Сразу ссылки:
https://habr.com/ru/companies/bastion/articles/757590/
https://www.youtube.com/live/CxzRuIayiVk?t=4660s
Хорошая обзорная статья на все базовые возможные атаки которые можно совершить на клиенте.
Подойдет как для подготовки к собесу (во всякие банки и секьюрити-конторы часто спрашивают (лично встречался с такими вопросами, но обычно дальше XSS, CSRF фронтендера мучать не будет)), так и для общего развития, чтобы в дальнейшем в своих проектах не попадать в неприятные ситуации когда например через query запрос можно вызвать скрипт.
Вторая ссылка - это запись доклада на Moscow JS по безопасности в вебе. Тут уже умный дядька рассказывает более интересные вещи, про уязвимость npm пакетов, DUST / SUST (динамическое/статическое тестирование безопастности) и утилиты для этого. Даже удалось лично пообщаться с ним после доклада. Он говорит что на самом деле клиентские атаки на его практике это большая редкость, но это не значит что нужно забивать на безопасность.
Например если взять взаимодействие с крипто кошельком, оно происходит через клиентскую сторону при помощи JS. Появление XSS в таком приложении означает потери всех ваших драгоценных биткойнов.
Вот тут прикольный лабораторный инструмент, в котором своими руками можно пощупать уязвимое приложение (раньше был хост на хероку, но теперь платить видимо никто не хочет)
Последние пару недель старался читать смотреть всякий материал по безопасности, как то загорелся, и хочу попробовать потестить некоторые инструменты у себя на проекте. Если будут какие то интересные подробности (и я не забуду), то обязательно отпишу сюда результаты.
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Ликбез по распространенным Client-Side уязвимостям
В этой статье мы покажем: как в разных ситуациях манипулировать веб-сайтом таким образом, чтобы он передавал пользователям вредоносный JavaScript. как скомпрометировать администратора сайта, отправив...
👾3
Как вообще туда попал? Скидывает значит мне коллега Влад пост о том, что клауд проводит бесплатную конференцию, приглашение как сейчас принято высылается после модерации. Тут спасибо большое Сане Стародубцеву за промик, благодаря которому можно было 100% лутануть проходку.
Вкидываю загадку для ума от умных дядек: Чем отличается докер имадж от докер контейнера? Ответ высылать ментальной связью или в комменты.
Среди гостей были и более знакомые лица: Саша Стародубцев, Владилен Минин и Глеб Михеев (с которым я забыл сфоткатьcя :( ). Такой компашкой мы провели почти целый вечер разговаривая о разном. На этом моменте мой стереотип сломался, не думал я что известные люди могут быть настолько простыми.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1
https://www.howtogeek.com/arc-browser-creator-moving-on-to-new-project/
Было круто что Арк использовал канареечную версию хромиума, пару раз получалось словить какой то баг из-за движка, и приходило понимаете что в стабильной версии что то отвалится, это позволяло делать превентивный фикс. Дима Зиробиас писал что это помогло в авиасейлс превентивно пофиксить баг с какой то валютой. Для разраба это очень крутой инструмент.
Да, были и неприятные моменты, была информация что в арке была дырка, через которую могли утечь чувствительные данные. Правда по заявлениям самих разрабов, «никакие данные не утекли, мы все вовремя пофикисили» (верим)
Please open Telegram to view this post
VIEW IN TELEGRAM
How-To Geek
Arc Browser Creator Moving On To New Project
The Arc browser is "done" apparently.
👾3
Получается большие компании не способны в тонкий/точечный менеджмент ? Почему они не способны управлять людьми, возьмем хотя бы нас программистов, исходя из наших же результатов ? Во время пандемии, когда всех скинули на удаленку, каждый уважающий себя в то время работяга был обязан выложить вложик как он работает 1-2 часа в день и все было у всех хорошо.
Но тут парадокс, как только бигтех (да и всех это касается) вводит менеджмент который основан на каких то результатах и жестких метриках, то уважаемый работяга начинает вопить, что нельзя оценивать его работу по количеству закрытых жира-задач/смерженых ПРов, и все сразу становятся нестандартными личностями.
Вывод делать не буду, с виду пахнет базой,вывод каждый сделает сам, просто мое интересное наблюдение.
Please open Telegram to view this post
VIEW IN TELEGRAM
Современный JavaScript для нетерпеливых
Хорстман К. С. (2021)
Наконец то, спустя наверное пол года, в несколько заходов я смог дочитать.
Жалею что не начал читать эту книгу в начале своей карьеры, потому что сейчас уже было мало интересно, в основном интересовали только разные фишки, которые в реальной работе никак не используются, всякие промисы, потому что в чистом виде их уже давно не видел, итераторы/генераторы.
Пытаюсь возродите рубрику с чтением, никогда не любил, так что может быть хоть ваши лайки замотивируют, так что не скупитесь тыкнуть реакцию.
В знак благодарности скину pdf на русском языке.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👻6🗿2
Please open Telegram to view this post
VIEW IN TELEGRAM
Пока что план следующий:
1. Не забыть гошку
2. Жестко попробовать в литкод
3. Выучить паттерны
Please open Telegram to view this post
VIEW IN TELEGRAM
https://www.youtube.com/watch?v=ANnijAxNejg
Как всегда респект ребятам кто делает такой движ, да еще и бесплатный (покушать было)
Кратко по докладам.
1. Геннадий Ватитов, Адаптируй это - ооочень прикольный доклад о том как в МТС решили сделать единую дизайн систему под разные фреймворки. Взяли свелт, сбандлили в umd, поставили прослойку в виде адаптера под нужный фреймворк, и далее уже можно юзать везде где захочется.
2. Филипкин Денис, 1000 и 1 способ оптимизировать медиафайлы - плохая конференция если на ней нет ни одного доклада по картинкам/иконкам. Надо использовать webp, сжимать, если картинок много использовать CDN + прокси в виде media optimizer, ну либо SASS за кучу денег, либо велосипед.
3. Ермолов Александр, Идеальная команда. Какая она? - слабо слушал, потому что играл с чувками в крокодила. Ну дефолтный доклад с тру стори от человека который уже многое повидал, нужно быть T-shape и все дела.
4. Ренард Аврора, 1 + 1 ﹥ 2: Парное программирование в реальности - ничего не скажу, я уже к этому времени доел все бутерброды и ушел.
Please open Telegram to view this post
VIEW IN TELEGRAM
🎉2👏1
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡10
Но как только дело доходит до разработки какого то инструмента, то тут TS превращается в какую то машину убийцу. Да функционал очень большой открывается, можно сделать все что угодно, я думаю что всю эту систему можно спокойно назвать Тьюринг-полной. Но есть тут и обратная сторона монеты, что когда начинаешь работать со сложными кейсами (хотя сам функционал вроде бы 2+2) нужно продумывать все юз-кейсы, а соответственно наказание для юзера за неправильное использование, а система ошибок в тс мое почтение.
Для rxSample (наш npm пакет для работы effector c rx) нужно было внедрить микро фичу, по факту даже тело функции править почти не надо было, лишь поработать с типами, и спустя целый вечер (предполагалось минут 30) все готово и вроде бы даже корректно работает. Со всеми возможными помощниками получилось выдать такой хелпер чтобы устранить ненужную ругань ТСа.
Любопытным ссылка на ПР - https://github.com/Voiso/rx-sample/pull/8
function hasFn<D, R>(
config:
| Input<D, R>
| InputWithStore<D, R>
| InputWithoutFn<D>
| InputWithStoreWithoutFn<D>
): config is Input<D, R> | InputWithStore<D, R> {
return "fn" in config && typeof config.fn === "function";
}
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
feat: add store as a target by AndreyTheWeb · Pull Request #8 · Voiso/rx-sample
Add StoreWritable as a target to rx-sample
Update smartbundle to latest
Update smartbundle to latest
👏4
Please open Telegram to view this post
VIEW IN TELEGRAM