В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

JavaScript fwdays

809 membersпожаловаться на группу
2020 April 14

AI

Andrew Ivanov in JavaScript fwdays
Timur Shemsedinov
Контейнеры ничего не решают, они не делают приложения масштабируемыми, положите СУБД в k8s, он не станет от этого мультимастером. K8s это не про масштабирование, а про управление инфраструктурой
Субд вспоминать в контексте кубера это красивая манипуляция. Потому как StatefulSet ресурсы это как раз то что сложнее всего поддается масштабированию. Бывают и другие задачи.
источник
23:56пожаловаться#1
2020 April 15

V

Viktor in JavaScript fwdays
@tshemsedinov, подскажи. Смотрю, что стартет ките сказано "Metaserverless cloud, an open source cloud platform based on Metarhia technology stack and Node.js.". А есть уже где глянуть исходники клауда или еще пока в закрытой разработке?
источник
00:00пожаловаться#2

AL

Andrey Listochkin in JavaScript fwdays
Alex
А в bcrypt есть критические уязвимости?

Ps я не ожидаю что пароли будут взламывать фермой суперкомпьютеров.
я вот прямо сейчас использую bcrypt в проде. Выбирал между ним и scrypt, и просто для bcrypt модуль в npm с приятным API
источник
00:00пожаловаться#3

V

Viktor in JavaScript fwdays
Andrey Listochkin
я вот прямо сейчас использую bcrypt в проде. Выбирал между ним и scrypt, и просто для bcrypt модуль в npm с приятным API
Андрей, привет. Сейчас для scrypt даже модуль с npm не нужен, есть в crypto https://nodejs.org/docs/latest-v12.x/api/crypto.html#crypto_crypto_scrypt_password_salt_keylen_options_callback
источник
00:03пожаловаться#4

V

Viktor in JavaScript fwdays
Но у нас тоже еще есть проекты в проде с bcrypt)
источник
00:03пожаловаться#5

AL

Andrey Listochkin in JavaScript fwdays
Вот ты знаешь, мне чем bcrypt@npm нравится, так это тем, что он простой как пробка:
const salt = await bcrypt.genSalt();
const passwordHash = await bcrypt.hash(password, salt);

//
isPasswordCorrect = await bcrypt.compare(password, passwordHash)

прикольно, что оно и пароль, и соль кладет в одну стрингу, которую потом в один столбец базы записываешь. С другими либо соль и пароль хранить отдельно, либо клеить самому, а мне влом 😄
источник
00:16пожаловаться#6

V

Viktor in JavaScript fwdays
Andrey Listochkin
Вот ты знаешь, мне чем bcrypt@npm нравится, так это тем, что он простой как пробка:
const salt = await bcrypt.genSalt();
const passwordHash = await bcrypt.hash(password, salt);

//
isPasswordCorrect = await bcrypt.compare(password, passwordHash)

прикольно, что оно и пароль, и соль кладет в одну стрингу, которую потом в один столбец базы записываешь. С другими либо соль и пароль хранить отдельно, либо клеить самому, а мне влом 😄
Согласен. Для меня тоже удобный API часто решает, но тут мы решили все-таки чуть больше ручной работы с scrypt, но немного надеждней (еще хуже брутфорсится на GPU), да и стандартный модуль - это греет :)
источник
00:22пожаловаться#7

V

Viktor in JavaScript fwdays
Но в любом случае для секьюрити библиотек API, который минимизирует вероятность ошибок  это мегаважно. Часто можно взять хорошую либу, но ввиду low level API можно себе в ногу выстрелить. Такое тоже есть
источник
00:24пожаловаться#8

AL

Andrey Listochkin in JavaScript fwdays
Это да, я согласен. Мб когда-то заюзаю его.
источник
00:25пожаловаться#9

КВ

Кукурузный Воришка in JavaScript fwdays
Andrey Listochkin
Вот ты знаешь, мне чем bcrypt@npm нравится, так это тем, что он простой как пробка:
const salt = await bcrypt.genSalt();
const passwordHash = await bcrypt.hash(password, salt);

//
isPasswordCorrect = await bcrypt.compare(password, passwordHash)

прикольно, что оно и пароль, и соль кладет в одну стрингу, которую потом в один столбец базы записываешь. С другими либо соль и пароль хранить отдельно, либо клеить самому, а мне влом 😄
Но какой смысл в соли, если она записана в одной строке с хешем? Я думал её нужно хранить отдельно, чтоб в случае слива базы без неё не восстановили пароли. 🙄
источник
00:27пожаловаться#10

AL

Andrey Listochkin in JavaScript fwdays
Кукурузный Воришка
Но какой смысл в соли, если она записана в одной строке с хешем? Я думал её нужно хранить отдельно, чтоб в случае слива базы без неё не восстановили пароли. 🙄
“Отдельно” - это где? В отделбной базе на другом сервере? Так по факту не делают. Соль кладут рядом в соседнюю колонку в ту же таблицу. Когда база утекакет, утекают хеши с солью.

Смысл соли в том, что у каждого пароля она своя, и ты не можешь 100500 паролей сразу разшифровать из-за этого.
источник
00:30пожаловаться#11

AL

Andrey Listochkin in JavaScript fwdays
Есть расширение этой идеи - соль + перец. Соль хранится рядом с паролем, перец - отдельно на другом сервере. Например, твой код при запуске грузит себе этот перец и при сохранении/загрузке паролей спроверяет их с комбинацией соли и перца. Перец - один на все пароли или на группу паролей (чтоб не ходить за перцем всякий раз, когда он нужен)

Но и мороки с ним больше - что делать, когда перец нужно обновить, например?
источник
00:33пожаловаться#12

AL

Andrey Listochkin in JavaScript fwdays
Если в не деньги храните, а это какой-то интернет-магазин условный, то соли с хорошим алгоритмом (bcrypt, scrypt, argon2) хватит.
источник
00:34пожаловаться#13

КВ

Кукурузный Воришка in JavaScript fwdays
Спасибо, повеселил)
источник
00:41пожаловаться#14

TS

Timur Shemsedinov in JavaScript fwdays
Viktor
@tshemsedinov, подскажи. Смотрю, что стартет ките сказано "Metaserverless cloud, an open source cloud platform based on Metarhia technology stack and Node.js.". А есть уже где глянуть исходники клауда или еще пока в закрытой разработке?
Скоро будет, стартер кит это упрощенная версия, я обрезал все, и оставил только то, что нужно для запуска одного инстанса, демонстрации новых возможностей ноды и красивой архитектуры и понятных абстракций. Но все это по интерфейсам совместимо. В манифесте можно подробнее глянуть https://github.com/metarhia/Manifesto/blob/master/RU/Technology.md
GitHub
metarhia/Manifesto
Manifesto of Metarhia Community. Contribute to metarhia/Manifesto development by creating an account on GitHub.
источник
00:43пожаловаться#15

TS

Timur Shemsedinov in JavaScript fwdays
Andrew Ivanov
Странно слушать про один тазик для любых проектов. Вообще подход с baremetall в корне устаревший. Контейнеры и Кубер рулят миром и нода в нем отлично себя чувствует. И да, CI/CD никто не отменял, и это как раз для TTM самое оно. Так что если хотите масштабируемость из коробки и всякие кенери деплойменты без головняков что ваш "один тазик" упал и не поднялся - кубер курите с самого начала.
Где я про baremetal сказал?
источник
00:46пожаловаться#16

TS

Timur Shemsedinov in JavaScript fwdays
Andrew Ivanov
Субд вспоминать в контексте кубера это красивая манипуляция. Потому как StatefulSet ресурсы это как раз то что сложнее всего поддается масштабированию. Бывают и другие задачи.
У меня стартер кит стейтфул
источник
00:47пожаловаться#17

AZ

Artem Zakharchenko in JavaScript fwdays
@tshemsedinov Досмотрел вторую часть, получил массу удовольствия, очень круто изложенная и структурированная информация. С одним моментом не мог согласиться - отказ от ОРМ.
- На JS действительно нет нормальных (typeORM?)
- Качество генерируемой query мягкоговоря желает лучшего
- Ну и все вытекающие последствия
Но
- Если следовать Grasp/solid - переход от ORM к queryBuilder должен выглядеть как эволюционный процесс, недорогой и безопасный(тесты)
- Пока есть ограничения построения инфры и поднятия физических инстансов(такое часто бывает, инфраструктура может быть блокером) команда может писать на sqllite (главное, чтобы база было корректно спроектировано)
источник
11:14пожаловаться#18

VM

Vitalii Mandelbro in JavaScript fwdays
Alexander
там розглянут приклад NHibernate. Але не всі ОРМ так працюють
ось краща стаття про бенефіти і недоліки https://seldo.com/posts/orm_is_an_antipattern
Seldo
ORM is an anti-pattern | Seldo.com
I tweeted about ORM last week, and since then several people have asked me to clarify what I meant. I have actually previously written about ORM, but it was in the context of a larger discussion about SQL and I shouldn't have confused the two issues. So here I'm going to focus on ORM itself. I'm also going to try to be very brief, since it became very apparent from my SQL article that people tend to stop reading at the first sentence that makes them angry (and then leave a comment about it, whether or not their point is addressed later on).

What's an anti-pattern?

I was pleased to discover that Wikipedia has a comprehensive list of anti-patterns, both from within the world of programming and outside of it. The reason I call ORM an anti-pattern is because it matches the two criteria the author of AntiPatterns used to distinguish anti-patterns from mere bad habits, specifically:

It initially appears to be beneficial, but in the long term has more bad consequences than good ones
An alternative solution...
источник
12:14пожаловаться#19

Y

Yevhen in JavaScript fwdays
@tshemsedinov Вы говорили, что у Вас есть видео где Вы рассказываете про ORM. Не подскажете как оно называется?
источник
12:18пожаловаться#20