Příspěvky

2431

Vývoj / Re:React v .NET projekte

« kdy: 08. 05. 2017, 23:24:22 »

Neviem nevyznam sa v tom velmi preto ma zaujima ako sa to robi ... len som napisal svoj napad. Takze mam to teda ukladat do cookies?

No hlavně musíš použít hlavu - ujasnit si, jaké informace chceš předat kam, jaké k tomu máš možnosti a jaké to má bezpečnostní konsekvence. Pokud tomu, jak říkáš, moc nerozumíš, neuděláš většinou chybu, pokud se podržíš toho, co je v daném frameworku standardní způsob.

2432

Vývoj / Re:React v .NET projekte

« kdy: 08. 05. 2017, 21:43:26 »

Session id tedy stejně ukládáte do cookie. Ten token je něco jako csrf token. Neslouží ke kontrole přihlášení. Pochopil jsem to správně?

To záleží na situaci. Nejradši mám, když aplikace vůbec nepotřebuje session id (konfiguračních dat je tak málo, že se dají všechna vložit zašifrovaná do cookie). Když je cookie/token zašifrovaný, tak se dá použít i ke kontrole přihlášení. Záleží to prostě, co od aplikace chci.

Vzhledem k tomu, že dělám prakticky jenom interní aplikace s malým množství uživatelů, často zavřené za http auth, nemusím spoustu věcí moc řešit...

2433

Studium a uplatnění / Re:Jak se posunout dál?

« kdy: 08. 05. 2017, 13:42:54 »

Já bych ti doporučil:

1. Zkus si vymyslet nějaký projekt - zapřemýšlej nad tím, co by sis chtěl vyrobit pro radost. Nemusí to být nutně čistě IT projekt, spíš je lepší, když není - když to má nějaký přesah do "reálného světa". Nemáš třeba nějakýho kámoše, kterej má velkou vláčkovou dráhu a chtěl by pomocí mobilu ovládat vyhýbky? Nechtěla by mamka hydroponicky pěstovat rajčata a mít tam automatické zavlažování? ... prostě vyber si něco, u čeho si dokážeš představit, že když to dokončíš, řekneš si "Wow! Su dobrej!" Tímhle způsobem nejlíp získáš reálné zkušenosti a vášeň a radost z IT, což je to zdaleka nejdůležitější.

2. Poohlídni se, jestli v místě, kde žiješ, neexistuje nějaký kroužek, kde se motají lidi se zálibou v IT. Může to být nějaký hackerspace, může to být "kroužek informatiky" nějakého místního občanského sdružení. Zajdi tam, nasávej atmosféru, časem se pochlub, že bys chtěl udělat ten projekt a s někým to tam konzultuj a nech si poradit. Pokud nic takovýho nenajdeš, načrtni svůj projekt někam na web a zkus se ptát různě po netu, co na to zkušenější lidi říkají (klidně i tady, určitě se najdou lidi, co ti s tím aspoň trochu poradí, nakopnou tě správným směrem).

3. Pokud nápad na projekt vůbec nemáš, zkus prošmejdit weby typu http://hackaday.com/ jestli tě tam něco nezaujme. Případně se můžeš přidat i k projektu někoho jiného, ale to bych spíš nedoporučoval, protože zatím se potřebuješ spíš učit, zkoušet, sám si projít spoustu slepých uliček.

4. Úplně pusť z hlavy úvahy o tom, jestli bys chtěl celý život programovat nebo dělat sítě. To je pro tebe úplně bezpředmětný a takový uvažování tě nikam neposune. Jednak zatím nemáš dost informací pro to, aby ses mohl rozhodnout, a taky to vůbec není nutný - za svůj život můžeš projít klidně tři čtyři různé obory, jedna věc tě už přestane bavit, tak se pustíš do jiné Lepší imho je to neřešit, zkoušet různý věci a zůstat u toho, z čeho máš největší radost, co zjistíš, že tě nejvíc baví.

5. I když se ti to možná nezdá, v tomhle věku máš vůbec největší volnost si jenom tak hrát. Využij toho! Až budeš živit rodinu, budeš rád za každou půlhodinku, kdy se budeš moct jenom tak bezvládně zhroutit do křesla a zírat do zdi. To už nebudeš mít energii si s něčím hrát jenom tak pro radost a pro získávání zkušeností (čest výjimkám). Taky si to možná neuvědomuješ, ale jsi ve věku, kdy ti starší lidi rádi pomůžou a bohatě ocení i když uděláš jakoukoli blbost, na které je vidět, že jsi projevil snahu a kreativitu. Lidi ve tvým věku jsou často zoufale nudní (a znudění) a když se z toho průměru vyloupneš jenom trochu, hnedka si toho někdo starší všimne (jsou všelijaké soutěže, SOČky apod., skrz které se můžeš hodně rychle a snadno dostat do hodně "dobré společnosti" - mezi lidi zajímavý a kreativní).

Přeju hodně štěstí a radosti z hackování!

2434

Vývoj / Re:React v .NET projekte

« kdy: 05. 05. 2017, 19:30:07 »

Ten token ukládáte na straně klienta kde? V local storage?

Ve Phoenixu se používá koncept "tajných dat" - BE svým tajným heslem zašifruje nějaká data, vloží je na stránku a klient se pak jimi může prokazovat jako tokenem (nevidí dovnitř, neví, co tam je a nemůže ani data upravit). Podle potřeby tenhle token obsahuje jenom nějaké id do databáze, nebo v něm můžou být přímo nějaká uživatelská data, pokud je jich málo.

Takže při načtení stránky přes http používám normálně cookies a pak pro ws tenhle zašifrovaný "token".

2435

Vývoj / Re:React v .NET projekte

« kdy: 05. 05. 2017, 15:23:23 »

V tom odkazovaném článku https://www.christian-schneider.net/CrossSiteWebSocketHijacking.html se píše, že stačí ověřovat origin. Píše se to ve všech tutoriálech k websocketům. Zakazovat kvůli tomu používání cookies je demence.

Ja to neumim posoudit, nikdy jsem se nad tim nezamyslel, protoze ten Phoenix framework, ktery pouzivam, cookies pro ws nepodporuje, tak jsem to vzal jako fakt a resim to taky tokenem. Jsou to asi dva radky na dvou mistech v kodu, tak je mi to jedno a nehodlam to vic resit

2436

Vývoj / Re:React v .NET projekte

« kdy: 05. 05. 2017, 07:22:39 »

Gratuluji, právě jsi vymyslel obdobu cookies.... věci která tu je několik desítek let. Ale proč používat něco co funguje když můžu vynalézt vlastní kolo, že?

Pro http máš pravdu, ale kdyby se rozhodl používat websockety, tak cookies nemusí fungovat (viz např. https://elixirforum.com/t/accessing-cookies-in-phoenix-socket-connect/4731/3 ).

Pokud by věděl, že bude používat jenom http nebo že jeho BE framework podporuje cookies i pro websockety bezpečným způsobem, je samozřejmě jednodušší je použít.

2437

Vývoj / Re:React v .NET projekte

« kdy: 05. 05. 2017, 00:00:39 »

Akoze pridat stlpec k uzivatelovi max doba prihlasenia myslis?

Jo, neco takovyho.

Oka dakujem za radu

Jo sorry, teď na to koukám - samozřejmě ne k uživateli, ale k tomu tokenu - ten token má nějakou platnost, ne uživatel

2438

Vývoj / Re:React v .NET projekte

« kdy: 04. 05. 2017, 22:06:48 »

Akoze pridat stlpec k uzivatelovi max doba prihlasenia myslis?

Jo, neco takovyho.

2439

Vývoj / Re:React v .NET projekte

« kdy: 04. 05. 2017, 20:37:09 »

Mohlo by to takto byt?

Asi jo. Anebo použít cookies.

Len neviem ako overovat casovu platnost tokenu. Mam ho ulozit do db s casom vytvorenia, alebo ten token by mal obsahovat zakodovany cas vytvorenia?

To je asi jedno. Ale typicky k tomu tokenu budeš mít v DB nějaké informace a stejně je budeš načítat, tak proč tam nedat timestamp?

2440

Sítě / Re:Rychlé IPC na Linuxu

« kdy: 04. 05. 2017, 20:33:53 »

Nevím o jakém IPC na macOS mluvíte

Nejspíš o Mach ports.

Tazateli: takový dotaz tu byl nedávno: https://forum.root.cz/index.php?topic=15327.0

2441

Vývoj / Re:React v .NET projekte

« kdy: 04. 05. 2017, 20:20:43 »

Skor by som asi uprednostnil verziu s WEB API ka strane servera a klien samotny SPA. Otazka je ci je mozem informacie o prihlasenom uzivatelovi ukladat napr. do localStorage/sesionStorage? Pretoze sme to vacsinou ukladali uzivatela do Session v Controlleri.

Dobře udělaná SPA je asi nejlepší pro UX (nemusí se načítat pořád dokola ta stejná data), ale zároveň je to asi nejtěžší varianta. K té otázce: hlavně musíš vycházet z toho, že klientovi nesmíš v ničem věřit. Tj. tak jako tak nemůžeš od klienta převzít informaci "jsem uživatel Pepa". Musíš ho nechat se autorizovat, po úspěšné autorizaci mu předat třeba nějaký token a při každém dotazu na API pak ověřovat, že daný token je platný a že uživatel, kterému patří, tuhle operaci smí udělat.

Existují i způsoby komunikace, kde uživatele ověříš jednou při otevření komunikačního kanálu a pak už máš otevřený kanál svázaný s uživatelem, takže token nepotřebuješ. Jde to takhle třeba u websocketů, ale jestli to takhle umí udělat .NET, to ti neřeknu

Prostě, u téhle varianty musíš dost zapojit mozek, abys to udělal dobře. Pro začátečníka to asi není úplně vhodná varianta, pokud nepracuješ s frameworkem, který to všechno vyřeší za tebe...

2442

Vývoj / Re:React v .NET projekte

« kdy: 04. 05. 2017, 15:38:52 »

lenze ja nehovorim o tomto tutoriale ale vseobecne

Všeobecně máš s jakýmkoliv backendem a jakýmkoliv frontendem několik možností, jak to celé řešit. V principu se liší v tom, kolik funkcionality/logiky/kódu máš na BE a kolik na FE:

1. BE řeší routování, servírování jednotlivých stránek a částečně i templaty - na stránku jenom vložíš pár Reactem (nebo libovolným jiným FE nástrojem) vykreslovaných prvků
2. BE řeší routování, servírování jednotlivých stránek, ale stránka se kompletně vykresluje frontendovým nástrojem
3. SPA = BE jenom servíruje data (nějaké HTTP nebo websocket API), vše ostatní se děje na frontendu

Tohle jsou takové základní typy, mezi nimi je spoustu odstínů šedi podle toho, jaké části aplikace umístíš kam. Obecná rada, kam co máš dát, není. To záleží na tobě, jestli chceš víc psát v backendovém frameworku (ve tvém případě .NET), nebo ve frontendovém (React, Vue.js, klidně i Elm... cokoli). Všechny tyhle možnosti dávají v nějaké situaci smysl a každá má svoje výhody a nevýhody. Je to designerské rozhodnutí, žádný silver bullet není.

2443

Bazar / Re:Koupím PowerMac G5 (2x CPU)

« kdy: 03. 05. 2017, 15:52:45 »

to je to zmateni kdyz pisete MacOS a myslite Mac OS X (leopard). MacOS pro mne znamena devitkou konce a pak az sierra

Ok, moje chyba. Nenapadlo me, ze by o devitce vubec nekdo dneska jeste uvazoval

2444

Bazar / Re:Koupím PowerMac G5 (2x CPU)

« kdy: 03. 05. 2017, 14:31:09 »

PowerMac G5 (i tento nejstarsi) uz podporuje jen MacOS Classic mode coz je defacto virtualizace uvnitr Mac OS X (10.2 - 10.5 dle modelu) coz bude mit asi podstatny vliv na beh aplikaci v Mac OS (ztrata vykonu atd ..)

A proč by měl chtít provozovat devítkové aplikace?!

2445

Bazar / Re:Koupím PowerMac G5 (2x CPU)

« kdy: 03. 05. 2017, 11:41:18 »

OS X 10.5

...což by ani nevadilo, na Leopardu by se v pohodě fungovat dalo, ale ty aplikace jsou problém Dal jsem Linux i na single-core-intel Mac Mini, páč ani jako mediální centrum se to už dneska rozumně použít nedalo. S Linuxem bez problémů.