Protezione degli script lato client [duplicato]

Naviga le tue risposte
2

La maggior parte dei browser consente agli utenti di visualizzare la fonte di una pagina Web abbastanza facilmente e in modo moderno anche fornendo analisi dettagliate. Spesso questo codice include script lato client critici sotto forma di JS / jQuery, che oggigiorno spesso contengono metodi e strutture che possono esporre l'architettura interna di un servizio web a un possibile utente con intenzioni mala-fide.

  • In una situazione del genere, è possibile proteggere gli script lato client dalle visualizzazioni utente?
  • Inoltre, perché gli sviluppatori di browser non hanno considerato di offrire alcuni strumenti di sicurezza su questo fronte?

Grazie!

    
posta check123 19.04.2011 - 15:30
fonte

1 risposta

6

Qualsiasi protezione implementata a livello di utente può essere relativamente facile sconfitta. Il più delle volte viene usata la cosiddetta "offuscazione". Può essere dispendioso in termini di tempo per deoffuscare tale script se farlo a mano. Tuttavia, esistono diversi strumenti che automatizzano questo processo, ad esempio: link La soluzione migliore è implementare la protezione nell'interprete stesso, a livello di codice byte, come Zend Guardian per PHP (anche se è bypassabile). Suppongo che, per JavaScript, questo non possa essere fatto a causa di molte implementazioni dei motori JS, differenze tra parser engine, ecc. Inoltre, richiederebbe moduli di caricamento che devono essere distribuiti dal fornitore della protezione. Questo è un processo difficile e non trasparente.

Ho visto una protezione interessante nel malware, in quel caso il codice JavaScript era protetto con RSA e la chiave usata dal server. Ma ancora una volta, è mal di testa per gli sviluppatori di supportare tale processo. Probabilmente per gli autori di malware era importante proteggere i loro exploit contro gli AV, gli utenti in agguato, i ricercatori.

Inoltre, puoi leggere l'argomento correlato qui: link

    
risposta data 19.04.2011 - 15:46
fonte

Leggi altre domande sui tag

Modo infallibile per nascondere il tuo IP durante la navigazione [chiuso] Il messaggio di errore nei registri di Apache mostra / bin / bash e wget