| 1.6, Аноним (6), 09:30, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Кто-то еще не использует атрибут integrity в тегах link с хешами подключаемых сторонних скриптов, лежащих на cdn’ах? Тем более в формах с информацией о банковских карточках.
| | |
| |
| 2.8, рэбе Иванов (?), 10:09, 13/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Кто-то еще не использует атрибут integrity в тегах link с хешами подключаемых
> сторонних скриптов, лежащих на cdn’ах? Тем более в формах с информацией
> о банковских карточках.
видите ли, в любом случае - вас все равно трахнут.
пока не научитесь, наконец, соображать, что cdn нужны не для того чтобы тянуть оттуда в рот любой мусор.
| | |
| 2.10, Гентушник (ok), 10:18, 13/05/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Сбербанк в личном кабинете например не использует.
У них тянутся скрипты с google-analytics.com, rutarget.ru и yandex.ru.
| | |
| |
| 3.11, пох (?), 10:22, 13/05/2019 [^] [^^] [^^^] [ответить]
| +4 +/– | |
если бы использовали - оно бы и ломалось по три раза на дню - каждый раз, как гуглевая или яндексная макака закоммитит апдейт.
но фанаты новых-модных браузерофич никогда не поумнеют, это исключено.
| | |
| |
| |
| 5.22, пох (?), 12:15, 13/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
вопрос в том, какое у этой фичи может быть хоть примерно полезное применение.
Если cdn твой личный, и сделан ради снижения нагрузки - она не нужна, хватит обычного ssl.
Если cdn дядин, и сделан ради обмазывания свежайшим (ну чтоб гугель в любой момент мог поулучшать что-нибудь твоим пользователям) - она не работает, дядя - он такой, не будет тебя предупреждать, когда ему вздумалось поменять что-то.
Если ты веб-макака и забил хэши прямотянутого с raw.githubusercontent конкретной версии, вместо того чтобы просто скопировать их оттуда на свой сервер - твоим юзверям все равно страдать, а microsoft получила новую полезную инфу для перепродажи гуглю, но она не тебе полезна.
| | |
| |
| 6.30, Аноним (30), 13:54, 13/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Если cdn твой личный, и сделан ради снижения нагрузки - она не нужна, хватит обычного ssl.
> Если cdn дядин, и сделан ради обмазывания свежайшим (ну чтоб гугель в любой момент мог поулучшать что-нибудь твоим пользователям) - она не работает, дядя - он такой, не будет тебя предупреждать, когда ему вздумалось поменять что-то.
Есть один-единственный юзкейс: скрипты твои, а CDN дядин.
| | |
| |
| 7.32, OpenEcho (?), 14:20, 13/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Не правда. Есть два use cases:
- не напрягать голову и делать "как все" = CDN
- напрягать голову и делать "не как все" = свои серваки с разнесенными георафически IP
| | |
| |
| 8.44, пох (?), 10:12, 14/05/2019 [^] [^^] [^^^] [ответить] | +/– | вопрос в экономическом обосновании если у кого-то уже есть серваки разнесенные ... текст свёрнут, показать | | |
|
| 7.43, пох (?), 10:04, 14/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Ну, в принципе, да - для традиционных сервисов он обламывается об "you are not google!" (also not amazon, facebook, etc), но если у тебя уже все в чужом облаке - глупо платить за мощности облака там, где можно сэкономить (раздача статики наверняка дешевле обойдется через cdn чем напрямую с инстансов - вопрос только, можно ли эту экономию увидеть хотя бы в микроскоп).
А по факту сегодня массовое использование cdn'ов - безмозглая копипаста со стека или такое же безмозглое втягивание чужих "аналитик".
Причем тот же сбер уже ловили на сливе данных клиентов таким образом - он даже не утерся, "божья роса".
| | |
|
|
|
|
| 3.40, Kuromi (ok), 20:30, 13/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Это мелочи. У Почта Банка чтобы в "личный кабинет" войти надо Гугловскую рекапчу пройти!
| | |
|
| 2.29, Аноним (30), 13:52, 13/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Кто-то еще не использует атрибут integrity в тегах link с хешами подключаемых сторонних скриптов, лежащих на cdn’ах? Тем более в формах с информацией о банковских карточках.
Кто-то ещё думает, что, используя integrity, можно пихать сторонние скрипты на страницы с формами для ввода платёжной информации?
| | |
| |
| 3.45, яндекс (?), 10:13, 14/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Кто-то ещё думает, что, используя integrity, можно пихать сторонние скрипты на страницы
> с формами для ввода платёжной информации?
вы что, НАМ не доверяете?
| | |
|
|
| 1.14, Аноним (14), 11:04, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Ахах, опять JS, девляпсы и бесконтрольная загрузка из чужих хранилищ.
| | |
| |
| 2.24, Собянина в отставку (?), 12:38, 13/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Доинтегрировались.
Вася Пупкин на коленке быстро и дешево напишет без багов с предоставлением подробного почасового отчета зваказчику
| | |
|
| 1.19, Аноним (19), 11:15, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Уважаемые анонимы и не очень! Подскажите, возможно ли каким-лиюо образом запретить исполнение подобного обфусцированного Javascript-мусора, кроме как * * script block в uMatrix?
| | |
| |
| 2.21, рэбе Иванова (?), 12:07, 13/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
можно. Но сайт, чей функционал (а alpaca это таки функционал, а не просто слежка) зависит от такого кода - работать не будет.
поэтому с тем же успехом может отключить себе интернет, и сэкономить пару шекелей на абонентской плате
| | |
| 2.36, имя (?), 17:51, 13/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
устанавливай librejs и проблем у тебя со скриптами точно не будет
| | |
|
| 1.23, Аноним (23), 12:24, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Это просто отлично. Ещё один аргумент за "уберите с сайта это г****". Правда многим пофиг, ибо "оплати нам bandwidth для статики, тогда мы перенесём её на свои сервера, а пока - пошёл ....".
| | |
| 1.26, Аноним (26), 12:43, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> CDN-сеть для доставки скрипта
Ну понятно, если сай наколеночный. Но
> Sony, Forbes, Trustico
facepalm.jpg ну уж у этих-то не хватило денег оплатить канал для своей статики, да...
| | |
| |
| 2.28, Я (??), 13:31, 13/05/2019 [^] [^^] [^^^] [ответить]
| +5 +/– | |
А кто им сайты делает, как ты думаешь?
Макаки, макаки эвривер. Индусы, китайцы, русские, украинцы, молдаване, румыны, прочие- всегда, ВСЕГДА: "... и в продакшн". Просто этим компаниям услуги сайтостроения проталкивают люди, которые больше потратились на свой внешний вид, чем на команду кодеров.
Поэтому это не первый и не последний случай (естественно)
| | |
| |
| 3.37, имя (?), 17:53, 13/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> "... и в продакшн"
как ты думаешь почему так? А потому что крупные компании часто не отличаются от Васи Пупкина, который хочет сайт здесь и сейчас, а писать или согласовывать ТЗ ему некогда, зато когда все почти готово его ВНЕЗАПНО осеняет гениальная идея в плане функционала.
| | |
|
| 2.41, forum reader (?), 22:31, 13/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> Sony, Forbes, Trustico
>facepalm.jpg ну уж у этих-то не хватило денег оплатить канал для своей статики, да...
Там не статика, там "код системы web-аналитики". Рисовалка красивых диаграмм для вышестоящего руководства. Чем красивее диаграмма, тем больше месячная премия.
Топменеджерам коучи на тренингах так показывают правильную картинку, что ИТшникам легче внедрить еще одну систему, чем каждый год каждому новому проходимцу объяснять что "наша аналитика умеет все тоже самое и даже немножко лучше больше быстрее точнее, просто картинка совсем другая."
| | |
| |
| 3.46, пох (?), 10:17, 14/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
> что "наша аналитика умеет все тоже самое и даже немножко лучше
> больше быстрее точнее, просто картинка совсем другая."
угу, а когда это продолжается несколько лет к ряду (прежние проходимцы обратно уже отчалили в свой бангалор) - получаем при покупке авиабилета на сайте одной восточной авиакомпании - около _сотни_ разных подглядывающих и подслушивающих. Причем половине сливается вся инфа из билета, вторая половина может о недостающей догадаться по твоему ip/id/гуглелогину, и друг с дружкой они тоже не забывают поделиться.
| | |
|
| 2.51, Аноним (51), 22:12, 15/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
А в больших и дорогих корпорациях карьеру делают, а не сайты. С чего вы взяли, что аффекченные конторы сайт свой сами или у кого-то делали? Они карьеру делали. Поскорее, проще, чтоб только дотянуть и успеть уйти вверх.
| | |
|
| |
| |
| 3.47, пох (?), 10:18, 14/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Как думаете? Научатся на горьком опыте?
думаешь, у них бэкапа тоже не было?
В остальных случаях - они даже и не заметят.
| | |
|
|
|
