Web API, которые функционально приближают веб-приложения к нативным
Чтобы дать пользователям доступ к функциям, привычным в нативных приложениях, и добавить новые, можно использовать Web API.
В статье подробно рассказали о них и раскрыли некоторые тонкости: https://habr.com/ru/companies/clevertec/articles/820227/
#javascript #api #react
Чтобы дать пользователям доступ к функциям, привычным в нативных приложениях, и добавить новые, можно использовать Web API.
В статье подробно рассказали о них и раскрыли некоторые тонкости: https://habr.com/ru/companies/clevertec/articles/820227/
#javascript #api #react
Новый китайский владелец популярного проекта Polyfill JS внедрил вредоносное ПО более чем на 100 тысяч сайтов
Polyfill.js - популярная библиотека с открытым исходным кодом для поддержки старых браузеров. Более 100 тыс. сайтов встраивают ее через домен cdn.polyfill.io.
В феврале этого года китайская компания Funnull купила домен и аккаунт на Github. С тех пор этот домен был замечен в внедрении вредоносного ПО на мобильные устройства через вебсайты, использующие cdn.polyfill.io. Любые жалобы быстро удалялись из репозитория Github.
Самое интересное, что код имеет защиту от реверс-инжиниринга и активируется только на определенных мобильных устройствах в определенные часы, не активируется при обнаружении пользователя-администратора, а также приостанавливает выполнение при обнаружении службы веб-аналитики, предположительно, чтобы не попасть в отчёты.
Автор оригинального проекта рекомендует не использовать Polyfill, так как он больше не нужен современным браузерам. Тем временем, Fastly и Cloudflare предложили собственные альтернативы пользователям.
Google начал блокировать рекламу для сайтов eCommerce, использующих polyfill.io. Cloudflare реализовала перенаправление в реальном времени с cdn.polyfill.io на свою версию. Позже регистратор Namecheap приостановил действие домена, устранив риск на данный момент.
Этот инцидент является типичным примером атаки на цепочку поставок. Рекомендуется удалить все ссылки на polyfill.io в вашем коде.
Подробнее: https://sansec.io/research/polyfill-supply-chain-attack
#безопасность
Polyfill.js - популярная библиотека с открытым исходным кодом для поддержки старых браузеров. Более 100 тыс. сайтов встраивают ее через домен cdn.polyfill.io.
В феврале этого года китайская компания Funnull купила домен и аккаунт на Github. С тех пор этот домен был замечен в внедрении вредоносного ПО на мобильные устройства через вебсайты, использующие cdn.polyfill.io. Любые жалобы быстро удалялись из репозитория Github.
Самое интересное, что код имеет защиту от реверс-инжиниринга и активируется только на определенных мобильных устройствах в определенные часы, не активируется при обнаружении пользователя-администратора, а также приостанавливает выполнение при обнаружении службы веб-аналитики, предположительно, чтобы не попасть в отчёты.
Автор оригинального проекта рекомендует не использовать Polyfill, так как он больше не нужен современным браузерам. Тем временем, Fastly и Cloudflare предложили собственные альтернативы пользователям.
Google начал блокировать рекламу для сайтов eCommerce, использующих polyfill.io. Cloudflare реализовала перенаправление в реальном времени с cdn.polyfill.io на свою версию. Позже регистратор Namecheap приостановил действие домена, устранив риск на данный момент.
Этот инцидент является типичным примером атаки на цепочку поставок. Рекомендуется удалить все ссылки на polyfill.io в вашем коде.
Подробнее: https://sansec.io/research/polyfill-supply-chain-attack
#безопасность
История дня: как один айтишник решил проучить джуна за не заблокированный ноутбук и глупые вопросы Алисе
Буквально на днях один айтишник решил проучить коллегу-джуна, который вышел на перерыв, не заблокировав ноутбук. Задумка в целом неплохая: во многих компаниях такая практика используется для отработки мер кибербезопасности. Но вот дальше получилось неочень.
Старший коллега полез копаться в файлах джуна и обнаружил переписку с Алисой, у которой джун всё время спрашивал незнакомые айти-термины. об этом он рассказал в своём твиттере.
Но Твиттер такой пранк не оценил. В реплаях критикуют старшего айтишника и поддерживают джуна, который просто хотел разобраться в работе.
А как вы относитесь к таким историям, кто прав?
👍 — за джуна,
👎 — за «учителя года».
#обсуждение
Буквально на днях один айтишник решил проучить коллегу-джуна, который вышел на перерыв, не заблокировав ноутбук. Задумка в целом неплохая: во многих компаниях такая практика используется для отработки мер кибербезопасности. Но вот дальше получилось неочень.
Старший коллега полез копаться в файлах джуна и обнаружил переписку с Алисой, у которой джун всё время спрашивал незнакомые айти-термины. об этом он рассказал в своём твиттере.
Но Твиттер такой пранк не оценил. В реплаях критикуют старшего айтишника и поддерживают джуна, который просто хотел разобраться в работе.
А как вы относитесь к таким историям, кто прав?
👍 — за джуна,
👎 — за «учителя года».
#обсуждение
Forwarded from Инструменты программиста
This media is not supported in your browser
VIEW IN TELEGRAM
Быстрые HTML-сниппеты в VSCode
VSCode «зашерлочили» аддон Emmet (то есть внедрили в IDE функционал расширения), так что с недавнего времени с помощью клавиши Tab вы можете быстро генерить сниппеты
Подробнее
@prog_tools
VSCode «зашерлочили» аддон Emmet (то есть внедрили в IDE функционал расширения), так что с недавнего времени с помощью клавиши Tab вы можете быстро генерить сниппеты
html, haml, pug, slim, jsx, xml, xsl, css, scss, sass, less.Подробнее
@prog_tools
Old but gold: Самый безопасный способ скрыть ключи API при использовании React
Хотите убедиться, что ваши ключи API в целости и сохранности при работе с React? В этой статье вы увидите лучшие способы скрыть ключи API, от использования переменных среды до создания собственного внутреннего прокси-сервера.
Подробнее: https://www.smashingmagazine.com/2023/05/safest-way-hide-api-keys-react/
#фронтенд #react
Хотите убедиться, что ваши ключи API в целости и сохранности при работе с React? В этой статье вы увидите лучшие способы скрыть ключи API, от использования переменных среды до создания собственного внутреннего прокси-сервера.
Подробнее: https://www.smashingmagazine.com/2023/05/safest-way-hide-api-keys-react/
#фронтенд #react
Учитель: *Говорит, что быстро выучить язык можно только разговаривая с его носителем*
Я, изучающий JavaScript:
Я, изучающий JavaScript:
Годных курсов вам в ленту: плейлист с целой сотней уроков по фронтенду
Без шуток, 101 видео на самые разные темы, касающиеся фронтенда. HTML, CSS, верстка, работа с GitHub и куча других тем. Бонусом хорошая картинка, приятный звук
Сохраните, чтобы не потерять: https://www.youtube.com/playlist?list=PLV9lBwGQ2FU1VOctyWifetyMMC-OTJ51e
#фронтенд #курсы
Без шуток, 101 видео на самые разные темы, касающиеся фронтенда. HTML, CSS, верстка, работа с GitHub и куча других тем. Бонусом хорошая картинка, приятный звук
Сохраните, чтобы не потерять: https://www.youtube.com/playlist?list=PLV9lBwGQ2FU1VOctyWifetyMMC-OTJ51e
#фронтенд #курсы
Исследуем React Compiler
Подробное руководство по работе и использованию React Compiler в новых и существующих проектах: https://blog.logrocket.com/exploring-react-compiler-detailed-introduction/
#react
Подробное руководство по работе и использованию React Compiler в новых и существующих проектах: https://blog.logrocket.com/exploring-react-compiler-detailed-introduction/
#react
Джун: *Два монитора, механическая клавиатура с подсветкой, игровая мышь*
Мидл: *Удобный монитор, добротная клиавиатура и эргономическая мышь*
Сеньор:
Мидл: *Удобный монитор, добротная клиавиатура и эргономическая мышь*
Сеньор:
Как защитить Django-приложения? CSP стоит того?
На связи читатель «Типичного»: «Учусь работать над повышением безопасности Django-приложения. Сейчас использую OAuth и библиотеки типа django-axes и django-security. Но сможет ли это защитить от CSRF и XSS атак? Не понятно…».
Какие методы и инструменты вы используете для улучшения безопасности? Есть ли у вас конкретные примеры, где внедрение CSP действительно оправдало себя? Что посоветуете?
Поделитесь вашим мнением здесь: https://tproger.ru/articles/kak-zashhitit-django-prilozheniya--csp-stoit-togo-
#безопасность
На связи читатель «Типичного»: «Учусь работать над повышением безопасности Django-приложения. Сейчас использую OAuth и библиотеки типа django-axes и django-security. Но сможет ли это защитить от CSRF и XSS атак? Не понятно…».
Какие методы и инструменты вы используете для улучшения безопасности? Есть ли у вас конкретные примеры, где внедрение CSP действительно оправдало себя? Что посоветуете?
Поделитесь вашим мнением здесь: https://tproger.ru/articles/kak-zashhitit-django-prilozheniya--csp-stoit-togo-
#безопасность
Какой у вас профессиональный уровень в IT?
Anonymous Poll
17%
Ещё не работаю в IT
4%
Intern / Стажер-разработчик или т.п.
14%
Junior / Младший разработчик или т.п.
33%
Middle / «Миддл»
14%
Senior / Старший разработчик или т.п.
9%
(Team) Lead / Руководитель команды, группы и т.п. или ведущий разработчик
2%
Руководитель разработки, департамента, топ-менеджер
4%
Связан с IT, но не занимаюсь и не руковожу разработкой (дизайнер, аналитик, продакт, ...)
2%
Другое (пожалуйста, укажите в комментариях ваш вариант)
Если пропустили, в сети стали популярны два сайта: один с миллионом чекбоксов, второй — с одним чекбоксом
На обоих сайтах вы можете активировать или отключить чекбоксы, но это же делают другие пользователи:
— https://onemillioncheckboxes.com/
— https://onecheckbox.com/
Автор сделал их для того, чтобы получить опыт и реализовать что-то веселое в дух начала двухтысячных.
В начале июля 2024 года энтузиаст и разработчик под ником Nolen (Nolen Royalty) пояснил, что перевёл проект своего сайта с миллионом чекбоксов (onemillioncheckboxes.com) на Go для улучшения производительности и противостояния ботам. Проект обходится ему где-то в $60 или $70 в сутки.
В конце июня разработчик Nolen рассказал, что после первого запуска сайт с миллионом чекбоксов, которые можно активировать или выключать онлайн, столкнулся с различными проблемами на серверной стороне, но автор решил их. Nolen пояснил, что не будет монетизировать или продавать сайты.
Как вам идеи для пет-проектов?
#петпроект
На обоих сайтах вы можете активировать или отключить чекбоксы, но это же делают другие пользователи:
— https://onemillioncheckboxes.com/
— https://onecheckbox.com/
Автор сделал их для того, чтобы получить опыт и реализовать что-то веселое в дух начала двухтысячных.
В начале июля 2024 года энтузиаст и разработчик под ником Nolen (Nolen Royalty) пояснил, что перевёл проект своего сайта с миллионом чекбоксов (onemillioncheckboxes.com) на Go для улучшения производительности и противостояния ботам. Проект обходится ему где-то в $60 или $70 в сутки.
В конце июня разработчик Nolen рассказал, что после первого запуска сайт с миллионом чекбоксов, которые можно активировать или выключать онлайн, столкнулся с различными проблемами на серверной стороне, но автор решил их. Nolen пояснил, что не будет монетизировать или продавать сайты.
Как вам идеи для пет-проектов?
#петпроект
