(function(m,e,t,r,i,k,a){m[i]=m[i]||function(){(m[i].a=m[i].a||[]).push(arguments)}; m[i].l=1*new Date(); for (var j = 0; j < document.scripts.length; j++) {if (document.scripts[j].src === r) { return; }} k=e.createElement(t),a=e.getElementsByTagName(t)[0],k.async=1,k.src=r,a.parentNode.insertBefore(k,a)}) (window, document, "script", "https://mc.yandex.ru/metrika/tag.js", "ym"); ym(93807279, "init", { defer: true, clickmap:true, trackLinks:true, accurateTrackBounce:true }); ym(93807279, 'hit', window.location.href);
vc.ru

Перепись активных пользователей vc.ru Статьи редакции

Расскажите о себе.

Мы проводим перепись пользователей каждые два года — чтобы познакомиться и узнать новое о своей аудитории. Сделаем это вновь.

Пожалуйста, в комментариях расскажите о себе, чем занимаетесь, зачем читаете vc.ru, на какие подсайты здесь подписаны и чего вам не хватает (с точки зрения контента или функций на сайте).

Основное правило всё то же: пишем про себя только в комментариях первого уровня. Один человек — один комментарий.

Погнали?

2 показа
18K открытий
1 репост
0
892 комментария
Написать комментарий...
Показать всё . Вы видите только часть дискуссии
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
John Lock

Про 4-е не согласен, если статик работает с удаленной БД, "взлом" такого сайта даст необходимый токен для подключения к этой БД и сливе данных с нее😏

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
John Lock

Бггг, ну вы же каким-то образом подключаетесь к этой базе, не так ли? С помощью URL-а например или чего-то подобного, что наверняка где-то прописано и не берется из воздуха. Поэтому весь вопрос сводится к получению этого URL-а подключения и токенов доступа.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
John Lock

Я сейчас скорее про взлом хостинга с доступом к вашим исходникам :)
И второй момент, который я еще не изучал, если код подключения к БД вместо с URL-ом и токенами хранится в коде, который пусть и компрессится вебпаком, разве он все равно не доступен для чтения на клиенте? При условии, что статическая страница на клиенте не подключается к этой БД?😏

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
John Lock

Я съеду с ответа, потому что для детального анализа надо время, а мне сейчас откровенно лень заниматься этим чисто в исследовательских целях. Но вообще такая тема у меня стоит в планах, посмотреть, как это все реализовано и какие потенциальные дырки это может открывать.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
John Lock

Тут играет роль скорее как именно и с какими исходными данными создана страница, если это статика и подключение к той же БД осуществляется с помощью JS-а, то код (url-ы, токены) останется в файле. Даже пусть и обфусцированные. И с изрядной долей упорности (упоротости?) их получится выудить.
Чистую статику, которая тянет контент с сервака с помощью JSON-а например и все, смысл ломать действительно нет, все данные на серваке, БД там. Но речь именно о self-хостинге, где БД твоя, а не о сервисах, предоставляющих такие услуги.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
John Lock

Конечно, чем больше кода и используемых технологий, тем больше точек взлома системы😎
Короче победила дружба😁

Ответить
Развернуть ветку
Mike Kosulin

Не нужно хранить ключи в репозиториях:)

Ответить
Развернуть ветку
Показать 892 комментария . Вы видите только часть дискуссии
Написать комментарий...
889 комментариев
Раскрывать всегда