Javascript-форум (https://javascript.ru/forum/)
-   Библиотеки/Тулкиты/Фреймворки (https://javascript.ru/forum/library-toolkit-framework/)
-   -   Долой backend! Все делаем на javascript в frontend. (https://javascript.ru/forum/library-toolkit-framework/73169-dolojj-backend-vse-delaem-na-javascript-v-frontend.html)

laimas 27.04.2018 14:06

Цитата:

Сообщение от ГеннадийС
запрос без пароля и логина не будет выполнен.

Опять двадцать пять.

Nexus 27.04.2018 14:09

Цитата:

Сообщение от ГеннадийС
Что он сможет сделать?

Запустить цикл во вкладке, который будет отправлять на ваш сервер 500 запросов в секунду на выгрузку всех записей из всех доступных ему таблиц.
Или это не стоит внимания?

laimas 27.04.2018 14:09

Цитата:

Сообщение от Nexus
У единственного пользователя БД, других нет и у этого пользователя права только на чтение записей.

Даже и не знаю как комментировать. :)

Nexus 27.04.2018 14:11

laimas, в заданных условиях как-либо навредить (кроме опущенных случаев) злоумышленник не сможет, верно? )

ГеннадийС 27.04.2018 14:23

Цитата:

Сообщение от Nexus (Сообщение 484220)
Запустить цикл во вкладке, который будет отправлять на ваш сервер 500 запросов в секунду на выгрузку всех записей из всех доступных ему таблиц.
Или это не стоит внимания?

Такая атака возможна на любом сервере. Возможность блокирования такого рода атак всегда должна предусматриваться.

laimas 27.04.2018 14:24

Цитата:

Сообщение от Nexus
в заданных условиях как-либо навредить (кроме опущенных случаев) злоумышленник не сможет, верно?

Если иметь привилегию только на SELECT, то нет. Но в чем смысл этого? Строковое значение (тело запроса) прописанное клиентом, а не сервером, никак не снимает нагрузку на сервер, запрос все равно сервер исполнять будет. Уже полнейшая глупость довода, что это разгружает сервер. А вот нагадить серверу можно, он же только исполнять будет, не проверяя.

Nexus 27.04.2018 14:28

laimas, меня интересовало можно или нет, ни больше, ни меньше.
Если это возможно, то я обязан это знать, поэтому вас и мучал, простите :)

ГеннадийС 27.04.2018 14:31

Тема называется "Долой backend!" В первых сообщениях предлагалось не использовать серверные языки программирования и обойтись минимумом программного обеспечения на сервере. Базы данных нужны всё равно. Я и хотел обсудить такой способ построения сайта.

В начале обсуждения предлагалось компилировать javascript, как я понял, с целью сокрытия сведений о структуре базы данных.

laimas 27.04.2018 14:37

Цитата:

Сообщение от Nexus
меня интересовало можно или нет

Да банально просто напишу запрос, который будет ложить SQL сервер, ведь мне же разрешено (!) писать запросы. А писать грамотные запросы, это нужно знать не только структуру таблицы, но и типы полей, что будет подспорьем в плане нагадить. А ведь запросы можно то делать вложенными, ну почему бы не завалить такой доверчивый сервер? ;)

Nexus 27.04.2018 14:38

Цитата:

Сообщение от laimas
Да банально просто напишу запрос, который будет ложить SQL сервер

Это мне известно, об этом упоминал.


Часовой пояс GMT +3, время: 22:13.