кто такая Freedom House?
вы всем западным институтам и организациям верите безоговорочно?
все эти цифры и рейтинги для лохов. завтра на улицу выйдет кто-то с призывом свержения власти и его упекут за решетку (и правильно сделают) — и рейтинг понизят нам до уровня Нигера — а Freedom House скажет — человеку не дали свободно высказаться. все еще веришь в циферки?
все эти агенства, когда надо опубликуют что угодно. В США часть населения живет на картонках, по карточкам питается, нигде не работает, бомжует. где рейтинги? )) никто не опубликует что что-то не впорядке. ААА+++ рейтинг будет )))
тот же ВВП давно уже не отражает реальной экономики.
зачем вы все в кучу намешали?
1. пытки в подвалах — вы их лично видели? или паоверить наслово?
2. подрос наркотиков — т.е. полиция и ФСБ теперь одна структура?
т.е. если один сотрудник ФСБ что-то сделал не то — то надо всю структуру разогнать? ) и в другом мире все всятые с нимбами? )
для вредоносного скрипта даже 10 сек хватит сделать все.
Старый токен отправить в черный список нельзя
как раз практика говорит о том, что рефреш токен когда перевыпускается — старый прибивается. ибо он не нужен нигде, ни на фронте, ни на беке.
а Access Token добавляют в черный список когда делают блокировку токенов, например пользрователь руками в личном кабинете делает выход со всех устройств, кроме текущего, тогда система добавляет все Access Token'ы в черный список.
да вам хоть исходники покажи, вы все равно бекдоры режима увидите.
зато в иностранные алгоритмы верите безоговорочно. и в вебсервисы зарубежные, никогда они не сдавали с потрохами когда нужно было.
поле «admin»:true
ну какие-то клеймы же можно положить в токен, чтобы на фронте отображать/скрывать контент для админа или обычного пользователя и другие кейсы делать.
а на бэке все равно проверять права, читать из токена это не секьюрно. даже если они подписаны.
1. просто взять, отправить запрос от моего имени, и отправить вместе с токеном — это разные вещи. получается localStorage это никакая не песочница для сайта? нет изоляции вообще? кто угодно может пойти и выдернуть что хочет?
2. проблема не в JWT — любой пароль меняется на условный токен, который может быть кукой, сессией и т.д.
я не говорю про физический доступ к компьютеру со стороны злоумышленника.
а вполне обычный кейс, человек поставил скомпрометированое расширение, или открыл вредоносный сайт в соседней вкладке.
получается токены могут быть успешно получены из соседней вкладки?
Так и не понял, автор Googly1 сделал Lasik или FemtoLasik или Smile?
Предлагаю обновить пост через месяц-полтора, потому что у многих знакомых все поменялось, у кого-то ушло в минус, у кого-то в плюс через месяц. У кого-то из минуса сделалась докорекция, и стало отлично.
Сравнивать 1 машину с 1 машиной?
Выложите 100 машин по дороге и 100 машин через тоннель. Причем половина, 50 машин, чтобы ехали в обратном направлении.
STP в моем понимании: класс существует и должен быть создан только для одной задачи.
Не должно быть супер-классов, которые умеют все: и в БД ходить, и бизнес-сущности менять, и запросы обрабатывать. Это будет 3 класса: доменный агрегат, репозиторий, QueryHandler. Да, они будут взаимодействовать между собой, так или иначе.
SRP распространяется и на компоненты, и на микросервисы.
почему Яндекс.Таланты на ответы ".Net разработчик, > 3 лет, middle|senior, Россия, Москва" предлагает работать в тех.поддержке на телефоне или менеджером по продаже?
В частности, для написания интеграционных тестов (они у нас написаны на JS в виде библиотеки)
вы используете какую-то JS библиотеку для написанися интеграционнных тестов?
или написали свой фреймворк для тестов?
или это просто набор JS файлов, которые дергаются CI системой?
вы всем западным институтам и организациям верите безоговорочно?
все эти цифры и рейтинги для лохов. завтра на улицу выйдет кто-то с призывом свержения власти и его упекут за решетку (и правильно сделают) — и рейтинг понизят нам до уровня Нигера — а Freedom House скажет — человеку не дали свободно высказаться. все еще веришь в циферки?
все эти агенства, когда надо опубликуют что угодно. В США часть населения живет на картонках, по карточкам питается, нигде не работает, бомжует. где рейтинги? )) никто не опубликует что что-то не впорядке. ААА+++ рейтинг будет )))
тот же ВВП давно уже не отражает реальной экономики.
1. пытки в подвалах — вы их лично видели? или паоверить наслово?
2. подрос наркотиков — т.е. полиция и ФСБ теперь одна структура?
т.е. если один сотрудник ФСБ что-то сделал не то — то надо всю структуру разогнать? ) и в другом мире все всятые с нимбами? )
для вредоносного скрипта даже 10 сек хватит сделать все.
как раз практика говорит о том, что рефреш токен когда перевыпускается — старый прибивается. ибо он не нужен нигде, ни на фронте, ни на беке.
а Access Token добавляют в черный список когда делают блокировку токенов, например пользрователь руками в личном кабинете делает выход со всех устройств, кроме текущего, тогда система добавляет все Access Token'ы в черный список.
вы проводили анализ или поверили кому-то наслово? ) или это снова ваши предположения основанные на опыте? )
во что превратили хабр…
зато в иностранные алгоритмы верите безоговорочно. и в вебсервисы зарубежные, никогда они не сдавали с потрохами когда нужно было.
а токен к примеру живет долго.
понятное дело что по хорошему — при изменении прав/доступов и т.д. надо перевыпускать токен, а старый отправлять в черный список.
ну какие-то клеймы же можно положить в токен, чтобы на фронте отображать/скрывать контент для админа или обычного пользователя и другие кейсы делать.
а на бэке все равно проверять права, читать из токена это не секьюрно. даже если они подписаны.
2. проблема не в JWT — любой пароль меняется на условный токен, который может быть кукой, сессией и т.д.
я не говорю про физический доступ к компьютеру со стороны злоумышленника.
а вполне обычный кейс, человек поставил скомпрометированое расширение, или открыл вредоносный сайт в соседней вкладке.
получается токены могут быть успешно получены из соседней вкладки?
Одно дело по https отправляется. А другое дело хранится в браузере. Вредоносное расширение может получить ключи?
в localStorage? session? cookie?
Не надо быть настолько категоричным. Не все реализации DI — антипаттерны.
Предлагаю обновить пост через месяц-полтора, потому что у многих знакомых все поменялось, у кого-то ушло в минус, у кого-то в плюс через месяц. У кого-то из минуса сделалась докорекция, и стало отлично.
Выложите 100 машин по дороге и 100 машин через тоннель. Причем половина, 50 машин, чтобы ехали в обратном направлении.
Посмотрим кто кого ))
Не должно быть супер-классов, которые умеют все: и в БД ходить, и бизнес-сущности менять, и запросы обрабатывать. Это будет 3 класса: доменный агрегат, репозиторий, QueryHandler. Да, они будут взаимодействовать между собой, так или иначе.
SRP распространяется и на компоненты, и на микросервисы.
почему Яндекс.Таланты на ответы ".Net разработчик, > 3 лет, middle|senior, Россия, Москва" предлагает работать в тех.поддержке на телефоне или менеджером по продаже?
вы используете какую-то JS библиотеку для написанися интеграционнных тестов?
или написали свой фреймворк для тестов?
или это просто набор JS файлов, которые дергаются CI системой?