c***d
发帖数: 996 | 1 别的行业不了解, web/mobile这块的趋势是mvcs. client 作mvc, 后端提供store.
client现在能力很强, 发展了这么多年安全, 存储都解决的不错。体验上client端随
便可以提供50ms以下的反应速度, 这个去server一个dns lookup就没有了。
server这边负责除了storage, 还剩下auth, aggregation/analytics, 和具体业务联
系比较紧密的东西。 如果不是实时和事务性比较强的逻辑, 能往前移都要往前移。 |
g*****g
发帖数: 34805 | 2 client端就没有安全一说,换句话说,client是不能信任的。
【在 c***d 的大作中提到】
: 别的行业不了解, web/mobile这块的趋势是mvcs. client 作mvc, 后端提供store.
: client现在能力很强, 发展了这么多年安全, 存储都解决的不错。体验上client端随
: 便可以提供50ms以下的反应速度, 这个去server一个dns lookup就没有了。
: server这边负责除了storage, 还剩下auth, aggregation/analytics, 和具体业务联
: 系比较紧密的东西。 如果不是实时和事务性比较强的逻辑, 能往前移都要往前移。
|
c***d
发帖数: 996 | 3 不同的业务对安全的要求不一样。 就说web browser, browser memory sandbox,
cookie, local storage都有不同的安全范围, 泛泛的说client不能被信任没有意义,
你的数据还是要load到client的吧, user input还是从client来的吧。
【在 g*****g 的大作中提到】
: client端就没有安全一说,换句话说,client是不能信任的。
|
g*****g
发帖数: 34805 | 4 说的是商业逻辑不能放进client端,否则被纂改。即便对安全要求不高的领域,比如
facebook,也都是薄前端。
为的是减少冗余代码。除了游戏,这年头就没啥胖客户端。
【在 c***d 的大作中提到】
: 不同的业务对安全的要求不一样。 就说web browser, browser memory sandbox,
: cookie, local storage都有不同的安全范围, 泛泛的说client不能被信任没有意义,
: 你的数据还是要load到client的吧, user input还是从client来的吧。
|
c***d
发帖数: 996 | 5 很好奇你们前端有几个产品经理, 后端有几个产品经理。 要是逻辑都在后端, 产品
经理也都是在后端忙吧。
【在 g*****g 的大作中提到】
: 说的是商业逻辑不能放进client端,否则被纂改。即便对安全要求不高的领域,比如
: facebook,也都是薄前端。
: 为的是减少冗余代码。除了游戏,这年头就没啥胖客户端。
|
c******o
发帖数: 1277 | 6 说个真实的故事。
去年2013夏天, 有一段apple mobile payment 被黑知道
么?很多公司损失很大。
最有名的被黑的我记得是CSR racing, 用黑客的工具可以随便要什么就有什么,不用真
买。
其实这个不是apple的问题,问题是被黑的都是在前端call apple server验证payment
receipt的。
黑客用app改dns把验证请求发到黑客server上了,当然都是回复验证成功。
我当时做的payment一开始就知道这个有问题,按照best pratice在后端验证,给予物
品,就完全不受影响。
后来还有至少4+种不同的 hack,我们都没事,就是应为“never trust frontend"
在critical/money area不客气地说,如果有漏洞,就一定会被发现,你不知道那些家
伙的精力和智慧。
比如说现在很多游戏,显示/战斗逻辑在前端,我黑起来毫无难度。
大的游戏,wow之类,一定会把所有的操作在后端进行或验证。 |
g*****g
发帖数: 34805 | 7 那当然,写前端的人也就写后端的人1/4,1/5。
【在 c***d 的大作中提到】
: 很好奇你们前端有几个产品经理, 后端有几个产品经理。 要是逻辑都在后端, 产品
: 经理也都是在后端忙吧。
|
l**********n
发帖数: 8443 | 8 把逻辑放前端是脑残。顶好虫
【在 g*****g 的大作中提到】
: 说的是商业逻辑不能放进client端,否则被纂改。即便对安全要求不高的领域,比如
: facebook,也都是薄前端。
: 为的是减少冗余代码。除了游戏,这年头就没啥胖客户端。
|
l**********n
发帖数: 8443 | 9 前端和后端完全不是一个概念,前端要有好的UXD, 这个一般码工都没有概念, 尤其是
java码农, 前端其实不需要了解data怎么处理,存储,只需要知道数据的格式就行了
,以及数据都包含了什么,怎么format数据,基本上就是json和xml。前端用大量的逻
辑那是狗屁。前端要设计到很多animation,css倒是真的 |
d********g
发帖数: 10550 | 10 Amazon前端bug都不少。2008年末发现的一个原创bug到现在2014年了还没改掉,还可以
随便用。这bug要公开的话按每人每次损失10刀算吧,乘以Amazon那流量,啧啧,几小
时就可以把小公司的内裤亏掉。就这质量,6年了都没修复
payment
【在 c******o 的大作中提到】
: 说个真实的故事。
: 去年2013夏天, 有一段apple mobile payment 被黑知道
: 么?很多公司损失很大。
: 最有名的被黑的我记得是CSR racing, 用黑客的工具可以随便要什么就有什么,不用真
: 买。
: 其实这个不是apple的问题,问题是被黑的都是在前端call apple server验证payment
: receipt的。
: 黑客用app改dns把验证请求发到黑客server上了,当然都是回复验证成功。
: 我当时做的payment一开始就知道这个有问题,按照best pratice在后端验证,给予物
: 品,就完全不受影响。
|
|
|
n****1
发帖数: 1136 | 11 公孙大神是不是可以在amazon上予取予求啊:)
【在 d********g 的大作中提到】
: Amazon前端bug都不少。2008年末发现的一个原创bug到现在2014年了还没改掉,还可以
: 随便用。这bug要公开的话按每人每次损失10刀算吧,乘以Amazon那流量,啧啧,几小
: 时就可以把小公司的内裤亏掉。就这质量,6年了都没修复
:
: payment
|
l*********s
发帖数: 5409 | 12 like famous single-player online game diablo3?
payment
【在 c******o 的大作中提到】
: 说个真实的故事。
: 去年2013夏天, 有一段apple mobile payment 被黑知道
: 么?很多公司损失很大。
: 最有名的被黑的我记得是CSR racing, 用黑客的工具可以随便要什么就有什么,不用真
: 买。
: 其实这个不是apple的问题,问题是被黑的都是在前端call apple server验证payment
: receipt的。
: 黑客用app改dns把验证请求发到黑客server上了,当然都是回复验证成功。
: 我当时做的payment一开始就知道这个有问题,按照best pratice在后端验证,给予物
: 品,就完全不受影响。
|
P********l
发帖数: 452 | 13 你的Java不是骗人的吗? String.repalce会用了吗?
【在 l**********n 的大作中提到】
: 前端和后端完全不是一个概念,前端要有好的UXD, 这个一般码工都没有概念, 尤其是
: java码农, 前端其实不需要了解data怎么处理,存储,只需要知道数据的格式就行了
: ,以及数据都包含了什么,怎么format数据,基本上就是json和xml。前端用大量的逻
: 辑那是狗屁。前端要设计到很多animation,css倒是真的
|
c******o
发帖数: 1277 | 14 diablo 3的很多都是后端的,不好 hack, 很多mobile app的奖励逻辑都是前端,很好
黑。
尤其是那种以图像吸引人的,黑起来太容易了,东西都在前段端么。
【在 l*********s 的大作中提到】
: like famous single-player online game diablo3?
:
: payment
|
l**********n
发帖数: 8443 | 15 diablo3 is all backend. the game state is processed at backend.
【在 l*********s 的大作中提到】
: like famous single-player online game diablo3?
:
: payment
|
l**********n
发帖数: 8443 | 16 diablo3的bug多了,有个著名的溢出bug,导致玩家金币猛涨。 |
l**********n
发帖数: 8443 | 17 java还用学吗?有google和IDE,根本不用学,小学生都会
【在 P********l 的大作中提到】
: 你的Java不是骗人的吗? String.repalce会用了吗?
|
l*********s
发帖数: 5409 | 18 yeah, but d3 is also the most disappointing game of the year because its 24
hour online auth/real money auction house. It is pretty much destroyed the
reputation of diablo series.
I mean, you need to think out of the box of an backend programmer. Otherwise
it is too easy to end up with a fabulous product that nobody cares.
【在 c******o 的大作中提到】
: diablo 3的很多都是后端的,不好 hack, 很多mobile app的奖励逻辑都是前端,很好
: 黑。
: 尤其是那种以图像吸引人的,黑起来太容易了,东西都在前段端么。
|
P********l
发帖数: 452 | 19 不想人身攻击.就凭你发言的这点水平,你真的不配在这个版上混.还是有点自知之明
吧.
【在 l**********n 的大作中提到】
: java还用学吗?有google和IDE,根本不用学,小学生都会
|
l**********n
发帖数: 8443 | 20 多谢大牛指点,以后要低调
【在 P********l 的大作中提到】
: 不想人身攻击.就凭你发言的这点水平,你真的不配在这个版上混.还是有点自知之明
: 吧.
|
j********x
发帖数: 2330 | 21 求告知,我那这个bug回去要个principal或者distinguished engineer做做。。。
【在 d********g 的大作中提到】
: Amazon前端bug都不少。2008年末发现的一个原创bug到现在2014年了还没改掉,还可以
: 随便用。这bug要公开的话按每人每次损失10刀算吧,乘以Amazon那流量,啧啧,几小
: 时就可以把小公司的内裤亏掉。就这质量,6年了都没修复
:
: payment
|
