Перепись активных пользователей vc.ru Статьи редакции
Расскажите о себе.
Мы проводим перепись пользователей каждые два года — чтобы познакомиться и узнать новое о своей аудитории. Сделаем это вновь.
Пожалуйста, в комментариях расскажите о себе, чем занимаетесь, зачем читаете vc.ru, на какие подсайты здесь подписаны и чего вам не хватает (с точки зрения контента или функций на сайте).
Основное правило всё то же: пишем про себя только в комментариях первого уровня. Один человек — один комментарий.
Погнали?
2
показа
18K
открытий
1
репост
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Про 4-е не согласен, если статик работает с удаленной БД, "взлом" такого сайта даст необходимый токен для подключения к этой БД и сливе данных с нее😏
Комментарий недоступен
Бггг, ну вы же каким-то образом подключаетесь к этой базе, не так ли? С помощью URL-а например или чего-то подобного, что наверняка где-то прописано и не берется из воздуха. Поэтому весь вопрос сводится к получению этого URL-а подключения и токенов доступа.
Комментарий недоступен
Я сейчас скорее про взлом хостинга с доступом к вашим исходникам :)
И второй момент, который я еще не изучал, если код подключения к БД вместо с URL-ом и токенами хранится в коде, который пусть и компрессится вебпаком, разве он все равно не доступен для чтения на клиенте? При условии, что статическая страница на клиенте не подключается к этой БД?😏
Комментарий недоступен
Я съеду с ответа, потому что для детального анализа надо время, а мне сейчас откровенно лень заниматься этим чисто в исследовательских целях. Но вообще такая тема у меня стоит в планах, посмотреть, как это все реализовано и какие потенциальные дырки это может открывать.
Комментарий недоступен
Тут играет роль скорее как именно и с какими исходными данными создана страница, если это статика и подключение к той же БД осуществляется с помощью JS-а, то код (url-ы, токены) останется в файле. Даже пусть и обфусцированные. И с изрядной долей упорности (упоротости?) их получится выудить.
Чистую статику, которая тянет контент с сервака с помощью JSON-а например и все, смысл ломать действительно нет, все данные на серваке, БД там. Но речь именно о self-хостинге, где БД твоя, а не о сервисах, предоставляющих такие услуги.
Комментарий недоступен
Конечно, чем больше кода и используемых технологий, тем больше точек взлома системы😎
Короче победила дружба😁