Asegurando guiones del lado de los clientes [duplicado]

Navega tus respuestas
2

La mayoría de los navegadores permiten a los usuarios ver el origen de una página web de forma bastante sencilla y moderna, incluso con un análisis detallado. A menudo, este código incluye scripts críticos del lado del cliente en forma de JS / jQuery, que en la actualidad contienen a menudo métodos y estructuras que pueden exponer la arquitectura interna de un servicio web a un posible usuario con intenciones de mala fe.

  • En tal situación, ¿es posible proteger las secuencias de comandos laterales de sus clientes de las vistas de los usuarios?
  • Además, ¿por qué los desarrolladores de navegadores no han considerado ofrecer algunas herramientas de seguridad en este frente?

¡Gracias!

    
pregunta check123 19.04.2011 - 15:30
fuente

1 respuesta

6

Cualquier protección que se implemente en el nivel de usuario puede ser derrotada relativamente fácilmente. Más a menudo se utiliza el llamado "ofuscación". Puede llevar mucho tiempo deshacer el guión, si hacerlo a mano. Sin embargo, hay varias herramientas que automatizan este proceso, por ejemplo, enlace La mejor solución es para implementar la protección en el propio intérprete, a nivel de bytecode, como Zend Guardian para PHP (incluso se puede evitar). Supongo que, para JavaScript, esto no se puede hacer debido a muchas implementaciones de motores JS, diferencias de motores de análisis, etc. Además, requeriría la carga de módulos que deben ser distribuidos por el proveedor de protección. Este es un proceso difícil y no transparente.

He visto una protección interesante en el malware, en ese caso, el código JavaScript estaba protegido con RSA y usaba la clave del servidor. Pero una vez más, es un dolor de cabeza para el desarrollador admitir dicho proceso. Probablemente para los escritores de programas maliciosos valía la pena proteger sus ataques contra los AV, que acechan a los usuarios e investigadores.

Además, puede leer el tema relacionado aquí: enlace

    
respondido por el anonymous 19.04.2011 - 15:46
fuente

Lea otras preguntas en las etiquetas

Almacenamiento del token de tarjeta de crédito [cerrado] ¿Cómo puede un servidor de recursos OAuth2 relacionar un token de acceso con el usuario que lo autorizó para evitar el acceso no autorizado a otros recursos del usuario?