В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Programming Offtop

554 membersпожаловаться на группу
2020 September 14

Kd

Konstantin dmz9 in Programming Offtop
Vladimir Petrakovich
Видимо, должно поддерживаться сервером
на ассеты всем похуй, в страницу их грузится обычно дохера и на каждом проверять сессии - ну такое. обычно просто лежит на отдельном цдн, да, откуда просто раздает всем желающим
источник
16:27пожаловаться#1

VP

Vladimir Petrakovich in Programming Offtop
Andrew Mikhaylov
Так. В статье сниппет, который, находясь на чужом домене, с домена вашей апишки запрашивает жисон, надеясь, что вы там авторизованы. А потом с помощью хака с конструктором массива забирает себе данные.
Расскажите мне, далёкому от этих ваших вебов, CORS разве не за защиту от этого отвечает?
Видимо ответ в том, что статья старая и описывает ситуацию до этих ваших cors'ов
источник
16:28пожаловаться#2

AM

Andrew Mikhaylov in Programming Offtop
Vladimir Petrakovich
Видимо ответ в том, что статья старая и описывает ситуацию до этих ваших cors'ов
Вот и я к этому веду.
источник
16:28пожаловаться#3

AM

Andrew Mikhaylov in Programming Offtop
И да, HTTPS с CDN-ами реально к проблеме в этой статье отношения не имеет, зря я вбросил, не почитав ссылку.
источник
16:29пожаловаться#4

VP

Vladimir Petrakovich in Programming Offtop
Konstantin dmz9
на ассеты всем похуй, в страницу их грузится обычно дохера и на каждом проверять сессии - ну такое. обычно просто лежит на отдельном цдн, да, откуда просто раздает всем желающим
Ну во-первых, дело не в сессиях.
Во-вторых, я и уточнил, это CDN или личная статика сервиса, которая обычно имеет такую же CORS политику, как и всё остальное - слать нахер левые домены
источник
16:29пожаловаться#5

Kd

Konstantin dmz9 in Programming Offtop
Vladimir Petrakovich
Ну во-первых, дело не в сессиях.
Во-вторых, я и уточнил, это CDN или личная статика сервиса, которая обычно имеет такую же CORS политику, как и всё остальное - слать нахер левые домены
так это настраивается на вебсервере можешь ты нахуй слать или нет
источник
16:29пожаловаться#6

AM

Andrew Mikhaylov in Programming Offtop
Vladimir Petrakovich
Ну во-первых, дело не в сессиях.
Во-вторых, я и уточнил, это CDN или личная статика сервиса, которая обычно имеет такую же CORS политику, как и всё остальное - слать нахер левые домены
Это даже не статика сервера, это обычная апишка сервера.
источник
16:29пожаловаться#7

AK

Anton Korotkikh in Programming Offtop
Vladimir Petrakovich
Как же хорошо не лезть на фронт и не думать обо всём этом
во-во, неистово плюсую
источник
16:30пожаловаться#8

AM

Andrew Mikhaylov in Programming Offtop
Andrew Mikhaylov
Это даже не статика сервера, это обычная апишка сервера.
Конструктор массива переопределятся на странице злоумышленника.
источник
16:30пожаловаться#9

VP

Vladimir Petrakovich in Programming Offtop
Andrew Mikhaylov
Это даже не статика сервера, это обычная апишка сервера.
Ну предположим, что это просто статика
источник
16:30пожаловаться#10

AM

Andrew Mikhaylov in Programming Offtop
Vladimir Petrakovich
Ну предположим, что это просто статика
Статический жисон с секретными данными?
источник
16:30пожаловаться#11

AM

Andrew Mikhaylov in Programming Offtop
Или вы уже ушли от изначально обсуждаемой уязвимости?)
источник
16:31пожаловаться#12

VP

Vladimir Petrakovich in Programming Offtop
Andrew Mikhaylov
Статический жисон с секретными данными?
К клоню к тому, что даже статика с дефолтными настройками не должна утекать на другие домены, чего уж говорить про вызовы апишки
источник
16:31пожаловаться#13

Kd

Konstantin dmz9 in Programming Offtop
што та уязвимость какая то странная на самом деле
источник
16:31пожаловаться#14

Kd

Konstantin dmz9 in Programming Offtop
зачем вообще что то секретное присылать на фронт если чел еще не залогинился
источник
16:31пожаловаться#15

AM

Andrew Mikhaylov in Programming Offtop
Konstantin dmz9
зачем вообще что то секретное присылать на фронт если чел еще не залогинился
Так там речь о залогиненном юзера.
источник
16:32пожаловаться#16

AM

Andrew Mikhaylov in Programming Offtop
Ты на good.com авторизуешься, тебе по good.com/api/mydata.json начинает отдаваться секретная инфа. Дальше ты заходишь на bad.com, который подключает эту жисонину с чужого домена себе и забирает оттуда данные.
источник
16:33пожаловаться#17

AM

Andrew Mikhaylov in Programming Offtop
CORS-ы, насколько я понимаю, позволяют запретить такое подключение.
источник
16:33пожаловаться#18

с#

саша сок #KotlinGang... in Programming Offtop
всем привет, я тут костылю и токен делаю на одном проекте как ByteArray(size = 512), это по идее 8 ^ 512 комбинаций, я посчитать смог ток 8 ^ 100, это 2037035976334486086268445688409378161051468393665936250636140449354381299763336706183397376 комбинаций, так в чем вопрос, не надо же это ещё к юзер айди привязывать, бессмысленно ?
источник
18:10пожаловаться#19

Kd

Konstantin dmz9 in Programming Offtop
пройдите в javastart или в другой детский сад пазязя
источник
18:12пожаловаться#20