Войти
СайтФорумОбсуждение

Когда лайки можно будет ставить? (4 стр)

Страницы: 1 2 3 4 5 6 7 Следующая »
#45
(Правка: 23:47) 23:44, 11 фев. 2020

ychebotaev
Мне кажется, ты какие-то излишние сложности предлагаешь с этими сторонними скриптами и кредитными карточками. Wat осилил написать этот сайт 20 лет назад. Не думаю, что он всё это время хотел, но не мог добавить в шапку каждого сообщения ссылку, которая будет делать запрос, обработчик которого выполнит INSERT IGNORE. Захочет — добавит в течении одного вечера.


#46
(Правка: 12 фев. 2020, 0:43) 23:59, 11 фев. 2020

entryway
> Мне кажется, ты какие-то излишние сложности предлагаешь с этими сторонними скриптами и кредитными карточками.
У меня просто стек node, а он дороже и сложнее в деплое PHP-шного. А на PHP я не умею. Да и не пустит никто меня там ковыряться.

Так что нормально.

#47
0:11, 12 фев. 2020

ychebotaev
Ты бы сам на такое согласился, чтобы человек со стороны модифицировал твой личный сайт скриптом со стороны? Да и не напишешь ты его нормально, потому что у тебя нет возможности гарантированно идентифицировать пользователя. Или как?

#48
0:15, 12 фев. 2020

entryway
> Ты бы сам на такое согласился, чтобы человек со стороны модифицировал твой личный сайт скриптом со стороны?
В чем проблема? Все доступы дам, весь код будет не только открыт, но и со всеми правами.

> Да и не напишешь ты его нормально, потому что у тебя нет возможности гарантированно идентифицировать пользователя. Или как?
На каждой странице есть ссылка на профиль. А в ней зашит ID-шник пользователя.

#49
(Правка: 0:54) 0:20, 12 фев. 2020

ychebotaev
> В чем проблема?
Например, завтра твой аккаунт на DigitalOcean сломают и подставят вредоносный код. Просто лишнее уязвимое звено.

ychebotaev
> весь код будет не только открыт, но и со всеми правами
То есть wat-у придётся учить ещё и ноду (если он её не знает)

ychebotaev
> На каждой странице есть ссылка на профиль. А в ней зашит ID-шник пользователя.
Это ненадежно. Тебе нужна кука, чтобы идентифицировать пользователя.

#50
0:26, 12 фев. 2020

entryway
> Например, завтра твой аккаунт на DigitalOcean сломают и подставят вредоносный код. Просто лишнее уязвимое звено появляется.
Двухфакторку можно настроить. Да и никто руками серверы не ломает — работают скрипты по известным векторам. Gamedev не настолько популярен, чтобы его кто-то специально ломал.

entryway
> Это ненадежно. Подменив скрипт, я смогу "лайкать" от имени любого пользователя.
По https не подмените.

Да и пожалуйста. Типа, насолили — лайк поставили. Побалуетесь пару раз и забьете.

#51
(Правка: 0:32) 0:29, 12 фев. 2020

ychebotaev
> По https не подмените.
Я его подменю на клиенте. Или просто курлом буду слать запросы от нужного id пользователя, на нужный id сообщения.

ychebotaev
> Побалуетесь пару раз и забьете.
Может оно и так, но как по мне, нормальная реализация по месту не сильно и сложная. Было бы желание.

#52
(Правка: 0:38) 0:35, 12 фев. 2020

entryway
Да ради Бога. Побалуетесь две минуты и перестанете.

К тому же, это все равно можно преодолеть: gamedev.ru и сервис лайков могут обмениваться специальным шифрованным токеном, а ключ для дешифрации будет приватным. Сравнивая расшифрованный приватным ключом токен с эталоном, сервис лайков поймет, подменен запрос или нет. Конечно, кроме токена там должна быть еще какая-нибудь фигня, типа даты или вообще случайное число.

В общем, если администрация согласится на оригинальное предложение, этот вопрос я готов обсудить. По-умолчанию я не хочу заморачиваться с защитой, но по запросу — сделаю.

#53
(Правка: 0:38) 0:38, 12 фев. 2020
ychebotaev
> К тому же, это все равно можно преодолеть:
Можно, но это уже будет двойная переголова, как по мне.
#54
(Правка: 0:45) 0:41, 12 фев. 2020

entryway
> Можно, но это уже будет двойная переголова, как по мне.
Пять строчек кода.

Вы смешной. Типа, и без защиты вам не нравится и с защитой тоже не нравится. Выберите что-то одно уж.

Раз уж мы тут нафлудили, повторюсь о чем речь:

Уже для другой темы отписывался, но повторю здесь.
Готов реализовать лайки (но без дизлайков) своими силами, за свои деньги. От администрации потребуется ровно две вещи:
1. Подключить скрипт, который я напишу на сайт (вставить ссылку, которую я дам).
2. Подключить свою карточку (кредитную) к свежему аккаунту на DigitalOcean в качестве резервной. Платить буду я, но на всякий случай нужен резерв. Доступы, конечно, к аккаунту все дам, к репозиторию тоже.

Кроме лайков могу предложить сделать еще две вещи:
1. Отзывы от других участников в профиле (самомодерируемые, конечно).
2. Нотификации о упоминаниях в сообщениях (но тут мне потребуется хук на новое сообщение + доступ к базе данных юзернеймов, чтобы вычленять их из тела сообщения).

Мой стек:
1. node
2. DigitalOcean
3. Ansible

В принципе, кроме п. 1 могу что угодно, но по-умолчанию вот так.

Как я могу (по запросу) реализовать защиту от CSRF-вектора:
gamedev.ru и сервис лайков могут обмениваться специальным шифрованным токеном, а ключ для дешифрации будет приватным. Сравнивая расшифрованный приватным ключом токен с эталоном, сервис лайков поймет, подменен запрос или нет. Конечно, кроме токена там должна быть еще какая-нибудь фигня, типа даты или вообще случайное число.

#55
7:23, 12 фев. 2020

Incvisitor
> Купилки положительная/добрая валюта.
Еще /добрая улыбка/ :-D

#56
11:39, 12 фев. 2020

ychebotaev
если wat захочет, то сделает и без тебя. А если не захочет, то даже полностью готовое решение с твоей стороны ничем не поможет.

#57
(Правка: 12:45) 12:42, 12 фев. 2020

Дизайн сайта сменили, даешь и лайки! :)

И чтобы лайки ставили только, кхе-хе, участники
...и/или у кого аккаунт более 3-5-Х лет

#58
15:45, 12 фев. 2020

Я за лайки, меншны, но против аватарок. Спасибо, что хоть подписи не запилили.

#59
(Правка: 4:54) 4:52, 13 фев. 2020

soflot
> если wat захочет, то сделает и без тебя. А если не захочет, то даже полностью
> готовое решение с твоей стороны ничем не поможет.
Два абсолютно корректных, но совершенно бесполезных утверждения.

Страницы: 1 2 3 4 5 6 7 Следующая »
СайтФорумОбсуждение