Aktywne Wpisy
cirilla1989 +14
Mirki, podpowiedzcie jak zachować się za kierownicą na takiej szklance jak ostatnio? Przyznam się bez bicia (prawko od zaledwie 2l), że mimo jazdy na drugim biegu na szklance wpadałam w poslizgi. Dlatego, że jestem gówniara stazowa za kółkiem, to jako dobrzy koledzy sypnijcie trochę z doświadczenia jak się zachować. Dzięki!
#niebieskiepaski #rozowepaski #motoryzacja #prawojazdy #kiciochpyta
#niebieskiepaski #rozowepaski #motoryzacja #prawojazdy #kiciochpyta
miku555 +27
Obecna sytuacja Ukrainy przypomina tą Polski z drugiej wojny:
- nieudolne władze kierują państwo ku wojnie, mimo że kraj jest kompletnie na nią nieprzygotowany,
- wybucha wojna,
- "zachód pomóż!",
- zachód faktycznie daje pomoc wartą setki miliardów, mimo że wcale nie musiał tego robić,
- nic to nie daje (z różnych powodów),
- żal do zachodu, że "za mało pomógł"...
Dziwny kompleks ofiary pomieszany z kompleksem niższości i ogromną roszczeniowością -
- nieudolne władze kierują państwo ku wojnie, mimo że kraj jest kompletnie na nią nieprzygotowany,
- wybucha wojna,
- "zachód pomóż!",
- zachód faktycznie daje pomoc wartą setki miliardów, mimo że wcale nie musiał tego robić,
- nic to nie daje (z różnych powodów),
- żal do zachodu, że "za mało pomógł"...
Dziwny kompleks ofiary pomieszany z kompleksem niższości i ogromną roszczeniowością -
Mirki, jaki jest obecny standard w normalnej firmie IT odnośnie łączenia JWT (jako token do uwierzytelniania requestów) i SPA (np. React)? Znam kilka metod poniżej, ale chciałbym wiedzieć czego w rzeczywistości się używa?
1. JWT w localstorage -> wbrew dziesiątkom art. na necie twierdzącym, że to samo zło, sporo osób twierdzi, że tego używa i się nie przejmują XSS, koronny argument jest taki, że jak ktoś uzyska dostęp to i tak jwt to najmniejszy problem bo może zrobić dużo więcej złego.
2. JWT w ciastku -> chyba to samo co wyżej, i tak można odczytać w JS
3. JWT w ciastku httponly -> czyli de facto react renderowany na serwerze, naprawdę jest tutaj przewaga w zabezpieczeniu? Przecież jak się ma dostęp do przeglądarki przez input czy dodatek to i tak można zrobić wszystko, wystarczy fetch() i każdy request i tak będzie podpisany z tej przeglądarki -> czyli dalej można uzyskać to samo co w punktach 1-2.
4. JWT w state -> czyli F5 i od nowa ;)
A może jest coś o czymś nie wiem? Albo może w profesjonalnych produktach nikt JWT nie używa z wyżej wymienionych powodów?
Może banki, gov itp. powinny być lepiej zabezpieczone, ale zwykłe aplikacje? Stąd nie do końca
@TomAtari: co na przykład?
No nie do końca, jak zrobisz w ciastku i ustawisz na nim flagę HTTPOnly to przez JS tego nie odczytasz (np. przez XSS). Ja bym tak zrobił.
a odnośnie Twojego pytania to czytałem o wrzucaniu w ten sposób keyloggera czy podrzucaniu phishingowych formów dzięki czemu można łatwo uzyskać np. dostęp do banku