Come funzionano le librerie di controllo di accesso JavaScript e una soluzione client non è una minaccia per la sicurezza?

Question

Come funzionano le librerie di controllo di accesso JavaScript e una soluzione client non è una minaccia per la sicurezza?

#1 da (2 voti)

2

In qualità di principiante assoluto in quest'area, sto esaminando varie librerie di Access Control per la mia webapp JavaScript (Vue.js PWA). Non so se capisco le cose correttamente ma sembra che ci siano librerie che si concentrano sul lato back-end, e altre sul lato client (e alcune che possono essere usate su entrambi).

Questa libreria, ad es. ha (di gran lunga) la maggior parte delle stelle github e mi sembra una "soluzione backend side":

ACL nodo

"Soluzioni lato client", ad esempio:

La mia domanda è duplice:
1) La mia divisione in soluzioni back-end vs client è corretta?
2) Quando si dispone di una soluzione client che utilizza un router nasconde determinati contenuti, questo non rappresenta un grave rischio per la sicurezza poiché la query ha portato tutti i dati (inclusi i dati "classificati") alla memoria locale del client. Questo non può essere facilmente compromesso?

javascript node.js access-control

posta musicformellons 22.10.2017 - 16:35

fonte

1 risposta

Leggi altre domande sui tag javascript node.js access-control

Controllo dell'applicazione della compressione del contenuto HTTP [chiuso] Perché impostare DMARC per SPF se è già configurato per DKIM?

score 2 · Accepted Answer

Sì, la tua divisione ha senso; ora concentrati sul backend (sicurezza), dimentica il cliente (esperienza utente). In breve, per la maggior parte delle applicazioni, non esiste la sicurezza lato client per l'operatore del sito web. La sicurezza lato client riguarda la protezione dell'utente da bug / xss / phishing / etc. Può tuttavia essere utile per gli utenti informare su azioni vietate, nascondere i collegamenti su cui non possono fare clic o bloccare i contenuti per la monetizzazione, la personalizzazione o l'internazionalizzazione e un plug-in del router potrebbe aiutare a raggiungere tali obiettivi.
Sì, se spedisci informazioni a un cliente, possono vederlo, anche se l'interfaccia predefinita presentata nasconde tali dati. Se c'è qualcosa che non vuoi che un client sappia / vedi / abbia, non puoi darlo a loro.
Prendi in considerazione i paypal dei siti di notizie in cui si può leggere la storia in "view-source"; questo è il più basso dei bassi "hacker-saggio", ma il concetto è esattamente lo stesso: la natura troverà un modo.