Крик души

ie · Post by ie » 16 May 2021 14:51

Dmitry67 wrote: 16 May 2021 14:42 Шифровать то можно, но разве передача такой информации в url не дикий антипаттерн?

ну хорошо. а как правильно передавать?
научите. зарыть гденить в хэдер, так типа будет секюр и злые русские хакеры никагда не дагадеются туда посмотерть?

ie · Post by ie » 16 May 2021 14:52

iDesperado wrote: 16 May 2021 14:50
ie wrote: 16 May 2021 14:40 а как вы будете защищать api не передовая логин инфо?
научите... правда интересно.
речь про урл, а не передачу. обычный пост по защищенному https дает достаточно гарантий.

так как передовать то? куда складывют пароли нармальные пасаны респектфул девелоперы?

Dmitry67 · Post by **Dmitry67** » 16 May 2021 14:55

ie wrote: 16 May 2021 14:51
Dmitry67 wrote: 16 May 2021 14:42 Шифровать то можно, но разве передача такой информации в url не дикий антипаттерн?
ну хорошо. а как правильно передавать?
научите. зарыть гденить в хэдер, так типа будет секюр и злые русские хакеры никагда не дагадеются туда посмотерть?

Дело не в какерах
Поделка вообще для глубокого интранет
Но если бы я это не заметил и мои коллеги увидели бы мой пароль на экране во время презентации, то я стал бы посмешищем

iDesperado · Post by **iDesperado** » 16 May 2021 14:59

ie wrote: 16 May 2021 14:52 так как передовать то? куда складывют пароли нармальные пасаны респектфул девелоперы?

обычный http post. ну и пост мне кажется обычно идет на веб сервер, который уже делает рест вызов на соответствующий вебсервис, а не как тут api торчит наружу.

ie · Post by ie » 16 May 2021 15:07

Dmitry67 wrote: 16 May 2021 14:55 Дело не в какерах
Поделка вообще для глубокого интранет

вот видите какие детали всплывают.

Dmitry67 wrote: 16 May 2021 14:55 Но если бы я это не заметил и мои коллеги увидели бы мой пароль на экране во время презентации, то я стал бы посмешищем

ну понятно.. тут эмошнл аспект очень сильный...

ie · Post by ie » 16 May 2021 15:09

iDesperado wrote: 16 May 2021 14:59
ie wrote: 16 May 2021 14:52 так как передовать то? куда складывют пароли нармальные пасаны респектфул девелоперы?
обычный http post. ну и пост мне кажется обычно идет на веб сервер, который уже делает рест вызов на соответствующий вебсервис, а не как тут api торчит наружу.

http пост с паролем или без?
и что вам мешает сделать http post на localhost:8080/api ?
url не нравиться?

iDesperado · Post by **iDesperado** » 16 May 2021 15:18

ie wrote: 16 May 2021 15:09 http пост с паролем или без?
и что вам мешает сделать http post на localhost:8080/api ?
url не нравиться?

с паролем.
ничего не мешает.
не нравится.
к чему этот тупой тролинг ?

Palych · Post by **Palych** » 16 May 2021 17:53

Думаю главные монстры будут внутри кода. Креативность там наверняка затмит самые смелые предложения.

Dmitry67 · Post by **Dmitry67** » 16 May 2021 18:32

Palych wrote: 16 May 2021 17:53 Думаю главные монстры будут внутри кода. Креативность там наверняка затмит самые смелые предложения.

Я уже смотрел
Таки да (((
Количество багов пропорционально числу найденных
А количество идиотизма пропорционально сразу увиденному

Flash-04 · Post by **Flash-04** » 16 May 2021 19:11

Хм, ну не делают так, даже с https.
Credentials передают в POST.
Почему? Очень просто: сейчас, любая уважающая себя организация держит логи. При таком подходе в них будут все пароли пользователей, а это недопустимо.
В моей практике был случай, когда в логах было даже содержимое POST запросов. После указания на этот факт, их перестали записывать.

Ion Tichy · Post by **Ion Tichy** » 16 May 2021 19:12

ie wrote: 16 May 2021 14:52
iDesperado wrote: 16 May 2021 14:50
ie wrote: 16 May 2021 14:40 а как вы будете защищать api не передовая логин инфо?
научите... правда интересно.
речь про урл, а не передачу. обычный пост по защищенному https дает достаточно гарантий.
так как передовать то? куда складывют пароли нармальные пасаны респектфул девелоперы?

The HTTP Authorization request header... ? Я угадал?

Flash-04 · Post by **Flash-04** » 16 May 2021 19:15

По URL похоже API. Для них обычно ключи выдают, которые уже могут передаваться по разному. Например в полях HTTP запроса.

Ion Tichy · Post by **Ion Tichy** » 16 May 2021 19:26

Flash-04 wrote: 16 May 2021 19:11 Хм, ну не делают так, даже с https.
Credentials передают в POST.
Почему? Очень просто: сейчас, любая уважающая себя организация держит логи. При таком подходе в них будут все пароли пользователей, а это недопустимо.
В моей практике был случай, когда в логах было даже содержимое POST запросов. После указания на этот факт, их перестали записывать.

Уточните пжста - логи чего? Что по проводам идет? SQL queries с параметрами и результатами? Что, скажем, JBoss на уровне TRACE пишет? Всего отовсюду?

Flash-04 · Post by **Flash-04** » 16 May 2021 19:34

Логи веб приложения, логи веб сервера. И таки да, всего.

Dmitry67 · Post by **Dmitry67** » 16 May 2021 19:42

Я вынес два урока
Впрочем, это было повторение пройденного
1. Услуги senior дешевле услуг junior
2. В ТЗ надо вставлять строку: Особенно важна переменная noSilent. Если исполнитель придет и спросит - WTF? то все хорошо. А если вопросов по ТЗ не возникло, то надо насторожиться

Привет

Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души