RG
John Doe
Тем что стэйт хранит
Какой?
Size: a a a
2020 April 16
JD
Какой?
Такой вопрос. Будет ли работать следующая конфигурация: два инстанса со statefull spring security и защитой от csrf за лоад бэлэнсером у которого не настроена стики сешн. Не будет, потому что лоад бэлэнсер может перекинуть клиента на другой инстанс где токен сессии другой. Это и есть нарушение statelessness, ибо запрос не должен зависеть от предыдущих
RG
John Doe
Такой вопрос. Будет ли работать следующая конфигурация: два инстанса со statefull spring security и защитой от csrf за лоад бэлэнсером у которого не настроена стики сешн. Не будет, потому что лоад бэлэнсер может перекинуть клиента на другой инстанс где токен сессии другой. Это и есть нарушение statelessness, ибо запрос не должен зависеть от предыдущих
ну добавь редис и убери стики - какое то это отношение имеет к rest? есть дырка - создай заказ - она в целом не зависит от того залогинелся до этого юзер или нет - с тз rest - stateless
RG
csrf с тз терминологии - конечно элемент состояния - не хочешь юзать - вырежи / перейти на jwt короткий - варианты вараинты
JD
ну добавь редис и убери стики - какое то это отношение имеет к rest? есть дырка - создай заказ - она в целом не зависит от того залогинелся до этого юзер или нет - с тз rest - stateless
Ну вопрос то как раз был о том, нарушается ли принцип. Да нарушается. Использование редиса или стики сешшн это к тому как это дело обойти
JD
csrf с тз терминологии - конечно элемент состояния - не хочешь юзать - вырежи / перейти на jwt короткий - варианты вараинты
Интересно было с академической точки зрения
RG
John Doe
Ну вопрос то как раз был о том, нарушается ли принцип. Да нарушается. Использование редиса или стики сешшн это к тому как это дело обойти
контроллеру пофиг какая именно сессия - пример с заказом выше. если бы как и какой создать бралось с куки - тогда уже да - явно нарушена, то что тебе пришел хедер часть A, не имеющий отношения к процессу заказа - то в чем?
JD
точнее там сложнее, идёт двойная передача токена в куках и например в заголовках, и соответственно клиент должен отправить на сервер оба
Такой вопрос. А что мешает атакующему понять где хранится токен в куках и по коду js понять как это токен отправляется дополнительным параметром?
БР
О, тут отвечают, продублирую тогда
БР
Всем здрасте, есть ли у кого опыт перекатывания из embedded разработки в java бекенд? Я так понимаю кроме непосредственно джавы надо спринг и сикуль прокачивать? С java core неплохо знаком, писал под десктоп программы для управления всякими железными штуками через Uart, udp. Но основном опыт программирования микроконтроллеров на Си, и конфигурирования fpga
C
Билли Рубин
Всем здрасте, есть ли у кого опыт перекатывания из embedded разработки в java бекенд? Я так понимаю кроме непосредственно джавы надо спринг и сикуль прокачивать? С java core неплохо знаком, писал под десктоп программы для управления всякими железными штуками через Uart, udp. Но основном опыт программирования микроконтроллеров на Си, и конфигурирования fpga
Открываешь hh.ru, вводишь "java", смотришь актуальные технологии.
БР
Поизучал фак в шапке, ничего практически не написано про спринг, сколько у вас заняло его изучение на Джуна? Какими книгами, курсами пользовались?
IK
Билли Рубин
Всем здрасте, есть ли у кого опыт перекатывания из embedded разработки в java бекенд? Я так понимаю кроме непосредственно джавы надо спринг и сикуль прокачивать? С java core неплохо знаком, писал под десктоп программы для управления всякими железными штуками через Uart, udp. Но основном опыт программирования микроконтроллеров на Си, и конфигурирования fpga
А под embedded что подразумевается? Я перешёл из промышленной автоматизации.