Comments 7
Вы это серьёзно? Вы реально думаете, что ктото в здавом уме «засветит» секретные ключи (или токены) своих аппликаций?
Я думаю, для этих целей надо создать пустое приложение. Но да, секретные ключи в JS очень смущают.
Даже пустое приложение можно использовать во вред…
1) Всякие сканнеры соц. сетей будут просто рады пользователям этого плагина, ведь запросы к API всегда имеют ограничения… а тут — на тебе, токены на халяву.
2) Из первого пункта можно сделать вывод, что при большом посещении вашего сайта, ваше соц. страничка выйдет из строя. К примеру, если я хорошо помню, то твитер разрешает не более 500 запросов в час. Т.е. при посещении больше 500 человек в час, запросы к API просто перестанут работать.
3) В фейсбуке с помощью токена можно легко добыть данные владельца (/app/roles). Или просто по-мелочи пакостничать создавая пустые группы и подписывая на них владельца аппликации (/app/groups).
Но если вдруг вы решите не создавать отдельную аппликацию для этого (а это вполне может случится, хотя бы в связи с тем, что, к примеру, фейсбук сильно усложняет процедуру создания новой аппликации), то тут куда больше простора для действий: можно банить пользователей, получить полный доступ к insights, и много всего другого, все зависит от вашего знания API и вашей фантазии.
1) Всякие сканнеры соц. сетей будут просто рады пользователям этого плагина, ведь запросы к API всегда имеют ограничения… а тут — на тебе, токены на халяву.
2) Из первого пункта можно сделать вывод, что при большом посещении вашего сайта, ваше соц. страничка выйдет из строя. К примеру, если я хорошо помню, то твитер разрешает не более 500 запросов в час. Т.е. при посещении больше 500 человек в час, запросы к API просто перестанут работать.
3) В фейсбуке с помощью токена можно легко добыть данные владельца (/app/roles). Или просто по-мелочи пакостничать создавая пустые группы и подписывая на них владельца аппликации (/app/groups).
Но если вдруг вы решите не создавать отдельную аппликацию для этого (а это вполне может случится, хотя бы в связи с тем, что, к примеру, фейсбук сильно усложняет процедуру создания новой аппликации), то тут куда больше простора для действий: можно банить пользователей, получить полный доступ к insights, и много всего другого, все зависит от вашего знания API и вашей фантазии.
С API тут, конечно, фейл.
1) с этим беда;
2) и с этим тоже беда;
3) в коде указано «make sure to have your app read-only», так что, я думаю, такое API будет мало кому нужно.
1) с этим беда;
2) и с этим тоже беда;
3) в коде указано «make sure to have your app read-only», так что, я думаю, такое API будет мало кому нужно.
Секретные ключи и токены в JS — это оборотная сторона медали front-end only плагина. Красота Social-feed заключается в том, что вы можете его использовать например в сайтах, которые хостятся на https://pages.github.com/, в сайтах, когда у вас вообще нет back-end части. И даже если она у вас есть, использование этого плагина все равно удобно во многих случаях.
1) Касательно безопасности: вы можете просто создать левого пользователя, от него создать приложения и использовать токены от них. Таким образом, даже если эти данные будут скорумпированы, вас это никак не заденет. По поводу токенов на халяву — есть гораздо более простые способы получить их в количестве более одного.
2) Вы правы. В настоящее время я веду работу с ребятами из http://tweecool.com/, для того, чтобы перевести на них взаимоотношения с Twitter. Прямо сейчас перейти на них я не могу, так как они не позволяют делать поиск по хеш-тэгам.
3) Описал в пункте 1.
1) Касательно безопасности: вы можете просто создать левого пользователя, от него создать приложения и использовать токены от них. Таким образом, даже если эти данные будут скорумпированы, вас это никак не заденет. По поводу токенов на халяву — есть гораздо более простые способы получить их в количестве более одного.
2) Вы правы. В настоящее время я веду работу с ребятами из http://tweecool.com/, для того, чтобы перевести на них взаимоотношения с Twitter. Прямо сейчас перейти на них я не могу, так как они не позволяют делать поиск по хеш-тэгам.
3) Описал в пункте 1.
Sign up to leave a comment.
jQuery плагин Social-feed