Comments 18
То есть вы продаете бесплатные курсы?
Быстро спиздил и ушел, называется - нашел!
Да там и с оплатой беды какие то)
Потыкался минут пять в DevTools, посмотрел стек безопасности. Делюсь по горячим следам.
Из хорошего: JSON-ы с текстом уроков (/content/<курс>/lessons/N.json) реально закрыты на бэке. 403 Forbidden, если курс не оплачен. То есть человек хотя бы какую-то проверку поставил, и на том спасибо.
Из плохого: mp4 того же самого платного урока и .vtt-субтитры лежат соседним каталогом и отдаются всем подряд статикой. Без единой проверки. Текст урока — сокровище за семью замками, а сам видеоролик — заходи кто хочешь. Логика безупречная. Блин.
Из совсем плохого: авторизация через Телеграм, user_id кладётся в cookie aa_uid. Без подписи. Конкретику блюрю, но суть простая: меняешь там одно число на чужое, и сервер радостно считает тебя владельцем чужой подписки. Telegram ID не секрет, ботов, которые резолвят username → id, гугл выдаёт пачкой. То есть для «входа под другим» нужен только ник того, кто реально занёс деньги.
Бонус-трек: paid-check.php на фронте — это вообще не проверка, а UI-декорация. В консоли пара строк, и на экране всё разлочено. Правда, как я выше писал, это даже не нужно: видео-то и так открыто.
Чинится за полдня и пару промтов:
cookie подписать HMAC'ом (или JWT, или серверная сессия), HttpOnly + Secure;
видео и субтитры отдавать через тот же gate, что и JSON-ы. А ещё лучше — signed URL с TTL минут пятнадцать;
paid-check.phpоставить как есть, он и не должен быть барьером, он только для UX.
Автор, если читаешь, приходи в личку. Дам подробности с командами и респонсами, спокойно пофиксишь до того, как кому-нибудь прилетит идея написать это же самое, но без блюра.
Это я еще не говорю о дыре в http2 которая позволяет в пару тыков потушить ваш сайт
Всегда улыбал вайбкод и слепое доверие вайбкоду
А перевод такого количества - это не работа? Да и 900 руб - это сущие копейки.
То есть считаете, что ТС руками превёл? Ну-ну. С помощью этих же ИИ за час-два делаешь скраппер и автоперевод. Профит!
Руками только слепые переводят и какая разница как они переведены? Курсы как раз для тех, кто не знает, что такое скраппер и не умеет пользоваться автопереводом. Человек потратил 2 часа своего времени и предлагает приобрести свой результат. Добровольно, заметьте, приобрести. И за ничтожные деньги, не сопоставимые со стоимостью. Я, например, ему благодарен. Я могу это все сделать, но это займет не 2 часа (надо будет разобраться) и я лучше это время потрачу более эффективно.
Займитесь и выложите сюда же бесплатно, будем вам благодарны)
Видео идет, субтитры не появляются. Переключаю английские/русские, ничего. Браузер хром. Что делаю не так?
Жалко кармы не хватает по достоинству оценить такую сноровку. И это CTO... Греб....ый стыд.
Яндекс браузер с авто переводом уже забанили? Стыдно как-то деньги за такое брать.
Справедливый вопрос. Яндекс.Браузер переведёт страницу, если до неё добраться. Но Skilljar в России заблокирован (как и Claude в целом), а курсы закрыты за регистрацию и пошаговое прохождение. Нужно найти платформу, зарегистрироваться, пройти каждый урок по очереди, чтобы открылся следующий.
Видео там висит на YouTube, который в России тоже работает с ограничениями. Я скачал все 300+ роликов, перекодировал и залил, чтобы открывались без VPN. Субтитры перевёл отдельно, это не машинный перевод страницы.
Можно ли всё это сделать самому? Конечно! Можно и без курсов обойтись, нейронка сама расскажет, как она работает. Но этот продукт про удобство: всё собрано, переведено, структурировано в одном месте. 70% бесплатно, деньги только за оставшиеся 30%, кому нужно (а по моему опыту, до конца курсов доходят лишь единицы).
Лайфхак. Закачиваешь видео на ютуб, в яндекс-браузере включаешь синхронный перевод.
сайт у всех октрывается ?
Что-то вместо курсов другое по ссылке открывается
Перевёл 16 курсов Anthropic Academy на русский и собрал платформу за выходные