𝐼
Кстати еще один вопрос Feature driven Architecture стоит ли использовать в мобильной разработке ?
P.s. для больших проектов
Не будет ли каша в коде?
Size: a a a
2021 April 14
Kd
не будет каша, нормально, еще и быстрей будет собираться чем монолит
𝐼
Если 1 фичэ зависит от другого фичэ Что здесь стоить делать?
с#
Внезапно открыл для себя что соотношение между base64EncodedText - PlainText не однозначное.
Для одного PlainText иногда можно подобрать несколько base64 текстов.
Для одного PlainText иногда можно подобрать несколько base64 текстов.
с#
🔗
По мотивам предыдущего поста про base64. Если бегло пробежаться по гитхабу, то можно найти дохрена примеров отзыва JWT токена через добавление его как есть в черный список. In-memory или в redis какой-нибудь. Прямо в base64 форме.
Проблема в том, что два токена:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.CDfhHu9_n2jSQGHcUwmSgZLL1OKEGjK4hw6D3Q40MA0
и
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.CDfhHu9_n2jSQGHcUwmSgZLL1OKEGjK4hw6D3Q40MA1
оба валидны (можете сами проверить на https://jwt.io/ секретный ключ - secret6). И если добавить в черный список только один, то можно поправить один символ и ходить на апи дальше.
Если вы думаете, что люди так делать не будут, то ошибаетесь. Я спросил в чате про го народ как они блочат токены и первый ответ был именно такой. Или вот библиотека на гитхабе на 13 тысяч звездочек https://github.com/feathersjs/feathers и в документации у них написано делать именно так https://docs.feathersjs.com/cookbook/authentication/revoke-jwt.html
По сути это у кучи народу дыра в безопасности. На практике она минорная и хрен заэксплуатируешь, баунти за неё не получишь, а ходить репортить просто так лично мне лень.
Вот такое вот IT-говно.
По мотивам предыдущего поста про base64. Если бегло пробежаться по гитхабу, то можно найти дохрена примеров отзыва JWT токена через добавление его как есть в черный список. In-memory или в redis какой-нибудь. Прямо в base64 форме.
Проблема в том, что два токена:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.CDfhHu9_n2jSQGHcUwmSgZLL1OKEGjK4hw6D3Q40MA0
и
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.CDfhHu9_n2jSQGHcUwmSgZLL1OKEGjK4hw6D3Q40MA1
оба валидны (можете сами проверить на https://jwt.io/ секретный ключ - secret6). И если добавить в черный список только один, то можно поправить один символ и ходить на апи дальше.
Если вы думаете, что люди так делать не будут, то ошибаетесь. Я спросил в чате про го народ как они блочат токены и первый ответ был именно такой. Или вот библиотека на гитхабе на 13 тысяч звездочек https://github.com/feathersjs/feathers и в документации у них написано делать именно так https://docs.feathersjs.com/cookbook/authentication/revoke-jwt.html
По сути это у кучи народу дыра в безопасности. На практике она минорная и хрен заэксплуатируешь, баунти за неё не получишь, а ходить репортить просто так лично мне лень.
Вот такое вот IT-говно.
с#
надеюсь никого не перебил
с#
хотя хуйня новость, ничего опасного в этом нет
AM
Я невнимательно читал, но adbserver, который в составе каспрессо, возможно, может быть полезной.
MG
Накидайте почитать, потому что я так и не догоняю че за фича дривен, и чем оно отличается от обычной модуляризации
𝐼
𝐼
Типа не монолит)
MG
Это методология
MG
Я про архитектурный подход
AM
А что там, в @android_architecture забанили?
Kd
пока нет круговых зависимостей можно друг от друга зависеть, если появляется то выносить общую зависимость в отдельный модуль
Kd
там насоветуют ага
𝐼
Там злые ребята)
Kd
за щеку
AM
Тут тоже не очень добрые. Я, например.