Если вы, автор, не уверены в своих силах, то вам рано куда идти. Учите теорию и практикуйтесь до тех пор, пока не будет уверенность. Хотя бы на уровне "кое-что я уже могу, остальное подтяну по ходу дела". Иначе вы просто не сможете себя презентовать на собеседовании.
Значит, разово нельзя.
Ну, может и можно придумать какой-то хак, но это надо думать. Очень специфическая задача. Обычно если соединение к сайту нужно проксировать, то всегда + кнопка вкл/выкл прокси. А у тебя какая-то редкая задача.
Вообще на практике часто необходимо вникать в предметную область. Не получится ограничиться голым программированием и знанием основ. Так что как это банально ни звучит, джуну нужно уметь учиться. А вообще без непрерывной учебы по жизни довольно сложно добиться успеха.
Ну, изменить скрипт так, чтобы так был массив юзеров.
Как бы очевидно. Но это задание, а не вопрос. И уж точно не вопрос по самому языку javascript. Вы хотите, чтобы кто-то для вас накодил за бесплатно?
Для оформления кода есть специальная кнопка, используйте её.
А дополнения к вопросу можно сделать путём редактирования самого вопроса, а не комментарием к нему.
Если вас интересует именно V8, то слово "JS" в вопросе замените на V8, иначе ответить однозначно нельзя, потому что в каждой реализации JS свои решения.
Дело в том, что увеличивая безопасность, вы уменьшаете удобство, и наоборот. Кроме того, накрутить можно много чего, и на всё это нужно время и силы. Поэтому зависит от приложения и возможных угроз.
Вот, скажем, ваш пункт про пароль - уверен, многие будут ругаться, когда ваше приложение откажет пользователю ввести 12345. Это может даже снизить конверсию, т.е. напрямую повлиять на доходы владельца приложения, в случае если оно никому особо не нужно. Вот лично я, когда есть ненужные мне требования, ввожу что-то типа 123456aA - прокатывает, при этом безопасности ноль, хотя 8 символов, есть цифры и буквы в разном регистре. Как пользователю, мне иногда нужно быстро и без гемора.
Ну и также всё остальное. Нельзя, к примеру, однозначно сказать, что лучше GET или POST. Вот я недавно делал необычное приложение с одноразовой авторизацией по ссылке. Как вы понимаете, при такой архитектуре ключ хранится прямо в get-параметрах. И безопасность пришлось продумывать отдельно, без учета всяких модных тенденций и всего такого.
Я же написал, зависит от приложения.
Если это, к примеру, игра с рейтингом, то основной акцент на защиту от ботов и читеров - вплоть до анализа внутриигрового поведения.
Расскажите, что за приложение у вас, от этого можно дальше отталкиваться и на что-то обращать внимание. И вы верно заметили, многие вещи очевидны и сами собой разумеются. Т.е. надо просто быть умным и не делать глупостей, как это банально ни звучит)
ZakkMalin, с точки зрения перехвата https соединения - никак.
А с точки зрения перехвата сессии разными способами - пароль остается защищенным. То есть если пользователь отошел, потом подошел хакер и вынул из памяти пароль и узнал его, то у хакера будет пароль. А если там только токен, то пароль хакер знать не будет. Он сможет скопировать только сессию.
Защита сессии - отдельная тема. Но вкратце скажу. Вместе с токеном передаётся условно номер (потому что на самом деле еще один токен) текущего запроса. То есть если после запроса 10 следует запрос 50 или 5, то это явно попытка перенести сессию на другое устройство.
Кроме того, при использовании токена появляются всякие приятные штуки типа параллельных сессий. Например, если пользователь работает с двух компов и на одном сменил пароль, то вторая сессия не дропнется. Точнее, это на усмотрение разработчика. Или какая-нибудь кнопка типа "выйти со всех устройств" и т.д.
Ну и по-хорошему пароль не нужно передавать вообще. RC4 и всё такое. Просто я не стал усложнять, т.к. автору (судя по вопросу) нужен простой ответ для начала.
saund901, а вы когда пользуетесь несколькими справочниками, то прежде чем достать с полки новый, убираете на место старый? В общем, это сложно объяснить. Могу лишь сказать в двух словах, что это дело вкуса, стиля, предпочтений, а также зависит от задач.
