Vulnerabilidad de divulgación del código fuente

Navega tus respuestas
0

Estoy un poco confundido acerca de la discusión aquí sobre cómo ocultar el código fuente de javascript. Digamos si me dirijo a una url como esta: enlace y luego lo que veo es algo como esto: 

/* SomeProgram v1.1 <http://www.somewhere.com/software/>
Copyright (c) 2010-2012 Dorothy
This software is released under the GNU License blah blah blah.....
*/
var variable=function(){ ... } // and so on. A bunch of js code

¿Esto se llama una vulnerabilidad de divulgación de código fuente? ¿O es este el comportamiento correcto? gracias

    
pregunta dorothy 06.03.2015 - 15:05
fuente

2 respuestas

7

Ese es el comportamiento correcto. En el caso de JavaScript del lado del cliente, es por diseño que la fuente del script se envía al cliente para que se ejecute. Por lo tanto, el hecho de que pueda buscar manualmente la URL del archivo de script es irrelevante. No le da más acceso del que la aplicación pretende que tenga.

Una vulnerabilidad de divulgación de código fuente se produce cuando el cliente puede acceder al código fuente del lado del servidor al que no debe tener acceso al código fuente del servidor o, por ejemplo, el código fuente de PHP o ASP.NET.

    
respondido por el Xander 06.03.2015 - 15:40
fuente
2

Una vulnerabilidad de divulgación de código fuente es una divulgación involuntaria de código fuente. Dado que el código JavaScript se ejecuta en el lado del cliente, en el navegador, su divulgación es intencional. Bajo esta definición, solo la exposición del código del lado del servidor es una vulnerabilidad de divulgación del código fuente.

El ejemplo que das en realidad tiene la GPL, por lo que ya se reveló completamente.

Tenga en cuenta que con respecto al software de seguridad, nos gusta que el código fuente esté disponible de todos modos, lo que nos permite inspeccionarlo (el principio de divulgación completa).

    
respondido por el S.L. Barth 06.03.2015 - 15:41
fuente

Lea otras preguntas en las etiquetas

Mi computadora portátil tiene paquetes UDP salientes en puertos con números altos varias veces por segundo ¿Las vulnerabilidades del software son ilimitadas?