Реализация привилегий и дополнительных полей роли / Java

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Java [игнор отключен] [закрыт для гостей] / Реализация привилегий и дополнительных полей роли

25 сообщений из 90, страница 3 из 4

все

Реализация привилегий и дополнительных полей роли

#40107996

mayton

Участник

Откуда: loopback

Сообщения: 53 422

Рейтинг: 0 / 0

(разводя руками)

Я не буду больше спорить. Я просто сказал что потенциальному злоумышленнику не надо давать НИКАКОЙ
информации о привиелегированном пользователе. И всё. И мне очень странно ребята что вы вдруг решили
поиграть в либерализм. Дескыть чего.. так.. пускай видит кнопку. Фреймворк-же!

Ради бога. Это ваши цветочные магазины.

...

Рейтинг:

0 / 0

29.10.2021, 11:40

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108005

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

mayton

Я не буду больше спорить. Я просто сказал что потенциальному злоумышленнику не надо давать НИКАКОЙ
информации о привиелегированном пользователе. И всё. И мне очень странно ребята что вы вдруг решили
поиграть в либерализм. Дескыть чего.. так.. пускай видит кнопку. Фреймворк-же!

Ради бога. Это ваши цветочные магазины.

полностью поддерживаю

am_sasa

почему? вот, например json с правами

Код: javascript

{"data":[{},{},{}],"actions":[{"name":"удалить","url":"myservlet/delete"},{"name":"не удалить","url":"myservlet/nodelete"},...]}

или без прав

Код: javascript

{"data":[{},{},{}],"actions":[]}

где дыра?

это где?
в браузере? и это что? по этому jason строится dom? а если я вставлю то что должно быть в скобках построится всё что было не нужно?
и т.д. и т.п.

...

Рейтинг:

0 / 0

29.10.2021, 11:59

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108009

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

mayton

Я просто сказал что потенциальному злоумышленнику не надо давать НИКАКОЙ
информации о привиелегированном пользователе.

вообще не надо давать никакой дополнительной информации.
ни о ом что есть привилегии, ни о том что ещё что-то существует, кроме того что показано.

...

Рейтинг:

0 / 0

29.10.2021, 12:02

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108015

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

mayton,
Ваша хотелка "не давать ничего" зависит от денег.
Я не максималист. Автор решает, заплатят ему или нет.
Если фреймворк у него JS и приложение ОДНОГО ОКНА, то там все кнопки на клиенте))

...

Рейтинг:

0 / 0

29.10.2021, 12:12

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108016

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

вадя,

Максималисты блин)

...

Рейтинг:

0 / 0

29.10.2021, 12:13

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108022

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

PetroNotC Sharp

Ваша хотелка "не давать ничего" зависит от денег.
Я не максималист. Автор решает, заплатят ему или нет.
Если фреймворк у него JS и приложение ОДНОГО ОКНА, то там все кнопки на клиенте))

ну тут уже каждый решает как сильно прикрыть свой зад...

...

Рейтинг:

0 / 0

29.10.2021, 12:20

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108024

mayton

Участник

Откуда: loopback

Сообщения: 53 422

Рейтинг: 0 / 0

На одном из курсов по инфо-безопасности нам рассказывали о том что злоумышленник
обладает:

- бесконечным временем для анализа вашего кода (фронтенда). Он никуда не спешит. Он курит. Он пьет чай.
- бесконечными ресурсами (у него много физческих хостов для зондирования и атак).

Он - (предположительно) бывший сотрудник. Он знает код изнутри. Он работал с вами. Он - разрабатывал это.
(Это кстати легло в основу принципов Керхгофса).

А у нас с вами дорогие мои друзья-либералы есть - ограниченное время чтоб разбирать инцедент инфо-безопасности
и еще меньше времени чтоб его фиксить.

Вот исходя из такой пессиместичной вводной я предлагаю и продолжить дискуссию.

...

Рейтинг:

0 / 0

29.10.2021, 12:23

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108025

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

PetroNotC Sharp

Ваша хотелка "не давать ничего" зависит от денег.

а какие проблемы? в чем дороговизна?
грамотно подойти к построению прав, распределению страниц.

если на берегу договориться - всё просто.

...

Рейтинг:

0 / 0

29.10.2021, 12:25

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108026

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

вадя,
Ты сделай это на хибере а не на jdbc.
Тогда можно обсудить.
Я делал а ты нет.

...

Рейтинг:

0 / 0

29.10.2021, 12:28

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108027

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

mayton,

вот из этих посылов я и исхожу при проектировании с самого начала.
даже если конечный юзер знает о наличии других страниц и попытается их ввести в адресной строке - он переходит на сайты с девочками, правда сначала будет задержка в несколько минут....

...

Рейтинг:

0 / 0

29.10.2021, 12:29

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108029

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

mayton,
Современный веб это на клиенте все кнопки.
После уяснения фразы обсуждать становится нечего. Не пишем велосипедов.

...

Рейтинг:

0 / 0

29.10.2021, 12:30

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108031

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

PetroNotC Sharp

Ты сделай это на хибере а не на jdbc.

ты предлагаешь обсуждать прокладку по-новой? или ?
зачем мне хибер, если я без него живу намного спокойнее... и возможностей больше

...

Рейтинг:

0 / 0

29.10.2021, 12:31

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108032

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

PetroNotC Sharp

Современный веб это на клиенте все кнопки.
После уяснения фразы обсуждать становится нечего. Не пишем велосипедов.

ну да
а потом читаем на хабре статьи как всё доступно

...

Рейтинг:

0 / 0

29.10.2021, 12:32

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108034

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

Вадя, опыт есть?

Tsyklop

фронт на ReactJS

...

Рейтинг:

0 / 0

29.10.2021, 12:33

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108035

PetroNotC Sharp

Участник

Сообщения: 10 098

Рейтинг: 0 / 0

вадя,
Я отсекаю все твои рассуждения по jdbc. Offop.

...

Рейтинг:

0 / 0

29.10.2021, 12:35

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108049

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

Tsyklop

фронт на ReactJS

нет и не хочу вникать
проще на нативном js.
возможностей больше.

...

Рейтинг:

0 / 0

29.10.2021, 12:58

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108089

am_sasa

Гость

вадя

в браузере? и это что? по этому jason строится dom? а если я вставлю то что должно быть в скобках построится всё что было не нужно?
и т.д. и т.п.

да, все правильно, в какие скобки? Псевдо код:

Код: javascript

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

function вставитьКнопки(actions) {
	function добавитьБатон(label, url) {...}
	actions.forEach(function(action){ 
		добавитьБатон(action.name, action.url) 
	})
}
ajax.get(url, function(text){
	var json = JSON.parse(text);
	нарисоватьТаблицу(json.data);
	вставитьКнопки(json.actions);
})

для особо подозрительных скрипт про функции можно тоже загнать в json:

Код: javascript

1.
2.
3.
4.
5.
6.

ajax.get(url, function(text){
	var json = JSON.parse(text);
	eval(json.секретныйСкрипт);
	нарисоватьТаблицу(json.data);
	секретнаяФункция(json.секретныеДынные);
})

...

Рейтинг:

0 / 0

29.10.2021, 14:36

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108095

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

am_sasa,

тут mayton жалуется на батарейки, а ты ему предлагаешь то, что их пожираешь из json строить html, чтоб потом этот html встроить в dom. когда можно сразу вставлять готовый html в dom.....
да сразу получать готовый html....

Код: javascript

eval(json.секретныйСкрипт);

после этого разговаривать не о чём.....

...

Рейтинг:

0 / 0

29.10.2021, 14:44

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108096

am_sasa

Гость

вадя

после этого разговаривать не о чём.....

так я и написал, что это для особо одаренных, а про готовый HTML тебе уже Петро сказал, сейчас так никто не делает

...

Рейтинг:

0 / 0

29.10.2021, 14:48

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108131

Tsyklop

Гость

вадя

Tsyklop

фронт на ReactJS

нет и не хочу вникать
проще на нативном js.
возможностей больше.

Так ReactJS это и есть обычный, нативный JS. Это не Angular со своим всем.

...

Рейтинг:

0 / 0

29.10.2021, 17:07

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108132

Tsyklop

Гость

вадя

Код: javascript

eval(json.секретныйСкрипт);

после этого разговаривать не о чём.....

Современные реалии таковы, что фронт и бэк разные приложения со своими приколами. Сейчас уже никто не делает на JSP или на других шаблонизаторах, как было раньше. Не делают большие приложения. Мелкие для себя - пожалуйста как угодно.

У архитектуры, когда сервак отдает html, есть один интересный недостаток - на приложение под смартфоны тоже html отдавать будете? а на другой, какой либо клиент тоже html будете отдавать?

Такой подход уже устарел.

...

Рейтинг:

0 / 0

29.10.2021, 17:11

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108135

Tsyklop

Гость

Самое интересное что люди говорят про безопасность в подходе, когда фронт в себе уже хранит, только отрисовывает по условиям.

По вашей логике, все кто использует такой подход дураки? и те проекты, которые так написаны, можно легко ломануть? ломать можно - не спорю. Но это не так легко.

Вообще не понял в чем проблемы с безопасностью.

...

Рейтинг:

0 / 0

29.10.2021, 17:14

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108139

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

am_sasa

а про готовый HTML тебе уже Петро сказал, сейчас так никто не делает

ага , во только почему-то для нормальных сайтов рекомендуют использовать SSR

Tsyklop

Так ReactJS это и есть обычный, нативный JS. Это не Angular со своим всем.

ага , вот только используется json, со всеми вытекающими проблемами и кучей кода

...

Рейтинг:

0 / 0

29.10.2021, 17:24

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108143

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

Tsyklop

Современные реалии таковы, что фронт и бэк разные приложения со своими приколами.

к пуговицам претензии есть?

Tsyklop

У архитектуры, когда сервак отдает html, есть один интересный недостаток - на приложение под смартфоны тоже html отдавать будете?

а ты из json постоишь приложение для смартфона? или для яблока? грамотно построенный сайт выдаёт и на десктоп и на смартфон один html, продвинутые разрабы делают разные версии сайтов для десктопов и смартфонов - посмотри habr.com

Tsyklop

ломать можно - не спорю. Но это не так легко.

сам факт признания этого - уже говорит сам за себя. на том же хабре сколько было статей про "защищённые" сайты...

Tsyklop

Вообще не понял в чем проблемы с безопасностью.

проблем с безопасностью нет , есть проблемы когда этой безопасности нет...

Tsyklop

Такой подход уже устарел.

ещё раз ПОЧИТАЙ для чего рекомендуют использовать SSR
чем отличается json от html?

...

Рейтинг:

0 / 0

29.10.2021, 17:35

| Ответить | Цитировать | Написать

Реализация привилегий и дополнительных полей роли

#40108153

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

Tsyklop

Такой подход уже устарел.

если почитать статьи про сайтостроение - то придёшь к выводу , что "устаревшее" есть передовое.

...

Рейтинг:

0 / 0

29.10.2021, 17:51

| Ответить | Цитировать | Написать

25 сообщений из 90, страница 3 из 4

все

Форумы / Java [игнор отключен] [закрыт для гостей] / Реализация привилегий и дополнительных полей роли

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=59&msg=40108029&tid=2120322]:	0ms
get settings:	17ms
get forum list:	6ms
check forum access:	1ms
check topic access:	1ms
track hit:	99ms
get topic data:	2ms
get forum data:	1ms
get page messages:	425ms
get tp. blocked users:	0ms
others:	2228ms

total:	2780ms