Задать вопрос
  • Выгодно ли фрилансить на иностранных биржах?

    @Nyarlathotep
    Немного личного опыта: занимался упорно фрилансом некоторое время назад.
    Может сейчас и лучше, но основная проблема была не в индусах и сайтах за 50 долларов, а в том, что за крупные по времени проекты народ не хотел платить адекватные деньги.

    В итоге я перестал браться за что-либо больше 15-25 долларов за полчаса-час работы.
    До 7-8 штук за вечер таких проектов мне набегало на scriptlance.com/ (мелкая правка скриптов, мелкий тюнинг серверов, правка битого html и т.д.).

    Плюсы: мелкие проекты не жалко терять, всегда можно просить оплату по факту, можно в любой момент остановиться, похоже на рыбалку (иногда за закрытие тэга получаешь 30-40 доллоров, вкусно :).

    Минусы: приходилось работать ночами, т.к. американцы и заказы надо хватать сразу с пылу с жару, большие потери на выводе денег, сравнительно небольшой доход (до 100 баксов в день, если не напрягаться (5-6 часов работы), до 200 если работать продуктивно и 8-10 часов).

    В целом на хлеб с маслом хватало с головой.
    Ответ написан
    4 комментария
  • Идентифицировать пользователя на сайте по запущенной программе (не факт, что на том же компьютере)?

    @Nyarlathotep
    Если пользователей планируется чуть больше, чем немного, можно посмотреть сюда:
    panopticlick.eff.org/
    Вполне возможно что такой информации окажется более чем достаточно.

    (решение понятное дело не со 100% гарантией)
    Ответ написан
  • Безопасный кроссдоменный обмен данными между AJAX и PHP?

    @Nyarlathotep
    Так похоже все гораздо проще, чем я думал.
    Что мешает просто авторизоваться по логину и паролю, стандартными методами?

    Ну делается скрипт, который открывает окошко с нашего сайта, дает там авторизоваться, после чего выставляет сесию/куку? А дальше все скрипты уже работают с нашим сайтом имея там нормальную авторизацию…

    Или надо обезопасится от кривых запросов на наш сайт? Ну так если запросы посылает клиент, то злоумышленник в итоге сможет послать что угодно, как ты не защищайся, т.е. в этом случае без сервера не обойстись.
    Ответ написан
  • Безопасный кроссдоменный обмен данными между AJAX и PHP?

    @Nyarlathotep
    Все зависит от того, можно ли что-либо сделать не client-side, а server-side с сайтом человека, которому представляется услуга. ВКонтакт именно так и работает, если мне не изменяет память.
    (Ну если быть полностью точным, то там два набора ключей, один для усложнения жизни тем, кто будет ломать, второй действительно секретный, который знает только серверные части).

    Т.е. ситуация меняется, AJAX спрашивает не у вашего сайта, а у сайта, который потом спрашивает ваш (причем делает это либо много раз, либо после первого успеха ставит правильную сессионную куку и т.д.).

    Т.е. если человек изменит что-либо на клиентской части, да что угодно, то серверная часть все равно откажется обрабатывать его запросы.

    Взаимодействие между сайтом клиента и вашим сайтом может быть по любому протоколу, ведь его пользователь не может подделать.

    На примере авторизации:

    A — AJAX, S — сайт клиента, U — ваш сайт.

    A -> S: авторизируй меня, вот мои данные (хоть сколько раз подделанные)
    S -> U: тут кто-то хочет авторизоваться, вот его данные
    U -> S: окей, данные нормальные
    S -> A: вот тебе сессионная кука, работай дальше

    Поскольку в такой схеме у злоумышленника нет контроля над данными между S и U он ничего критичного сделать не сможет.
    Ответ написан
    3 комментария