Ну удобнее его делает как раз более легкий синтаксис :) Код действительно очень наглядный получается. К тому же он шустрее haml, github.com/stonean/slim — посмотрите benchmarks.
Да уж, за 2 уикэнда с внутренностями руби разобраться, еще и свое дописать… Даже и не рискну повторить этот подвиг :) Спасибо и за вклад в опен сорс, и за пост, и за подборку ссылок :)
XSS — не единственная беда и в одном месте все возможные баги не соберешь. Вот взять те же рельсы. Казалось бы магия везде, ОРМ, фильтрации по-умолчанию и т.д. Но недавно увидел у знакомого кусок кода вроде этого: Comment.create! { user_id: current_user.id }.merge params[:comment]
Вроде бы все хорошо, но если вдруг кто-то передаст параметр user_id в форму (мало ли, код увидит или еще что), то можно отправлять комментарии от имени другого пользователя. А нужно было всего лишь сделать мерж в другую сторону: Comment.create! params[:comment].merge({ user_id: current_user.id })
> Думаете, веб-разработчики стали от этого умнее и предприняли все возможные методы для защиты? Я так не думаю.
Вот для того, чтобы веб-разработчики стали умнее, они должны пройти через путь тех самых скрипт-киддисов :) Сначала киддисы ломают сайты по чужим рецептам, потом им хочется начать писать свои, а для этого нужно очень много всего изучить. Начинают изучать языки программирования, протоколы, какие-то вспомогательные технологии и т.д. Причем нужно изучать, вдаваясь во все подробности, иначе баги не так-то просто будет откопать.
И когда уже есть багаж знаний, они понимают, что лучше создавать, чем ломать :) Но такие люди уже будут создавать сайты, предугадывая большинство вариантов взлома.
И если не секрет, сколько вам дали за 25%? Тоже готовлю стартап и тоже на тему образования, но не знаю, с кем лучше договориться об инвестициях. Тот же главстарт дает 20$K за 10%, ваши цифры сравнимы?
Извините, тут никак не получится статья. И рецепта нет, разве что заводить больше знакомств. В первом комменте правильно написали — все делается по звонку от знакомого дяди.
На выборах оооочень много людей озолотилось. Даже рядовые программисты за 5 минут по 100К успевали заработать, а что творилось в высших эшелонах власти… и подумать страшно :) Но как вы правильно написали, приобретенный опыт — бесценен, так держать )
На самом деле хорошее дело делают, хоть и со своей выгодой. Если все будут искать только профессионалов, то после универа и податься будет некуда :)
Главное отбирать людей внимательно, потому что многие смотрят на своих друзей-программистов, видят, что они хорошо зарабатывают, а работают мало и решают, что тоже так смогут, не имея тяги к этой работе и стремления к совершенствованию. Такие будут долго морочить голову, а потом еще и уйдут со скандалом.
Это уже вопрос десятый, как будет работать этот бот, в автоматическом режиме или полуавтоматическом, вручную все равно никто не будет искать раздачи, это нереально. Да и суть не в этом.
Они написали программу, которая заблокировала 45 тысяч пользователей вместо одной абузы, которая заблокировала бы всех. Ну нет в ней смысла. Никакого. На файлообменниках, типа рапидшары, действуют абузы и там только так и защищают свой контент. Не пишут софтин, которые будут ддосить эти файлообменники.
Но я понял вашу позицию. Предлагают на этом и закончить. Спор бессмысленный.
Ну на чужую флешку с фильмами и музыкой тоже нельзя написать абузу.
Рассуждать можно бесконечно, но суть в том, что этот проект полностью бесполезный. Пиратство не остановить, но можно уменьшить масштабы, теми же абузами (бОльшая часть пиратского трафика приходится на трекеры, причем внутренние трекеры провайдеров). Что мешает им написать бота, который будет лазить по тому же рутрекеру, искать контент по названию и автоматически отправлять абузы? Ничего, пишется такой бот за день. Но они решили пойти путем, за который можно срубить больше бабла.
Просто обидно, что спонсируются бесполезные проекты, в то время как интересные и востребованные утекают за границу.
Лучше бы Игоря Сысоева поддержали и не отпустили в америку. А то реально умные люди с успешными проектами валят из россии, а дебильные идеи, еще и противозаконные мы поддерживаем. Идиоты, слов нет.
Причем и тем, кто пропустил такой софт в сколково. Наглядный пример отмывания денег — вместо того, чтобы внести закон, по которому провайдеры должны блокировать трафик с торрентов, ну или популярные трекеры, они делают сомнительную программу с сомнительной эффективностью. И им еще денег приплачивают.
К тому времени, когда такие технологии появятся, у каждого в мозгу будет чип, который так же будет общаться с автомобилями и диспетчерами. Так что спокойной пойдете сквозь этот поток, не обращая ни на кого внимание )
Кстати, успехов вам, крутые штуки делаете :)
Сорри, но что за мастаж (вы про шаблоны говорили)? Никогда не слышал.
Comment.create! { user_id: current_user.id }.merge params[:comment]
Вроде бы все хорошо, но если вдруг кто-то передаст параметр user_id в форму (мало ли, код увидит или еще что), то можно отправлять комментарии от имени другого пользователя. А нужно было всего лишь сделать мерж в другую сторону:
Comment.create! params[:comment].merge({ user_id: current_user.id })
Вывод — очень много зависит от логики.
Вот для того, чтобы веб-разработчики стали умнее, они должны пройти через путь тех самых скрипт-киддисов :) Сначала киддисы ломают сайты по чужим рецептам, потом им хочется начать писать свои, а для этого нужно очень много всего изучить. Начинают изучать языки программирования, протоколы, какие-то вспомогательные технологии и т.д. Причем нужно изучать, вдаваясь во все подробности, иначе баги не так-то просто будет откопать.
И когда уже есть багаж знаний, они понимают, что лучше создавать, чем ломать :) Но такие люди уже будут создавать сайты, предугадывая большинство вариантов взлома.
Главное отбирать людей внимательно, потому что многие смотрят на своих друзей-программистов, видят, что они хорошо зарабатывают, а работают мало и решают, что тоже так смогут, не имея тяги к этой работе и стремления к совершенствованию. Такие будут долго морочить голову, а потом еще и уйдут со скандалом.
Они написали программу, которая заблокировала 45 тысяч пользователей вместо одной абузы, которая заблокировала бы всех. Ну нет в ней смысла. Никакого. На файлообменниках, типа рапидшары, действуют абузы и там только так и защищают свой контент. Не пишут софтин, которые будут ддосить эти файлообменники.
Но я понял вашу позицию. Предлагают на этом и закончить. Спор бессмысленный.
Рассуждать можно бесконечно, но суть в том, что этот проект полностью бесполезный. Пиратство не остановить, но можно уменьшить масштабы, теми же абузами (бОльшая часть пиратского трафика приходится на трекеры, причем внутренние трекеры провайдеров). Что мешает им написать бота, который будет лазить по тому же рутрекеру, искать контент по названию и автоматически отправлять абузы? Ничего, пишется такой бот за день. Но они решили пойти путем, за который можно срубить больше бабла.
Просто обидно, что спонсируются бесполезные проекты, в то время как интересные и востребованные утекают за границу.