Një rast i shkurtër për shtytje uebi peer-to-peer

Ueb-shty-a-çfarë-tani?

Pushtimi i uebit është një teknologji që mund të përdoret nga aplikacionet e uebit, pra aplikacionet që funksionojnë thjesht në ueb. Nëpërmjet Web Push API zhvilluesit mund të shtyjnë njoftimet në një pajisje të përdoruesit nëse ata kanë dhënë pëlqimin.

Vëzhgoni: Më poshtë është një përçartje për teknologjinë Web Push. Ndoshta është e rëndësishme vetëm për disa njerëz, por më duhej ta hiqja nga mendja…

Një hyrje e shkurtër e problemit

Efektet e GDPR-së si dhe kostot etike dhe ekonomike të funksionimit të serverëve të centralizuar do të rrisin (dhe tashmë ka) kërkesën për aplikacione të decentralizuara nga kolegët.

Aktualisht, të gjitha shërbimet kryesore të shtytjes së uebit po përdorin një politikë CORS që e bën të pamundur për shfletuesin të krijojë dhe të dërgojë një njoftim shtytës në ueb. Kjo është mbytëse e inovacionit në hapësirën peer-to-peer.

Kjo është një thirrje për shërbimet e shtytjes së uebit për të zbatuar një politikë të ndryshme CORS.

Është tashmë e mundur që një klient të ndërtojë dhe të ndajë të gjitha gjërat e nevojshme të shtytjes së uebit tërësisht në shfletues nëpërmjet Web Crypto API.

Qëllimi i vetëm i kësaj politike CORS është të mos lejojë shfletuesit të iniciojnë mesazhin shtytës.

Ndarja dhe gjenerimi i çelësave tashmë mund të ndodhin tërësisht në shfletues.

Nëse kjo çështje nuk zgjidhet, në të ardhmen mund të shohim një rritje të shërbimeve të palëve të treta që veprojnë si përfaqësues të CORS, ose shërbimeve që pranojnë në mënyrë më eksplicite tokenat JWT për t'i kaluar tek ofruesi i shërbimit pushues të uebit.

Kjo është praktikë e keqe duke përdorur aktorë të panevojshëm në shkëmbim.

Shqetësimet e sigurisë:

Unë nuk jam profesionist, por ki parasysh sa vijon.

Shqetësimi kryesor i sigurisë është se punonjësi i shërbimit mund të përdoret për të shfaqur njoftime që përmbajnë përmbajtje me qëllim të keq; p.sh. lidhje me faqe të tjera mashtruese.

Duke supozuar një faqe interneti të pandershme, nuk ka përfitime sigurie nga moslejimi i shfletuesit për të inicuar njoftime shtytëse, pasi serveri mban çelësat privatë VAPID për të nënshkruar argumentet JTW sot.

Duke supozuar se një pronar i ndershëm uebsajti mund të ketë një rrezik të shtuar të zbatimit, pasi çelësat e pavlefshëm duhet t'u kalohen në mënyrë të sigurt përdoruesve të tjerë. Megjithatë, kjo tashmë është e mundur sot. Vetëm kërkesa aktuale për pikën fundore të shërbimit shtytës nuk lejohet në shfletues.

Kini parasysh gjithashtu se njoftimet janë të lidhura me aplikacionin dhe përdoruesit mund të anulojnë gjithmonë njoftimet nga aplikacione të caktuara.

Detyrimi i zhvilluesve në zgjidhje të pasigurta bazuar në proxy të panevojshëm është shumë më i dëmshëm IMO sesa përqafimi i këtij trendi dhe mbështetja e zhvilluesve me biblioteka të standardizuara dhe dokumentacion të mirë.

Shiko gjithashtu:

Materiale të reja

Masterclass Coroutines: Kapitulli-3: Anulimi i korutinave dhe trajtimi i përjashtimeve.

Mirë se vini në udhëzuesin gjithëpërfshirës mbi Kotlin Coroutines! Në këtë seri artikujsh, unë do t'ju çoj në një udhëtim magjepsës, duke filluar nga bazat dhe gradualisht duke u thelluar në..

Faketojeni derisa ta arrini me të dhënat false

A e gjeni ndonjëherë veten duke ndërtuar një aplikacion të ri dhe keni nevojë për të dhëna testimi që duken dhe duken më realiste ose një grup i madh të dhënash për performancën e ngarkesës...

Si të përdorni kërkesën API në Python

Kërkesë API në GitHub për të marrë depot e përdoruesve duke përdorur Python. Në këtë artikull, unë shpjegoj procesin hap pas hapi për të trajtuar një kërkesë API për të marrë të dhëna nga..

Një udhëzues hap pas hapi për të zotëruar React

Në këtë artikull, do të mësoni se si të krijoni aplikacionin React, do të mësoni se si funksionon React dhe konceptet thelbësore që duhet të dini për të ndërtuar aplikacione React. Learning..

AI dhe Psikologjia — Pjesa 2

Në pjesën 2 të serisë sonë të AI dhe Psikologji ne diskutojmë se si makineritë mbledhin dhe përpunojnë të dhëna për të mësuar emocione dhe ndjenja të ndryshme në mendjen e njeriut, duke ndihmuar..

Esencialet e punës ditore të kodit tim VS

Shtesat e mia të preferuara - Git Graph 💹 Kjo shtesë është vërtet e mahnitshme, e përdor përpara se të filloj të punoj për të kontrolluar dy herë ndryshimet dhe degët më të fundit, mund të..

Pse Python? Zbulimi i fuqisë së gjithanshme të një gjiganti programues

Në peizazhin gjithnjë në zhvillim të gjuhëve të programimit, Python është shfaqur si një forcë dominuese. Rritja e tij meteorike nuk është rastësi. Joshja e Python qëndron në thjeshtësinë,..

Etiketa

Machine Learning JavaScript Data Science Artificial Intelligence Python Web Development Software Development Coding Deep Learning AI React Software Engineering Programming Languages Front End Development Java Nodejs Algorithms Data Tech Computer Science Development HTML AWS CSS Neural Networks Angular ChatGPT Code Typescript Tutorial Python Programming Learning To Code Developer Computer Vision NLP Open Source Productivity Reactjs