локалсторадж могут читать
Если куки не httpOnly, то и куки могут
источник
22:28пожаловаться#2

ТК

Таймураз Кайтмазов in WebSec
ID:72036040
"читаемы". А если сторонний скрипт запрос на другой ресурс сделает, там тоже будут http only cookie или можно как-то регулировать какие куки на какой сервак? Или это уже вопрос к CORS?
Куки привязаны к домену
источник
22:28пожаловаться#3

ТК

Таймураз Кайтмазов in WebSec
Их даже к пути привязать можно
источник
22:28пожаловаться#4

NK

ID:72036040 in WebSec
Чет я туплю
источник
22:29пожаловаться#5

NK

ID:72036040 in WebSec
Т.е. с httponly куки - идеальный вариант?
источник
22:29пожаловаться#6

NK

ID:72036040 in WebSec
И проблем нету?
источник
22:29пожаловаться#7

MK

Michael K in WebSec
Да
источник
22:30пожаловаться#8

ТК

Таймураз Кайтмазов in WebSec
ID:72036040
Т.е. с httponly куки - идеальный вариант?
В целом- да
источник
22:30пожаловаться#9

NK

ID:72036040 in WebSec
М, круто
источник
22:30пожаловаться#10

MK

Michael K in WebSec
А жвт на свалку
источник
22:30пожаловаться#11

NK

ID:72036040 in WebSec
Таймураз Кайтмазов
В целом- да
А не в целом?
источник
22:30пожаловаться#12

NK

ID:72036040 in WebSec
Michael K
А жвт на свалку
Ни разу не пользовался и всегда отмахивался
источник
22:30пожаловаться#13

ТК

Таймураз Кайтмазов in WebSec
ID:72036040
А не в целом?
Ну если ты вдруг решил, что нужно что-то больше 4кб хранить- уже не подойдет
источник
22:30пожаловаться#14

NK

ID:72036040 in WebSec
Ок
источник
22:30пожаловаться#15

ТК

Таймураз Кайтмазов in WebSec
Но это такой себе юзкейс
источник
22:31пожаловаться#16

MK

Michael K in WebSec
ID:72036040
А сагрился я на подпись в канале
Да лан
источник
22:31пожаловаться#17

MK

Michael K in WebSec
Пофлеймить же заходил сюда)
источник
22:31пожаловаться#18

ТК

Таймураз Кайтмазов in WebSec
ID:72036040
Если это ко мне, то как бы не тролинг, а самый конкретный и весомый факт, из всех что есть за и против jwt
Честно, если jwt нужен внутри компании- легче сделать отдельный сервис на это дело
источник
22:32пожаловаться#19

NK

ID:72036040 in WebSec
Michael K
Да лан
А я в теории, сам не использовал =D
источник
22:32пожаловаться#20