Ответы пользователя по тегу JavaScript
  • Двухсторонний шаблонизатор?

    Mendel
    @Mendel
    PHP-developer
    Сейчас плотно курим такой подход:
    Вьювы с помощью простых классов генерируют простой хтмл через ДОМ.
    Этот код не содержит оформления, а только контент, более менее семантично оформленный.
    Для оформления используется CSS и JS
    Я знаю что все так делают, но я имею ввиду ВСЁ оформление выносить туда.
    Примерно вот так:
    jsfiddle.net/x8mmC/

    На выходе имеем стройный хтмл, который является очень даже семантичным, достаточно красиво выглядит и без оформления, понимается поисковиками, и заметно меньше по размеру.
    Со стороны вьюва мы имеем обычный ооп код, который можно так или иначе наследовать, расширять, инкапсулировать и т.п.
    Если интерфейс достаточно продуман, то верстальщику вполне достаточно будет не трогать хтмл а обходиться жс. (см пример).

    Всё вышеописаное в принципе у нас работает, хоть и не до конца отлажено.
    Но вот что еще хочется сделать — по аяксу отдавать не новую страницу, а ее разницу в сравнении с текущей.
    т.е. некий DOMdiff или в виде jquery (как стиль в примере) или в более сжатом виде — не важно.
    НО пока до этого не доходят руки. Надо для начала формализовать первую часть, переписать все классы на чистовик и т.п.
    Ответ написан
  • Что делать, если обнаружил уязвимость на крупном сайте?

    Mendel
    @Mendel
    PHP-developer
    Один мой знакомый (ТМ)
    Нет, не так… на самом деле случай именно что не мой а знакомого. В то время я и сам был не безгрешен, ибо был молод а Интернет был дорог, но хоть сроки давности и вышли, но история не моя, но я за ней наблюдал лично и все ходы и уязвимости знал в лицо.

    В общем в те времена когда безлимитный диалап стоил как средняя зарплата в месяц один мой знакомый нашел уязвимость у одного провайдера. Почти случайно нашел, так просто глянул и нашел. В те времена чудес было много, и к примеру проверка твоего права зарегистрировать льготный тариф производилась на стороне браузера (что я считал бонусом за сообразительность а не взломом).
    Так вот — человек не прикладывал усилий, поэтому сразу же скинул им уязвимость. Естественно бесплатно. Правда малый был хоть и молод, но ума хватило писать не с основного адреса, а с защищенной аватары, где и прокси использовались, и чистый браузер с чистой системы, и антиаон умный на диалапе…
    Провайдер сказал ему сухое спасибо, и спросили нет ли еще чего у него интересного.
    Мой друг сказал что других уязвимостей у них он не знает, но судя по тому что была за уязвимость их должно быть много, но за символическую сумму он готов провести аудит безопасности (повторяю, это было очень давно, мы были молодыми и глупыми, и не думали кому такое предлагается). Те начали тянуть кота за гениталии, и вести пустую переписку…
    Чуть позже из своих источников в провайдерских и правоохранительных кругах мы узнаем, что оказывается возбуждено дело, и ищут хакера, по тем самым реквизитам, что светились при общении. Малый даже имел неприятный разговор с правоохранителями, которые хоть и были его знакомыми, но устроили ему вынос мозга, мол зачем было ЛОМАТЬ такого-то провайдера и все такое…
    Естественно официально его не нашли (да и не нашли бы, если бы просто людям которым это поручили не был бы знаком этот ник по сугубо личным связям).
    Ну а малый потом таки провел аудит))))
    Раз провайдер не захотел покупать его работу за символическую сумму (в цифрах не помню, но в ощущениях соизмеримо со стоимостью работы по созданию сайта-визитки из типовых скриптов) — то парень продал результаты анализа на черном рынке… в розницу так сказать.
    Если я не ошибаюсь, то денег с этого дела хватило на покупку плохенькой квартирки.

    Итого я считаю этичным и безопасным такой путь:
    Анонимно и безопасно сообщаем об уязвимости. При этом нужно продумать чтобы инфа попала как можно выше, ибо в описанном случае если бы вопрос был бы к ТОПам, то вероятность охоты на ведьм была бы меньше.
    Если администрация ведет себя неадекватно (хамят, не устраняют уязвимость и т.п.) то тут уже можно и выложить на хабре или продать. Считаю это этичным, поскольку им предоставили возможность всё исправить.

    А вообще как по мне так ИТ-мир держится исключительно на этике атакующих. Да, да, даже у «черных хакеров» как правило есть некая этика…
    Ответ написан
    4 комментария
  • Помогите придумать название для библиотеки

    Mendel
    @Mendel
    PHP-developer
    SpartAdmin
    Ответ написан
    Комментировать