ну чуть лучше чем в обычных туристич городах. Выборочно переведенные надписи, обычные люди не жаждют на нем разговаривать. Но лучше чем в таиланде, хотя бы звуки правильно произносят.
В тур местах типа пика виктории и скай100 говорят отлично
китайский интернет может и круто но сам китай не прельщает. другое дело SAR — гонконг. великолепный город с устойчивой экономикой. кстати там говорят на cantonese — китайцы и гонконгцы не понимают друг друга
а какая разница то? я езжу в 19, но так же буду ездить в 29. пусть не по таиландам а по сша или канаде но ничто не прикует меня к двору. давайте, включаем smells like teen spirit и собираем чемоданы!
1) зачем хранить? signed cookie
2) это не не нужная инфа и не плохой стиль. это stateless стиль, зачем нагружать сервер когда клиент может взять на себя то что подписано
3) да, такая же идея всплыла у яхуды катза после mass assi… кароче не для всех сервисов это нормально. как будете ajax запросы подписывать, когда неизвестно какие параметры придут?
зачем ему меняться? если нет XSS то из куки его не вытащить а если есть то это другой уровень проблемы
я изначально сказал что решение НЕ красивое. Зачем писать gen_hash(form_id + to_id etc + salt) когда можно просто 1 раз сгенерить random строку. защита от CSRF и роуты написана не профессионалом и это очевидно — как заметил ТС не везде есть защита и более того GET иногда используется для state changing действий
ненужно ничего каждый раз гененрировать. 1 раз генерация при первом заходе на ресурс, сохраняется в сессии, сессия хранится прямо в куки подписана(прочесть и изменить ее нельзя)
при каждом запросе сессия шлется вместе ст океном на сервер и токен из запроса сверяется с токеном из сессии. кешировать все можно. даже для устаревших токенов если вы удалили сессию я делал патч для jquery_ujs для синхронизации
1. Anti-CSRF токены
«Но как они его красиво реализовали» это сарказм? токен никак не должен зависить от параметров которые легко может узнать сам хакер — фром айди и ту айди… токен простой рандом хеш, без выпендрежа
2. Собственно, сабж. Сайт нельзя отобразить в iframe, что правильно. Запретить отображение сайта в iframe можно различными способами
что правда? x-frame-options не передается и vk.com и m.vk.com преспокойно фреймится и кликджекится homakov.blogspot.hk/2012/06/saferweb-with-new-features-come-new.html
3. Поправили буквально за день-два. «Баунти» программы у них нет. В ответ было мол — поправили, проверьте и всё. P.S. Сниффер успешно внедрился, но это ничего не дало, из-за первого пункта про систему авторизации
такой XSS это просто *здеццц. насчет баунти — я тоже находил серьезный баг в oauth, за куда меньший баг фб мне 2к дали habrahabr.ru/post/150756/
вк огромная свалка не компилированного не минифицированого vanilla js кода. гребаный стыд
статья хорошая +1
В тур местах типа пика виктории и скай100 говорят отлично
template.compile.bind(scope)
2) это не не нужная инфа и не плохой стиль. это stateless стиль, зачем нагружать сервер когда клиент может взять на себя то что подписано
3) да, такая же идея всплыла у яхуды катза после mass assi… кароче не для всех сервисов это нормально. как будете ajax запросы подписывать, когда неизвестно какие параметры придут?
я изначально сказал что решение НЕ красивое. Зачем писать gen_hash(form_id + to_id etc + salt) когда можно просто 1 раз сгенерить random строку. защита от CSRF и роуты написана не профессионалом и это очевидно — как заметил ТС не везде есть защита и более того GET иногда используется для state changing действий
при каждом запросе сессия шлется вместе ст океном на сервер и токен из запроса сверяется с токеном из сессии. кешировать все можно. даже для устаревших токенов если вы удалили сессию я делал патч для jquery_ujs для синхронизации
«Но как они его красиво реализовали» это сарказм? токен никак не должен зависить от параметров которые легко может узнать сам хакер — фром айди и ту айди… токен простой рандом хеш, без выпендрежа
2. Собственно, сабж. Сайт нельзя отобразить в iframe, что правильно. Запретить отображение сайта в iframe можно различными способами
что правда? x-frame-options не передается и vk.com и m.vk.com преспокойно фреймится и кликджекится homakov.blogspot.hk/2012/06/saferweb-with-new-features-come-new.html
3. Поправили буквально за день-два. «Баунти» программы у них нет. В ответ было мол — поправили, проверьте и всё. P.S. Сниффер успешно внедрился, но это ничего не дало, из-за первого пункта про систему авторизации
такой XSS это просто *здеццц. насчет баунти — я тоже находил серьезный баг в oauth, за куда меньший баг фб мне 2к дали habrahabr.ru/post/150756/
вк огромная свалка не компилированного не минифицированого vanilla js кода. гребаный стыд
статья хорошая +1