Re: От: Разни въпроси към WEB-аджиите...

Това е добре ако системата е отворена за много потребители но в случая не е нужно - достатъчно е 5 пъти, блокиране на акаунта.

Спарки според мен мейл и СМС, че смс а може да си го получиш другата година.

От: Re: От: Разни въпроси към WEB-аджиите...

А, може да го накарам и да ми звъни направо (или там, на бъдещия системен администратор). А мейла и без друго е най-лесен.

Re: От: Re: От: Разни въпроси към WEB-аджиите...

Пак е проблем със ами няма връзка с този номер но поне после ти праща смс че сайта те е търсил

От: Re: От: Re: От: Разни въпроси към WEB-аджиите...

Мда. И тоя момент го има.

От: Разни въпроси към WEB-аджиите...

Това с пращането на мейли е същата работа като СМС–ите...

Примера ми е от вчера: Един тул (който прави облаци, т.е. бърка мента и мастичка ) при грешка пише в лог файлове и праща яко мейли. Та в понеделник вечерта към 19 часа почва да праща мейли през 10-20 секунди на шефа ми, който реално работи с тест сървърите, за да види как е новата версия. Продължило да му праща до към полунощ.

Сутринта ми казва "това чудо не работи" и нито дума, че е получил 400+ мейла. Обсъждаме какво, защо, как се е случило, правим тестове и на продакшън сървърите, и по едно време му идва мейл и си отваря мейл клиента пред мен. Като видях чудото с непрочетени мейли и ми стана лошо. Като го попитах защо не ми казва за тях, той просто ми обясни: "ами то са толкова много, че ги игнорирам". И така бъг репортите от бойното място се свеждат до "то не работи".......

И следва продължение на случката. След малко промени и добавяне на проверки пускаме новата версия на тула за тест. И докато си тестваме почват да идват мейли с текуща дата и час! Това е около 10 часа на другия ден. Гледаме мейлите и вътре пише дата от предния ден.... Та мейл сървърите, дори и собствени да са, почват да филтрират или да забавят неимоверно подобен спам. Та група мейли (пак около 400) се получиха и вчера следобед. Хубаво е, че си пиша дата и час в самия мейл, та видяхме, че това са стари проблеми. (добавка: все още получава мейли и в момента )

За това някаква скрита проста системна страничка за админа, който да може да се логва и от телефон и от там да поглежда какво става от време на време като състояние на лузери, сървъри, данни и т.н.. Иначе става със споменатия проблем "ама аз ти звънях, пък даваше, че си изключил телефона си" и подобни неприятни разговори. А спаменето и смс-ите само за най-критичните неща, които се очаква да не се случват хиляди пъти на час. Пропуснах и отговорност на дадения админ, защото там вече си опира до договорености за задълженията и съответните санкции (пак имам пресни примери, ама са съвсем отделна тема).

От: Разни въпроси към WEB-аджиите...

Сега и по темата за веб-аджийските неща, че и ние правим подобни чудесии с vb6 и после .нет истории.

За логването в нова сесия в даден прозорец зависи много от броузера. Пример е онлайн банкирането на 2 български банки, което работи, както Спарки иска, но само под интернет експлорер. Под Firefox и Opera можеш да си отвориш нов прозорец и да работиш по две различни неща с един и същ логин. Хубавото на сесията е, че пази секюрити мениджъра за дадения логин, т.е. с него си се логнал и ползваш боза345 и няма как да ровичкаш в боза789. За съжаление ако дадеш логаут от един от табовете/прозорците, то при всички останали ще се получи преминаване към логин страницата при следваща операция в тях.

В момента гледам как са го решили при една друга банка: ползват си една страница и всичко е AJAX, т.е. няма преминаване към друга страница при операциите. Всяко кликане просто променя вю-то в страницата без да я презарежда на чисто. И това работи в Опера, както трябва. И по-важното - писано е на .нет, защото страниците са aspx Но може и да бъркам за метода им на работа - не съм уебаджия, така да се каже.

От: Разни въпроси към WEB-аджиите...

Промяна на view-то, без да променя адреса, означава само и единствено post заявки с ViewState. Допустимо ли е WEB апликация да работи само с POST заявки и ще има ли някакви проблеми с кеширания, излишни предупреждения и прочие неща? Ако не - устройва ме перфектно, защото става елементарно. Само мрежовия трафик става малко по-тежък, ама не мисля че точно това би било проблем.

Страницата на Райфайзен не е MVC, до колкото мога да видя, а астандартно ASP с CodeBehind. Там SessionID и UserID се виждат в адреса/URI-то. И работи освен под IE, и под Chrome. Единствено системата за електронни подписи нещо не са я нагласили под Chrome (както и на НАП например), но всичко, за което не ти трабва подпис си работи (с някои дребни бъгове, некасаещи това, дето си клюкаме тука) и под Chrome безгрижно, и не позволява да влезеш от нов таб без логване. Ползва session кукита и Java script в клиентската част за което.

Ама, стигнах до извода че няма сми. Ако пък някога заима сми (щото някои юзери са си чисти УСери) - ще му бутна варианта с кукитата и толкоз. Не касае и сигурността - касае единствено какво може да прави "усера".

Re: Разни въпроси към WEB-аджиите...

Щом имаш роли и пермишъни то от тях ще ти зависи какво ще прави усера.

Да допустимо е, за кеш и други глупости зависи от сървера и как си си написал приложението.

От: Re: Разни въпроси към WEB-аджиите...

Виж ей-туй наистина са добри новини, да не кажа перфектни. В MVC-то става "еуементарно" - инициирам модела на изгледа, записвам му из полетата каквото искам да покаже, после правя "View" от него, който връщам като резултат на POST заявката. Адреса през цялото време си стои един и същ, а и е много лесно да се провери дали заявката идва от празен прозорец (макар че POST от празен прозорец май не може да дойде) - проверява се дали ViewState е валиден, и ако е - бачка, ако не - пренасочва към LogIn.

От: Разни въпроси към WEB-аджиите...

Практиката е POST да има само на Insert,Save,Delete. Даже може Delete да е с PUT, ама е малко по-особено тогаз(http://stackoverflow.com/questions/8...c-on-html-form)
А най-приятно е при POST и success веднага да следва Redirect(url), за да не може усера да даде Refresh и да се шашка.
Въпреки че явно става дума за вътрешно-фирмено приложение, да се добави тук-там малко CSRF защита, щото понякога стават и грешки А и MVC.NET си го има стандартно(<%= Html.AntiForgeryToken() %>).

Относно ViewState - това е мега боза, и е добре да се опитваш да не го ползваш. Малко е зор за начинаещи, но пък зора се изплаща след време. Също така избягвай server-side елементи в ASP.NET. Проблема при тях е, че дават една привидна гъвкавост на кода, от която след време може да ти се иска да не си го виждал тоя код изобщо ...

От: Разни въпроси към WEB-аджиите...

Спарки, когато почне борбата не само с уеб приложението, но и с клиентските проблеми покрай хиляди версии на броузери, ще може да се замислиш за правене на специализирано приложение, ползващо уеб сървиси. Защото е много по-лесно да поддържаш едно клиентско приложение, което просто изисква .NET Framework 2.0, т.е. ще върви от Win 2000, през WinXP до Win 7/2008R2, както и някакви сървиси, които пак вървят на уеб сървъра, т.е. там няма разнообразие във версиите на уиндоуса и е каквото ти определиш.

Кошмара на уеб програмирането и съвместимостта е нещото, което мен ме отказа да се занимавам. Някакви стандарти, които никой не спазва, някакви специфични неща във всеки броузер, постоянната промяна на уеб историите към още по-голям хаос.... Ееее, не. Предпочитам да правя онова отзад, дето върши истинската работа, или просто да се ползва друг тип приложения.

Та пак да посоча уеб сървисите, защото може да са по-доброто решение, с което да се спестят много нерви за в бъдеще.

От: Разни въпроси към WEB-аджиите...

Това ми беше първоначалната идея принципно, обаче не искат. Искат при тях нищо да не се инсталира, и точка! И да работят отвсякъде и през всичко. Част от тях искат и хостинг при нас, да си плащат абонамент и да знаят че всичко е в час - промени има по няколко пъти годишно. Средно билдовете на година са около 50. Смятай! Имал съм и по 70 и няколко. Тая година до тук само са 31.

ПП: Всъщност по интерфейса няма нищо екзотично, пък и аз гледам да ползвам максимално стандартни неща още от едно време. Общо взето таблици, текстови полета и бутони. Тук-там някой таб, или дървовидна структора, и толкоз.

От: Разни въпроси към WEB-аджиите...

Мога да ти пожелая само успех и по-малко нерви с такива клиенти, защото тепърва те очакват проблемите. И е хубаво да имаш поне 3-ма много добри тестери, които ползват не само IE и хром, а и всичко останало, включително макос и линукс с вариации на броузерите за тях, таблети с различни резолюции, смартфони от преди 5-6 години до най-модерните, при това ползване на всякакви версии на броузерите - от много стари до много нови...

Само за пример погледни темата за проблемите в работата на този форум, темата за "мобилната" тема на форума, в този подраздел разни проблеми с различни броузери за смартфони и форума, и можеш сам да си направиш извод какво можеш да очакваш.

Между другото трябва сериозно да се измислят как да се правят разни справки и т.н., които отнемат много време, защото всеки рекуест от броузера (примерно кликам си безобразно на даден линк, докато то се сети да ми върне резултат след 2 минути) ти генерира и нов тред в сървъра. Бързо и лесно може да се получи DoS. То има заобикаляне чрез междинна страница, която скрива линка/бутона, с който се генерират нещата и върти някакъв гиф, симулиращ работа, но все пак има и други лесни за лузера начини само с кликане да успее да скапе всичко насреща. Отделно и леко бавен интернет или прекъсваща връзка самия броузер препраща данните от заявката, тъй като не е успял да получи отговор от сървъра.

От опит мога да препоръчам да се избягват ActiveX обектите на Word, Excel, Acrobat от уеб приложение, тъй като самите програми не са пригодени за такова ползване и се получава каша в паметта примерно със стартирани 50 ексела, като програмно не се знае обекта към кое точно копие ще ти бъде върнат. Но това и майкрософт го препоръчват, така че предполагам си го взел вече предвид.

От: Разни въпроси към WEB-аджиите...

А, отдавна съм се примирил че все на нещо ще има проблем. И в тоя смисъл, всичко преди IE9 отпада - безплатни броузъри дал господ, тъй че да си берат гайлето. Не мога и няма смисъл да поддържам неща, по-стари от 2-3 години.

ActiveX няма да има въобще. Пращам им файла, и да правят каквото искат. За щастие имам собствен, писан от мен принт превю, който може да генерира и PDF, без да ползва нищичко външно. Ако го искат на екран, може да го запише и в JPEG например и да го показвам през страница.

Това за бутоните ще се проверява веднуж от към клиента от скрипт, през който ще се пускат заявките, и втори път на сървъра - ако вече е пусната справка няма да пусне втора докато предходната не приключи. А ако заявката е същата, ще я пренебрегне. Има там разни "modalpopupextender" и прочие нещица, дето могат да се ползват за случая - да показва в тях статус, да има бутон "Cancel" и т.н.

Форума е доста по-сложен от това, което аз ще правя. И доста по-нестандартен и с доста по-голямо като обем съдържание. И писан от доста повече хора. Тива го пишем 4-ма човека, дето седим на по 5 метра един от друг. Не забравяй че де-факто имам всичко написано и то ще се преписва бавно и славно във времето. Единствено WEB частта е реалния проблем. Всички справки са направени на обекти - отваряш, посочваш му базата данни, казваш му "джуркай", и то джурка каквото има. Като приключи с джуркането (може да връща статус по желание през това време), казваш му и какво да прави с изджурканото - да го запише във файл, да го разпечата в PDF, да го прати към принтера и прочие, а понеже съм си писал аз библиотеките - като нищо ще го накарам да го направи на HTML, който да покажеш в броузера - един интерпретатор и готово. И без друго дори в момента съм съчинил почти пълнофункционален език за програмиране за описване на макети на бланки (има си if-ове, цикли, смятаници, променливи, служебни полета и т.н.). Някой хубав ден ще го направя да записва всичко в XML, и от там - на който както му харесва.

Ама въпроса е да стигна до там - да направя login-а читаво и сигурно, да измисля мултиезичния интерфейс как точно да стане. Искат и мултиезично съдържание на базата и мултиезични справки, на всичкото отгоре. А от това как подкарам тия базови неща (акаунти, езици, права, SSL и прочие), зависи всичко останало. Затова сега се ровичкам денонощно. Защото сегашните ми грешки може да струват скъпо в бъдеще.

Re: Разни въпроси към WEB-аджиите...

За паролите няма да е толкова трудно.
Може да се ползва глобална парола WWW-Authenticate: Basic realm="Secure Area" след това да си имаш потребителските пароли, които да са md5($password); + $ salt. тука имаш много възможности за солта и за алгоритъма по които да я ползваш.
Най простия пример е
Може да ползваш и двойно криптиране с 2 различни метода
Идеята обаче е да си направиш уникален алгоритъм, а не да ползваш стандартите, единствения начин за хак на това е ако се знае алгоритъма.
Идейно е солта да я слагаш например след 3 тия симваол на паролата. $salt = sha1(md5($password)); ето как ти е реализирана двойно криптирана сол въз основа на паролата на потребителя.
Не, че някой ще се хване на затворена система но все пак , Ако мислите да давате на потребителите възможност да си сменят паролата задължително си направете система която да чеква паролата за сложност - потребителя е мързелив и по принцип слага елементарни пароли да не казвам и колко от тях са същите като юзърнейма (във форума това го преборихме преди години). И понеже ще се ползва откъдето им падне не е лошо да форсваш юзъра да си сменя периодично паролата.

За езиците нямаш много опции - най лесно е да извадиш всички фрази на файлове (може да го направиш и в самата база данни) и да сетваш езика в кукита или директно в базата данни.

Понеже казваш, че имате много билдове през годината, пак не е лошо всичко да е на темплейти за да става лесно също да изнесете всички функци на класове - не знам дали е автоматично реализирано в МВЦ то което ползвате.

Страшното става както казва pecix когато потребителя си хване да си поцъква на линковете или си цъка върху рефреша за целата не е лошо заявките да имат ид и да се шерват - демек колкото и да цъка да не може да вдига 2 процеса за едно и също нещо.

п.с. Знаеш ли какво си мислех, ако един потребител прави справка която се джурка половин час - погледне нещо и я затвори обаче след 1 минута му се наложи да провери същото нещо, пак ще трябва да чака половин час и ще товари сървера за нищо. Би трябвало всеки резултат да се кешира темпорално в базата данни и при заявка да се връща веднага резултата, демек ако Пешо иска същото като Гошо вместо да чака половин час веднага да си получи справката, защото Гошо я е генерирал това да се случва и при рефреш и при повторно цъкане на линк. Помислете дали е възможно да стане това при вас. Опресняването на тази кеш може да е на определено време, а по хитро е да се опреснява ако има нови записи в бозата.

За съвместимост на браузърите не го мисли - направи го да е просто, да няма много глезории и шарении и няма да имаш проблем дори и на мобилни.