¿Cómo funcionan las bibliotecas de control de acceso de JavaScript y si una solución de cliente no es una amenaza para la seguridad?

Navega tus respuestas
2

Como principiante completo en esta área, estoy viendo varias bibliotecas de Control de Acceso para mi aplicación web JavaScript (Vue.js PWA). No sé si entiendo las cosas correctamente, pero parece que hay bibliotecas que se centran en el lado del servidor y otras en el lado del cliente (y algunas que se pueden usar en ambos).

Esta biblioteca, por ejemplo. tiene (por mucho) la mayoría de las estrellas de github y me parece una 'solución del lado del servidor':

'Soluciones del lado del cliente', por ejemplo:

Mi pregunta es doble:
1) ¿Mi división en backend vs cliente es correcta?
2) Cuando tiene una solución cliente que utiliza un enrutador oculta cierto contenido, ¿no es esto un riesgo de seguridad importante ya que la consulta llevó todos los datos (incluidos los datos "clasificados") a la memoria local del cliente? ¿No puede esto ser fácilmente comprometido?

    
pregunta musicformellons 22.10.2017 - 16:35
fuente

1 respuesta

2

  1. Sí, tu división tiene sentido; ahora enfóquese en el backend (seguridad), olvídese del cliente (experiencia del usuario). En resumen, para la mayoría de las aplicaciones, el operador del sitio web no tiene nada que ver con la seguridad del lado del cliente. La seguridad del lado del cliente consiste en proteger al usuario de errores / xss / phishing / etc. Sin embargo, puede ser útil para los usuarios informar sobre acciones prohibidas, ocultar enlaces en los que no pueden hacer clic o bloquear contenido para monetización, personalización o internacionalización, y un complemento de enrutador puede ayudar a lograr esos objetivos de usuario.

  2. Sí, si envía información a un cliente, pueden verla, incluso si la interfaz predeterminada que se muestra oculta dicha información. Si hay algo que no quieres que un cliente sepa / vea / tenga, no puedes dárselo.
    Considere los paywalls del sitio de noticias donde se puede leer la historia en "view-source"; eso es lo más bajo de los "piratas informáticos", pero el concepto es exactamente el mismo: la naturaleza encontrará un camino.

respondido por el dandavis 23.10.2017 - 07:14
fuente

Lea otras preguntas en las etiquetas

El archivo MailMergePro descargado parece tener un virus adjunto ¿Por qué configurar DMARC para SPF si ya está configurado para DKIM?