Сегодня на medium был опубликован пост от разработчиков Flow, про то, почему от них так давно не было новостей.
Пишут о том, что последний год решали фундаментальные проблемы Flow: скорость и оптимизацию потребления памяти. Оптимиазция по скорости снизила число запросов от IDE, занимающих более одной секунды, с 1 млн./день до 25 тыс./день. Уважают решение разработчики сторонних библиотек о переходе с Flow на TypeScript, но для Facebook Flow остается очень важной технологией. Еще обещают быть более открытыми по поводу своих планов на будущее.
https://medium.com/flow-type/what-the-flow-team-has-been-up-to-54239c62004f
#flow
Пишут о том, что последний год решали фундаментальные проблемы Flow: скорость и оптимизацию потребления памяти. Оптимиазция по скорости снизила число запросов от IDE, занимающих более одной секунды, с 1 млн./день до 25 тыс./день. Уважают решение разработчики сторонних библиотек о переходе с Flow на TypeScript, но для Facebook Flow остается очень важной технологией. Еще обещают быть более открытыми по поводу своих планов на будущее.
https://medium.com/flow-type/what-the-flow-team-has-been-up-to-54239c62004f
#flow
Прочитал интересную статью Джека Арчибальда про относительно недавний хак npm-пакета event-stream. В ней очень много дельных советов про то, как свести к минимуму подобные атаки и ликвидировать их последствия.
Чтобы вредоносный пакет не смог своровать ваши ssh-ключи с компьютера или что-нибудь натворить на сервере, используйте сандбоксинг с помощью Docker или обычную виртуальную машину во время разработки. С предотвращением атак на пользователей сайта, на котором работает вредоносный скрипт, всё гораздо сложнее. Для себя я выделил следующие моменты: аудит зависимостей тех приложений, которые работают с финансами, разделение процесса сборки на два этапа (“trusted”, “untrusted”) и подключение на сайт политик csp, чтобы минимизировать риски для атакованного пользователя.
Ещё в статье мне понравился интересный трюк с полной очисткой всех сохранённых сайтом данных (куки, кеши, localStorage, sessionStorage и т. п.) Для этого серверу достаточно отправить http-заголовок
https://jakearchibald.com/2018/when-packages-go-bad/
#security #npm
Чтобы вредоносный пакет не смог своровать ваши ssh-ключи с компьютера или что-нибудь натворить на сервере, используйте сандбоксинг с помощью Docker или обычную виртуальную машину во время разработки. С предотвращением атак на пользователей сайта, на котором работает вредоносный скрипт, всё гораздо сложнее. Для себя я выделил следующие моменты: аудит зависимостей тех приложений, которые работают с финансами, разделение процесса сборки на два этапа (“trusted”, “untrusted”) и подключение на сайт политик csp, чтобы минимизировать риски для атакованного пользователя.
Ещё в статье мне понравился интересный трюк с полной очисткой всех сохранённых сайтом данных (куки, кеши, localStorage, sessionStorage и т. п.) Для этого серверу достаточно отправить http-заголовок
Clear-Site-Data: *, браузер почистит всё сам, но работает пока это только в Chrome и Firefox.https://jakearchibald.com/2018/when-packages-go-bad/
#security #npm
Идея web-компонентов была представлена широкой общественности в 2011 году. Ребята из Google за это время смогли убедить сообщество в том, что их идея достойна того, чтобы стать частью официальных web-стандартов.
Сейчас нативная поддержка web-компонентов версии 1 в той или иной степени есть в Chrome, Safari и Firefox. Полноценная поддержка в Edge появится скорее всего уже после перехода на Chromium (маловероятно, что Microsoft будет инвестировать разработку в текущий движок). Поэтому, если web-компоненты прошли мимо вас, сейчас самое время начать с ними знакомиться. Отправной точкой может послужить довольно свежая статья в блоге Mozilla Hacks “The Power of Web Components”.
https://hacks.mozilla.org/2018/11/the-power-of-web-components/
#webcomponents #webstandards
Сейчас нативная поддержка web-компонентов версии 1 в той или иной степени есть в Chrome, Safari и Firefox. Полноценная поддержка в Edge появится скорее всего уже после перехода на Chromium (маловероятно, что Microsoft будет инвестировать разработку в текущий движок). Поэтому, если web-компоненты прошли мимо вас, сейчас самое время начать с ними знакомиться. Отправной точкой может послужить довольно свежая статья в блоге Mozilla Hacks “The Power of Web Components”.
https://hacks.mozilla.org/2018/11/the-power-of-web-components/
#webcomponents #webstandards
Mozilla Hacks – the Web developer blog
The Power of Web Components
Web Components comprises a set of standards that enable user-defined HTML elements. These elements can go in all the same places as traditional HTML. Despite the long standardization process, the ...
Скорее всего для контроля версий вы используете git. Это очень мощный и гибкий инструмент. Но за гибкость надо платить: без хорошего git-интерфейса понять как происходила разработка в ветках бывает очень непросто.
Для macOS советую попробовать gitup — очень быстрый и приятный в использовании gui-инструмент с полностью открытым исходным кодом. С его помощью можно не только посмотреть, как ветки вливались друг в друга, но и при желании заребейзиться, черри-пикнуть или засквошить коммиты и сделать много всего другого.
https://gitup.co
#macos #tool
Для macOS советую попробовать gitup — очень быстрый и приятный в использовании gui-инструмент с полностью открытым исходным кодом. С его помощью можно не только посмотреть, как ветки вливались друг в друга, но и при желании заребейзиться, черри-пикнуть или засквошить коммиты и сделать много всего другого.
https://gitup.co
#macos #tool