IS
Не было за несколько лет ни одного прецедента, хотя некоторые проекты досили и шантажировали сео
Size: a a a
2020 July 28
d
Опыта с новомодными фреймворками мало. Поэтому вот уточняю у более опытных. )
IS
Иными словами были недоброжелатели, которые пытались всячески напакостить
d
Спасибо! Понял
IS
Спасибо! Понял
Вот ещё интересная статейка. Не знаю насколько она актуальна, относительно текущей версии реакта, но в целом стоит об этом знать. https://m.habr.com/ru/company/ruvds/blog/467255/
ЮЧ
Все привет!
Хотел спросить насколько безопасны переменные из .env? Имею ввиду которые начинаются с REACT_APP_*.
Хотел спросить насколько безопасны переменные из .env? Имею ввиду которые начинаются с REACT_APP_*.
Если вектор, от которого хочется обезопаситься — подмена скрипта, то лучше подойдет integrity-атрибут.
https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity
https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity
ЮЧ
Но вообще, прям пароли и токены не следует хранить в скрипте, а получать динамически, в результате аутентификации-авторизации.
d
Да я вот localStorage собираюсь защифровать
ЮЧ
А расшифровка производится на клиенте?
d
Да. redux-persist
ЮЧ
И ключ будет также в скрипте зашит?
d
const encryptor = createEncryptor({
secretKey: process.env.REACT_APP_KEY
});
Вот так написал
secretKey: process.env.REACT_APP_KEY
});
Вот так написал
d
Нормально будет так?
DB
Здравствуйте. Кто-нибудь может ответить на вопрос, пожалуйста. Я в некоторых репозиториях видел, что там используется вставка небольших таймаутов при переходах между страницами и при отображении некоторых элементов. Говорится, что это типа должно улучшить пользовательский опыт, потому что действия в приложении будут выглядеть более гладкими.
Хотелось бы услышать, насколько часто используется такой подход? И может кто-то скинуть статью где хорошо обосновывается, почему это может быть нужно?
Хотелось бы услышать, насколько часто используется такой подход? И может кто-то скинуть статью где хорошо обосновывается, почему это может быть нужно?
ЮЧ
Нормально будет так?
Это можно будет расшифорвать на клиенте.
ЮЧ
Если вы хотите именно шифровать, то ключ для дешифровки должен быть получен, путем обмена на токен доступа.
Это не предотвратит расшифровку, однако:
1. По крайней мере, клиент сможет расшифровать только те данные, к которым у него есть доступ (не сможет расшифровать чужие данные).
2. Вы сможете вести журнал доступа, в котором увидите действия злоумышленника. Его это остановит, но вы будете знать что вас взломали (или пытались).
Это не предотвратит расшифровку, однако:
1. По крайней мере, клиент сможет расшифровать только те данные, к которым у него есть доступ (не сможет расшифровать чужие данные).
2. Вы сможете вести журнал доступа, в котором увидите действия злоумышленника. Его это остановит, но вы будете знать что вас взломали (или пытались).
РК
Здравствуйте. Кто-нибудь может ответить на вопрос, пожалуйста. Я в некоторых репозиториях видел, что там используется вставка небольших таймаутов при переходах между страницами и при отображении некоторых элементов. Говорится, что это типа должно улучшить пользовательский опыт, потому что действия в приложении будут выглядеть более гладкими.
Хотелось бы услышать, насколько часто используется такой подход? И может кто-то скинуть статью где хорошо обосновывается, почему это может быть нужно?
Хотелось бы услышать, насколько часто используется такой подход? И может кто-то скинуть статью где хорошо обосновывается, почему это может быть нужно?
я как-то делал малюсенькое приложение с переходами между страницами, правда там была библиотека для анимации. Так вот, по моему скромному мнению, если сделать симпатичную, ненавязчивую анимашку, то в принципе для небольших прилаг будет норм, а так хз, кто-то говорил, что лучше без чем с анимациями
d
Если вы хотите именно шифровать, то ключ для дешифровки должен быть получен, путем обмена на токен доступа.
Это не предотвратит расшифровку, однако:
1. По крайней мере, клиент сможет расшифровать только те данные, к которым у него есть доступ (не сможет расшифровать чужие данные).
2. Вы сможете вести журнал доступа, в котором увидите действия злоумышленника. Его это остановит, но вы будете знать что вас взломали (или пытались).
Это не предотвратит расшифровку, однако:
1. По крайней мере, клиент сможет расшифровать только те данные, к которым у него есть доступ (не сможет расшифровать чужие данные).
2. Вы сможете вести журнал доступа, в котором увидите действия злоумышленника. Его это остановит, но вы будете знать что вас взломали (или пытались).
M-да
1
Получается при action изменения параметра поиска(query, page и т.д.) лучше в самом action вызвать санк? А не так делать