|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
(разводя руками) Я не буду больше спорить. Я просто сказал что потенциальному злоумышленнику не надо давать НИКАКОЙ информации о привиелегированном пользователе. И всё. И мне очень странно ребята что вы вдруг решили поиграть в либерализм. Дескыть чего.. так.. пускай видит кнопку. Фреймворк-же! Ради бога. Это ваши цветочные магазины. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 11:40 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
mayton Я не буду больше спорить. Я просто сказал что потенциальному злоумышленнику не надо давать НИКАКОЙ информации о привиелегированном пользователе. И всё. И мне очень странно ребята что вы вдруг решили поиграть в либерализм. Дескыть чего.. так.. пускай видит кнопку. Фреймворк-же! Ради бога. Это ваши цветочные магазины. am_sasa почему? вот, например json с правами Код: javascript 1.
или без прав Код: javascript 1.
где дыра? в браузере? и это что? по этому jason строится dom? а если я вставлю то что должно быть в скобках построится всё что было не нужно? и т.д. и т.п. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 11:59 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
mayton Я просто сказал что потенциальному злоумышленнику не надо давать НИКАКОЙ информации о привиелегированном пользователе. ни о ом что есть привилегии, ни о том что ещё что-то существует, кроме того что показано. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 12:02 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
mayton, Ваша хотелка "не давать ничего" зависит от денег. Я не максималист. Автор решает, заплатят ему или нет. Если фреймворк у него JS и приложение ОДНОГО ОКНА, то там все кнопки на клиенте)) ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 12:12 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
вадя, Максималисты блин) ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 12:13 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
PetroNotC Sharp Ваша хотелка "не давать ничего" зависит от денег. Я не максималист. Автор решает, заплатят ему или нет. Если фреймворк у него JS и приложение ОДНОГО ОКНА, то там все кнопки на клиенте)) ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 12:20 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
На одном из курсов по инфо-безопасности нам рассказывали о том что злоумышленник обладает: - бесконечным временем для анализа вашего кода (фронтенда). Он никуда не спешит. Он курит. Он пьет чай. - бесконечными ресурсами (у него много физческих хостов для зондирования и атак). Он - (предположительно) бывший сотрудник. Он знает код изнутри. Он работал с вами. Он - разрабатывал это. (Это кстати легло в основу принципов Керхгофса). А у нас с вами дорогие мои друзья-либералы есть - ограниченное время чтоб разбирать инцедент инфо-безопасности и еще меньше времени чтоб его фиксить. Вот исходя из такой пессиместичной вводной я предлагаю и продолжить дискуссию. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 12:23 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
PetroNotC Sharp Ваша хотелка "не давать ничего" зависит от денег. грамотно подойти к построению прав, распределению страниц. если на берегу договориться - всё просто. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 12:25 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
вадя, Ты сделай это на хибере а не на jdbc. Тогда можно обсудить. Я делал а ты нет. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 12:28 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
mayton, вот из этих посылов я и исхожу при проектировании с самого начала. даже если конечный юзер знает о наличии других страниц и попытается их ввести в адресной строке - он переходит на сайты с девочками, правда сначала будет задержка в несколько минут.... ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 12:29 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
mayton, Современный веб это на клиенте все кнопки. После уяснения фразы обсуждать становится нечего. Не пишем велосипедов. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 12:30 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
PetroNotC Sharp Ты сделай это на хибере а не на jdbc. зачем мне хибер, если я без него живу намного спокойнее... и возможностей больше ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 12:31 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
PetroNotC Sharp Современный веб это на клиенте все кнопки. После уяснения фразы обсуждать становится нечего. Не пишем велосипедов. а потом читаем на хабре статьи как всё доступно ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 12:32 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
Вадя, опыт есть? Tsyklop фронт на ReactJS ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 12:33 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
вадя, Я отсекаю все твои рассуждения по jdbc. Offop. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 12:35 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
Tsyklop фронт на ReactJS проще на нативном js. возможностей больше. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 12:58 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
вадя в браузере? и это что? по этому jason строится dom? а если я вставлю то что должно быть в скобках построится всё что было не нужно? и т.д. и т.п. Код: javascript 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.
для особо подозрительных скрипт про функции можно тоже загнать в json: Код: javascript 1. 2. 3. 4. 5. 6.
... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 14:36 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
am_sasa, тут mayton жалуется на батарейки, а ты ему предлагаешь то, что их пожираешь из json строить html, чтоб потом этот html встроить в dom. когда можно сразу вставлять готовый html в dom..... да сразу получать готовый html.... Код: javascript 1.
после этого разговаривать не о чём..... ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 14:44 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
вадя после этого разговаривать не о чём..... ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 14:48 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
вадя Tsyklop фронт на ReactJS проще на нативном js. возможностей больше. Так ReactJS это и есть обычный, нативный JS. Это не Angular со своим всем. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 17:07 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
вадя am_sasa, тут mayton жалуется на батарейки, а ты ему предлагаешь то, что их пожираешь из json строить html, чтоб потом этот html встроить в dom. когда можно сразу вставлять готовый html в dom..... да сразу получать готовый html.... Код: javascript 1.
после этого разговаривать не о чём..... Современные реалии таковы, что фронт и бэк разные приложения со своими приколами. Сейчас уже никто не делает на JSP или на других шаблонизаторах, как было раньше. Не делают большие приложения. Мелкие для себя - пожалуйста как угодно. У архитектуры, когда сервак отдает html, есть один интересный недостаток - на приложение под смартфоны тоже html отдавать будете? а на другой, какой либо клиент тоже html будете отдавать? Такой подход уже устарел. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 17:11 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
Самое интересное что люди говорят про безопасность в подходе, когда фронт в себе уже хранит, только отрисовывает по условиям. По вашей логике, все кто использует такой подход дураки? и те проекты, которые так написаны, можно легко ломануть? ломать можно - не спорю. Но это не так легко. Вообще не понял в чем проблемы с безопасностью. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 17:14 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
am_sasa а про готовый HTML тебе уже Петро сказал, сейчас так никто не делает Tsyklop Так ReactJS это и есть обычный, нативный JS. Это не Angular со своим всем. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 17:24 |
|
Реализация привилегий и дополнительных полей роли
|
|||
---|---|---|---|
#18+
Tsyklop Современные реалии таковы, что фронт и бэк разные приложения со своими приколами. Tsyklop У архитектуры, когда сервак отдает html, есть один интересный недостаток - на приложение под смартфоны тоже html отдавать будете? Tsyklop ломать можно - не спорю. Но это не так легко. Tsyklop Вообще не понял в чем проблемы с безопасностью. Tsyklop Такой подход уже устарел. чем отличается json от html? ... |
|||
:
Нравится:
Не нравится:
|
|||
29.10.2021, 17:35 |
|
|
start [/forum/topic.php?fid=59&msg=40108031&tid=2120322]: |
0ms |
get settings: |
26ms |
get forum list: |
13ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
49ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
463ms |
get tp. blocked users: |
1ms |
others: | 2400ms |
total: | 2971ms |
0 / 0 |