Для оформления кода есть специальная кнопка, используйте её.
А дополнения к вопросу можно сделать путём редактирования самого вопроса, а не комментарием к нему.
Если вас интересует именно V8, то слово "JS" в вопросе замените на V8, иначе ответить однозначно нельзя, потому что в каждой реализации JS свои решения.
Дело в том, что увеличивая безопасность, вы уменьшаете удобство, и наоборот. Кроме того, накрутить можно много чего, и на всё это нужно время и силы. Поэтому зависит от приложения и возможных угроз.
Вот, скажем, ваш пункт про пароль - уверен, многие будут ругаться, когда ваше приложение откажет пользователю ввести 12345. Это может даже снизить конверсию, т.е. напрямую повлиять на доходы владельца приложения, в случае если оно никому особо не нужно. Вот лично я, когда есть ненужные мне требования, ввожу что-то типа 123456aA - прокатывает, при этом безопасности ноль, хотя 8 символов, есть цифры и буквы в разном регистре. Как пользователю, мне иногда нужно быстро и без гемора.
Ну и также всё остальное. Нельзя, к примеру, однозначно сказать, что лучше GET или POST. Вот я недавно делал необычное приложение с одноразовой авторизацией по ссылке. Как вы понимаете, при такой архитектуре ключ хранится прямо в get-параметрах. И безопасность пришлось продумывать отдельно, без учета всяких модных тенденций и всего такого.
Я же написал, зависит от приложения.
Если это, к примеру, игра с рейтингом, то основной акцент на защиту от ботов и читеров - вплоть до анализа внутриигрового поведения.
Расскажите, что за приложение у вас, от этого можно дальше отталкиваться и на что-то обращать внимание. И вы верно заметили, многие вещи очевидны и сами собой разумеются. Т.е. надо просто быть умным и не делать глупостей, как это банально ни звучит)
ZakkMalin, с точки зрения перехвата https соединения - никак.
А с точки зрения перехвата сессии разными способами - пароль остается защищенным. То есть если пользователь отошел, потом подошел хакер и вынул из памяти пароль и узнал его, то у хакера будет пароль. А если там только токен, то пароль хакер знать не будет. Он сможет скопировать только сессию.
Защита сессии - отдельная тема. Но вкратце скажу. Вместе с токеном передаётся условно номер (потому что на самом деле еще один токен) текущего запроса. То есть если после запроса 10 следует запрос 50 или 5, то это явно попытка перенести сессию на другое устройство.
Кроме того, при использовании токена появляются всякие приятные штуки типа параллельных сессий. Например, если пользователь работает с двух компов и на одном сменил пароль, то вторая сессия не дропнется. Точнее, это на усмотрение разработчика. Или какая-нибудь кнопка типа "выйти со всех устройств" и т.д.
Ну и по-хорошему пароль не нужно передавать вообще. RC4 и всё такое. Просто я не стал усложнять, т.к. автору (судя по вопросу) нужен простой ответ для начала.
saund901, а вы когда пользуетесь несколькими справочниками, то прежде чем достать с полки новый, убираете на место старый? В общем, это сложно объяснить. Могу лишь сказать в двух словах, что это дело вкуса, стиля, предпочтений, а также зависит от задач.
20ivs, к счастью, я не попадаю в эту вероятность. Говорю же, google.com внезапно перестал работать сразу у двух человек - в Москве и в Питере, при этом мы общались в дискорде и связь была стабильна, провайдер Ростелеком. Некоторые другие сайты вроде тоже стали недоступны, но времени было мало, чтобы разобраться.
Отсюда вопрос возник, какие ключевые ip пинговать, чтобы потом можно было разобрать логи и понять картину произошедшего, кто виноват и т.д.
Ошибка автора вопроса в том, что он начал со слов "есть проект", но так и не написал, какое он имеет отношение к этому проекту, и в чем его интерес. Отсюда происходит всё недопонимание отвечающих.
По комментариям создается впечатление, что автор предоставляет свой сервер под чужой проект и почему-то отвечает за дыры и баги в нем, не имея возможности их закрывать, а также не имея доступа к ответственным людям, которые смогут закрыть.
При этом не ясно, зачем проекту давать права более, чем на свою папку и свой кусок базы. Пусть он там крутится, да пусть хоть сам себя съест, это его дело.
Не могу представить себе такую ситуацию. Фильтровать в любом случае можно и нужно. Если вы пока не придумали, как фильтровать, то из этого не следует, что не существует возможности фильтровать.
Kosyachoka, при чем здесь прослойка? Есть время и задачи. Для ПМа это главное, а не поиск виноватых. К тому же не ПМ решает, кто будет лидом и будет ли вообще.
А дополнения к вопросу можно сделать путём редактирования самого вопроса, а не комментарием к нему.