Братан продолжай, ты реально гений и твои видео это хлеб для меня, кратко но тонкости описаны, благодаря тебе на собесе себя буду чувствовать комфортнее
Привет! Сделано интересно и качественно, только один коммент - очень тихо. Я смотрел на телевизоре, и обычно я смотрю Ютуб на звуке "10" - это видео пришлось выкрутить на "15" (максимум). Жду ещё, спасибо!
Странно что автор не говорит про role-based authorization... ведь сейчас просто одну JWT авторизацию не применяют, ну разве что какие самоучки-недоучки пару месяцев изучающие программирование. И авторизация на основе роли не пропустит суперхакера приписавшего себе парава admin после проверки в БД .
Что-то уже переживаю не за jwt, а потому, что видео на канале вдруг стало вдвое меньше. Только нашел и не успел даже половину посмотреть. А контент топ и ещё хотелось бы...
@andreydavydov9683 Пришлось на время скрыть весь контент от htb, так как я использовал активный контент платформы для этих видео. Видео появятся обратно в течении 3-5 месяцев, а тем временем я продолжу выпускать видео такие же интересные, но машины из категории retired. На этой неделе будет!:)
Посмотрел несколько видео. Могу с уверенностью сказать, что если ты снимешь видео про атаки SPA-приложений, оно соберет много просмотров. Я фронтенд-разработчик и вижу, что твои видео рекомендует нашему сегменту. Так что, снимай пожалуйста для нас - криворуких макак, как защищать вебсайты от атак😁😁
Ну обычно юзают либу и все окей, а я вообще люблю jwt сохранить в базу, что бы можно было "выйти со всех устройств" да и просто токен не только при устартвании умирал, но и при логауте. Что бы украденный токен не был активен на год всееркд 😂
Разработчики полагаются на либы, будто бы в них не содержится уязвимостей, а ведь в либах ежедневно находят уязвимости:) Взгляните на ленту Snyk: security.snyk.io/ Что же касается токена, чтобы украденый токен продолжал был активным, достаточно обратиться к условному /api/refresh
@@MrCyberSec Не могу спорить, явно не моего уровня компетенции. Просто примеры приведенные тут как буд-то не отражают действительность. /api/refresh -- при наличии свежего токена выкинет юзера(владельца) из аккаунта. перелогинится и тогда оба наших токена, что бы получили по /api/refresh протухнут Эт в случае, если есть refresh токен, а если только access который дублируется в базе? Выглядит менее безопасно, чем первый вариант, так как пользователь должен сам разлогинится, а откуда ему узнать о том, что его токен украли? И access refresh token ?
@@tackesi Ну, вы правы, конечно. Но выкинет ли али нет, это уже не особо важно, когда пользовательские данные уже утекли :) А про действительность, скажу лишь, что действительность она весьма разнообразная: да, какие-то кейсы довольно редки, а что-то все еще встречается часто. Мое же видео служит лишь осветительной цели и если в нем что-то не соответсвтует действительности, я рад обновить свои знания:)
Отличная речь! Редко попадается такое вменяемое изложение. Жаль терять шикарный контент из-за музыки в фоне. Аксиома: "Никакая музыка ни при каком условии не способствует изучению чего бы то ни было".
Любая музыка всегда мешает любому изучению. Когда вы студент, вы можете делать уроки под музыку, это мешает изучению, но помогает психоэмоциональному состоянию. Когда вы взрослый человек, музыка для поддержки психики не нужна, а если всё же нужна, вы же сами можете себе фоном любую музыку включить.
Топчег! Как мы без этого жили
❤
100%
Кайф!! Продолжай снимать 💪🏽
Спасибо за поддержку, буду! 💪🏽
Годный контент! Лайк, подписка, репост! 👍
Очень круто, спасибо за видео
Про недостатки oauth2.0, ну и по классике про десереиализацию
Классная подача, хорошая база знаний. Спасибо за контент
Тупо лучший, просто музыка для моих ушей!
❤
💥💥💥Отличный видос! Круто бы кейсы по разбирать, инструменты и побольше подобного про уязвимости 💥💥💥
Классный ликбез. Спасибо!
Топчик :))) даёшь еще качественный контент 💪🏻💪🏻💪🏻
Спасибо🔥
Oh, ok, I thought JWT meant "Just Woke up, Tired", thanks for clarifying
What if the first response after server restarted, would include "JustWokeUP" header...
делай долгие видео, по часу) будет интересно и полезно)
Будут и такие:)
Практическое видео JWT атаки
Братан продолжай, ты реально гений и твои видео это хлеб для меня, кратко но тонкости описаны, благодаря тебе на собесе себя буду чувствовать комфортнее
Красавчик!! Все подробно расписал))
подача топ, только на заднем фоне музыку можно чуть чуть можно потише сделать
Спасибо, очень интересно
Этому дядьке кепка мозг совсем сдавила ... утечка приватного ключа с сервера)
А ещё копирование его всего на флешку и выкладывание в интернет)
Привет! Сделано интересно и качественно, только один коммент - очень тихо. Я смотрел на телевизоре, и обычно я смотрю Ютуб на звуке "10" - это видео пришлось выкрутить на "15" (максимум).
Жду ещё, спасибо!
Спасибо за фидбек, учту!
вообще огонь, крайне полезно
Странно что автор не говорит про role-based authorization... ведь сейчас просто одну JWT авторизацию не применяют, ну разве что какие самоучки-недоучки пару месяцев изучающие программирование. И авторизация на основе роли не пропустит суперхакера приписавшего себе парава admin после проверки в БД .
Что-то уже переживаю не за jwt, а потому, что видео на канале вдруг стало вдвое меньше. Только нашел и не успел даже половину посмотреть. А контент топ и ещё хотелось бы...
@andreydavydov9683 Пришлось на время скрыть весь контент от htb, так как я использовал активный контент платформы для этих видео. Видео появятся обратно в течении 3-5 месяцев, а тем временем я продолжу выпускать видео такие же интересные, но машины из категории retired. На этой неделе будет!:)
Супер канал!!!
чуть поправлю: для верификации jwt может использоваться и публичный ключ, не только приватный
Мне кажется лучше использовать готовые jwt библиотеки чем изобретать свои лясипеды.
Все бы ничего, но и в готовых либах находятся уязвимости.
@@MrCyberSecполностью согласен, но есть и проверенные либы типа djoser для django проектов
Посмотрел несколько видео. Могу с уверенностью сказать, что если ты снимешь видео про атаки SPA-приложений, оно соберет много просмотров. Я фронтенд-разработчик и вижу, что твои видео рекомендует нашему сегменту. Так что, снимай пожалуйста для нас - криворуких макак, как защищать вебсайты от атак😁😁
:)) Спасибо за рекомендацию
Ну обычно юзают либу и все окей, а я вообще люблю jwt сохранить в базу, что бы можно было "выйти со всех устройств" да и просто токен не только при устартвании умирал, но и при логауте. Что бы украденный токен не был активен на год всееркд 😂
Разработчики полагаются на либы, будто бы в них не содержится уязвимостей, а ведь в либах ежедневно находят уязвимости:) Взгляните на ленту Snyk: security.snyk.io/
Что же касается токена, чтобы украденый токен продолжал был активным, достаточно обратиться к условному /api/refresh
@@MrCyberSec Не могу спорить, явно не моего уровня компетенции. Просто примеры приведенные тут как буд-то не отражают действительность.
/api/refresh -- при наличии свежего токена выкинет юзера(владельца) из аккаунта. перелогинится и тогда оба наших токена, что бы получили по /api/refresh протухнут
Эт в случае, если есть refresh токен, а если только access который дублируется в базе? Выглядит менее безопасно, чем первый вариант, так как пользователь должен сам разлогинится, а откуда ему узнать о том, что его токен украли?
И access refresh token ?
@@tackesi Ну, вы правы, конечно. Но выкинет ли али нет, это уже не особо важно, когда пользовательские данные уже утекли :) А про действительность, скажу лишь, что действительность она весьма разнообразная: да, какие-то кейсы довольно редки, а что-то все еще встречается часто. Мое же видео служит лишь осветительной цели и если в нем что-то не соответсвтует действительности, я рад обновить свои знания:)
@@tackesi Это почему получение новых токенов через /api/refresh сделает старые невалидными?
@@dyingroseband почитайте про access refresh tokens. Безусловно, можно сделать, что бы старые не протухали. но тогда в этой концепции не будет смысла.
так как избежать то?!
Отличная речь! Редко попадается такое вменяемое изложение.
Жаль терять шикарный контент из-за музыки в фоне.
Аксиома: "Никакая музыка ни при каком условии не способствует изучению чего бы то ни было".
А музыка как фон в видео с лайв-кодингом - тоже мешает, как думаете?
Любая музыка всегда мешает любому изучению. Когда вы студент, вы можете делать уроки под музыку, это мешает изучению, но помогает психоэмоциональному состоянию. Когда вы взрослый человек, музыка для поддержки психики не нужна, а если всё же нужна, вы же сами можете себе фоном любую музыку включить.
Пришлось заново включить видео. Пока не прочитал коммент, даже не заметил что фоном была музыка. Так что всё индивидуально.
Не стоит отождествлять Ваше субъективное восприятие и объективную реальность.
@@MB-mi4ed не стоИт или не стОит?😂
Как меняется смысл от такой маленькой детали!
Спасибо всем алгоритмам, что выдали мне это в ленте 🫶🏻
Лучше не про атаки а про то как их не допустить