Задать вопрос
Пользователь пока ничего не рассказал о себе

Наибольший вклад в теги

Все теги (4)

Лучшие ответы пользователя

Все ответы (4)
  • Выгодно ли фрилансить на иностранных биржах?

    @Nyarlathotep
    Немного личного опыта: занимался упорно фрилансом некоторое время назад.
    Может сейчас и лучше, но основная проблема была не в индусах и сайтах за 50 долларов, а в том, что за крупные по времени проекты народ не хотел платить адекватные деньги.

    В итоге я перестал браться за что-либо больше 15-25 долларов за полчаса-час работы.
    До 7-8 штук за вечер таких проектов мне набегало на scriptlance.com/ (мелкая правка скриптов, мелкий тюнинг серверов, правка битого html и т.д.).

    Плюсы: мелкие проекты не жалко терять, всегда можно просить оплату по факту, можно в любой момент остановиться, похоже на рыбалку (иногда за закрытие тэга получаешь 30-40 доллоров, вкусно :).

    Минусы: приходилось работать ночами, т.к. американцы и заказы надо хватать сразу с пылу с жару, большие потери на выводе денег, сравнительно небольшой доход (до 100 баксов в день, если не напрягаться (5-6 часов работы), до 200 если работать продуктивно и 8-10 часов).

    В целом на хлеб с маслом хватало с головой.
    Ответ написан
    4 комментария
  • Безопасный кроссдоменный обмен данными между AJAX и PHP?

    @Nyarlathotep
    Все зависит от того, можно ли что-либо сделать не client-side, а server-side с сайтом человека, которому представляется услуга. ВКонтакт именно так и работает, если мне не изменяет память.
    (Ну если быть полностью точным, то там два набора ключей, один для усложнения жизни тем, кто будет ломать, второй действительно секретный, который знает только серверные части).

    Т.е. ситуация меняется, AJAX спрашивает не у вашего сайта, а у сайта, который потом спрашивает ваш (причем делает это либо много раз, либо после первого успеха ставит правильную сессионную куку и т.д.).

    Т.е. если человек изменит что-либо на клиентской части, да что угодно, то серверная часть все равно откажется обрабатывать его запросы.

    Взаимодействие между сайтом клиента и вашим сайтом может быть по любому протоколу, ведь его пользователь не может подделать.

    На примере авторизации:

    A — AJAX, S — сайт клиента, U — ваш сайт.

    A -> S: авторизируй меня, вот мои данные (хоть сколько раз подделанные)
    S -> U: тут кто-то хочет авторизоваться, вот его данные
    U -> S: окей, данные нормальные
    S -> A: вот тебе сессионная кука, работай дальше

    Поскольку в такой схеме у злоумышленника нет контроля над данными между S и U он ничего критичного сделать не сможет.
    Ответ написан
    3 комментария