Сегодня на medium был опубликован пост от разработчиков Flow, про то, почему от них так давно не было новостей.
Пишут о том, что последний год решали фундаментальные проблемы Flow: скорость и оптимизацию потребления памяти. Оптимиазция по скорости снизила число запросов от IDE, занимающих более одной секунды, с 1 млн./день до 25 тыс./день. Уважают решение разработчики сторонних библиотек о переходе с Flow на TypeScript, но для Facebook Flow остается очень важной технологией. Еще обещают быть более открытыми по поводу своих планов на будущее.
https://medium.com/flow-type/what-the-flow-team-has-been-up-to-54239c62004f
#flow
Пишут о том, что последний год решали фундаментальные проблемы Flow: скорость и оптимизацию потребления памяти. Оптимиазция по скорости снизила число запросов от IDE, занимающих более одной секунды, с 1 млн./день до 25 тыс./день. Уважают решение разработчики сторонних библиотек о переходе с Flow на TypeScript, но для Facebook Flow остается очень важной технологией. Еще обещают быть более открытыми по поводу своих планов на будущее.
https://medium.com/flow-type/what-the-flow-team-has-been-up-to-54239c62004f
#flow
Прочитал интересную статью Джека Арчибальда про относительно недавний хак npm-пакета event-stream. В ней очень много дельных советов про то, как свести к минимуму подобные атаки и ликвидировать их последствия.
Чтобы вредоносный пакет не смог своровать ваши ssh-ключи с компьютера или что-нибудь натворить на сервере, используйте сандбоксинг с помощью Docker или обычную виртуальную машину во время разработки. С предотвращением атак на пользователей сайта, на котором работает вредоносный скрипт, всё гораздо сложнее. Для себя я выделил следующие моменты: аудит зависимостей тех приложений, которые работают с финансами, разделение процесса сборки на два этапа (“trusted”, “untrusted”) и подключение на сайт политик csp, чтобы минимизировать риски для атакованного пользователя.
Ещё в статье мне понравился интересный трюк с полной очисткой всех сохранённых сайтом данных (куки, кеши, localStorage, sessionStorage и т. п.) Для этого серверу достаточно отправить http-заголовок
https://jakearchibald.com/2018/when-packages-go-bad/
#security #npm
Чтобы вредоносный пакет не смог своровать ваши ssh-ключи с компьютера или что-нибудь натворить на сервере, используйте сандбоксинг с помощью Docker или обычную виртуальную машину во время разработки. С предотвращением атак на пользователей сайта, на котором работает вредоносный скрипт, всё гораздо сложнее. Для себя я выделил следующие моменты: аудит зависимостей тех приложений, которые работают с финансами, разделение процесса сборки на два этапа (“trusted”, “untrusted”) и подключение на сайт политик csp, чтобы минимизировать риски для атакованного пользователя.
Ещё в статье мне понравился интересный трюк с полной очисткой всех сохранённых сайтом данных (куки, кеши, localStorage, sessionStorage и т. п.) Для этого серверу достаточно отправить http-заголовок
Clear-Site-Data: *, браузер почистит всё сам, но работает пока это только в Chrome и Firefox.https://jakearchibald.com/2018/when-packages-go-bad/
#security #npm
Идея web-компонентов была представлена широкой общественности в 2011 году. Ребята из Google за это время смогли убедить сообщество в том, что их идея достойна того, чтобы стать частью официальных web-стандартов.
Сейчас нативная поддержка web-компонентов версии 1 в той или иной степени есть в Chrome, Safari и Firefox. Полноценная поддержка в Edge появится скорее всего уже после перехода на Chromium (маловероятно, что Microsoft будет инвестировать разработку в текущий движок). Поэтому, если web-компоненты прошли мимо вас, сейчас самое время начать с ними знакомиться. Отправной точкой может послужить довольно свежая статья в блоге Mozilla Hacks “The Power of Web Components”.
https://hacks.mozilla.org/2018/11/the-power-of-web-components/
#webcomponents #webstandards
Сейчас нативная поддержка web-компонентов версии 1 в той или иной степени есть в Chrome, Safari и Firefox. Полноценная поддержка в Edge появится скорее всего уже после перехода на Chromium (маловероятно, что Microsoft будет инвестировать разработку в текущий движок). Поэтому, если web-компоненты прошли мимо вас, сейчас самое время начать с ними знакомиться. Отправной точкой может послужить довольно свежая статья в блоге Mozilla Hacks “The Power of Web Components”.
https://hacks.mozilla.org/2018/11/the-power-of-web-components/
#webcomponents #webstandards
Mozilla Hacks – the Web developer blog
The Power of Web Components
Web Components comprises a set of standards that enable user-defined HTML elements. These elements can go in all the same places as traditional HTML. Despite the long standardization process, the ...