DE
Кстати, схема авторизации для SPA без JWT
Size: a a a
2019 April 04
MK
Надо было снабдить графиками движения мышиного курсора
NL
Побуду слегка занудой)
1. Не авторизацией (проверкой наличия прав у аутентифицированного пользователя), а аутентификацией
2. JWT к аутентификации никак не соотносится. Обычно уже аутентифицированному пользователю (залогиненному) дают токен который может быть проверен на любом из бекендов
1. Не авторизацией (проверкой наличия прав у аутентифицированного пользователя), а аутентификацией
2. JWT к аутентификации никак не соотносится. Обычно уже аутентифицированному пользователю (залогиненному) дают токен который может быть проверен на любом из бекендов
MK
3. Мало пурпурного
DE
Побуду слегка занудой)
1. Не авторизацией (проверкой наличия прав у аутентифицированного пользователя), а аутентификацией
2. JWT к аутентификации никак не соотносится. Обычно уже аутентифицированному пользователю (залогиненному) дают токен который может быть проверен на любом из бекендов
1. Не авторизацией (проверкой наличия прав у аутентифицированного пользователя), а аутентификацией
2. JWT к аутентификации никак не соотносится. Обычно уже аутентифицированному пользователю (залогиненному) дают токен который может быть проверен на любом из бекендов
А процесс выдачи JWT не в счет? То есть аутентификация это разве не выдача?
NL
А процесс выдачи JWT не в счет? То есть аутентификация это разве не выдача?
Разве что в момент success
MK
JWT вообще плохая вещь
MK
В чате по поиску есть конструктивно
ҪҸ
каком чате?
DE
По поиску?
DE
JWT это заоверенжинеренное говно, в котором до сих пор находят эпичные баги фактически на уровне спецификации.
DE
Как завернул )))
MK
Этом
ҪҸ
я думал чат по поиску
ҪҸ
закладок штоле
DE
закладок штоле
Treasures Research & Development )))
DZ
В Ruby-библитеке bootstrap-sass выявлен бэкдор
В популярной Ruby-библитеке bootstrap-sass (вариант Bootstrap 3 с поддержкой Sass), насчитывающей около 28 млн загрузок, выявлен бэкдор (CVE-2019-10842), позволяющий злоумышленникам выполнить свой код на серверах, на которых выполняются проекты, использующие bootstrap-sass. Бэкдор был добавлен в состав выпуска 3.2.0.3, опубликованного 26 марта в репозитории RubyGems. Проблема устранена в выпуске 3.2.0.4, предложенном 3 апреля.
В популярной Ruby-библитеке bootstrap-sass (вариант Bootstrap 3 с поддержкой Sass), насчитывающей около 28 млн загрузок, выявлен бэкдор (CVE-2019-10842), позволяющий злоумышленникам выполнить свой код на серверах, на которых выполняются проекты, использующие bootstrap-sass. Бэкдор был добавлен в состав выпуска 3.2.0.3, опубликованного 26 марта в репозитории RubyGems. Проблема устранена в выпуске 3.2.0.4, предложенном 3 апреля.
DZ
Полгода назад Никита тут тираду выдал по поводу jwt
JWT сила, сессии могила)
SG
А теперь вернемся к серьезным утечкам… 😎
Неизвестные «сдампили» базу данных компании FirstVDS (firstvds.ru), предоставляющей услуги хостинга на виртуальных выделенных серверах VDS или VPS. 🔥🔥🔥
Утекли данные клиентов, доступы к внутренним и клиентским серверам. 🤦♂️🤦🏻♂️🙈
Общий объем данных попавших в свободный доступ превышает 800 Мб. В распространяемом архиве находится 9 файлов формата .SQL:
✅ dedic_100_.sql
✅ domains.sql
✅ forum.roundabout.ru.sql
✅ item_502089.sql
✅ profile_124368.sql
✅ server_195.sql
✅ sysadmin_15.sql
✅ user.sql
✅ vds_66194.sql
Таблица users насчитывает 126745 строк, содержащих такие поля, как:
Таблица profile насчитывает 124616 строк, содержащих такие поля, как:
Также открытые пароли находятся в таблицах domains, sysadmin, vds, dedic. 😂
Мы проверили несколько контактов из этой утекшей базы – все они реальные. 👍
Неизвестные «сдампили» базу данных компании FirstVDS (firstvds.ru), предоставляющей услуги хостинга на виртуальных выделенных серверах VDS или VPS. 🔥🔥🔥
Утекли данные клиентов, доступы к внутренним и клиентским серверам. 🤦♂️🤦🏻♂️🙈
Общий объем данных попавших в свободный доступ превышает 800 Мб. В распространяемом архиве находится 9 файлов формата .SQL:
✅ dedic_100_.sql
✅ domains.sql
✅ forum.roundabout.ru.sql
✅ item_502089.sql
✅ profile_124368.sql
✅ server_195.sql
✅ sysadmin_15.sql
✅ user.sql
✅ vds_66194.sql
Таблица users насчитывает 126745 строк, содержащих такие поля, как:
id, name, isgroup, account, password, realname, email, lang, superuser, disabled, timezone, support, remotesupport, remotelevel, remoteid, changepasswd, note, chief, sendsms, phone, smstimefrom, smstimeto, avatar
Стоит отметить, что в этой таблице пароли хешированные. Таблица profile насчитывает 124616 строк, содержащих такие поля, как:
id, name, account, ptype, person, vatnum, kpp, country, zip, city, address, ccountry, czip, ccity, caddress, phone, fax, email, www, locale, hasinvoice, billnumber, invoicenumber, billtempl, invoicetempl, paydesc, contractnumber, director, jobtitle, rdirector, rjobtitle, baseaction, passport, regdate, maildocs, id1c, fastinvoice, invoicedesc, postcompany, postcurrency, reconciliationtempl, ogrn, bankname, bik, rs, ks, wrongaddress, returnreason
Таблица server насчитывает 195 строк, содержащих такие поля, как: id, name, mgrname, ip, username, password, rlimit, cpmodule, config, statdate, datacenter, active, loading, manualcontact, url, monitor, prolong, changeparam, sendtask, features
А в этой таблице пароли хранятся в открытом (текстовом) виде! 😱Также открытые пароли находятся в таблицах domains, sysadmin, vds, dedic. 😂
Мы проверили несколько контактов из этой утекшей базы – все они реальные. 👍