mkone112, я имел ввиду доступ пользователем. То есть в серверу (лучше виртуалке, а в идеале - контейнеру) не должно быть ни у кого физического доступа (на аров не ОС), а через интерфейс не должно быть уязвимостей, инъекций и других проблем из списка OWASP чтобы никто не проник
haraldsson, концепция SSR в первичной генерации страницы на которую зашел пользователь. Если ее выкинуть то проект работает только на клиентской стороне. Таким образом креды всегда находятся на клиенте. SSR это не отдельная магия, а просто решение отдельной проблемы SPA без серьезной его переделки
squadbrodyaga, перестать думать о socket.io как о хранилище данной информации. Просто в базе данных указывать участников комнаты и при рассылке в комнату - рассылать всем участникам по списку. Вернее всем соединениям участников
paran0id, это просто показывает что взрослость компании низкая и что про Risk Management там даже не слышали) Особенно учитывая что все вышеперечисленное - достаточно нормальные ситуации и преподнесены только в негативном окрасе. Всегда есть 2 стороны медали
paran0id, то-то я смотрю ИБ прямо такие специалисты везде) особенно сегодня, когда все на ремонте и половина мира работает с персональных устройств. А еще ИБ для сих пор не научилась обезопаситься от мобильных девайсов
Ymamoro, поясню для особо тугих. Если 15 лет назад в IT брали просто за то что человек читал про язык программирования то сегодня входной порог очень высок. Из тысяч вайтишников - единицы получают работу в пределах первого года изучения и десятки на дистанции в 3 года. Остальные не выдерживают. Повезет если в долину отчаяния и несбыточных надежд отправят просто игнорированием, но хватает и токсичных интервьюеров, которые будут гнобить на интервью.
