Esiste un punto per offuscare i valori dei campi della forma?

Naviga le tue risposte
1

La nostra azienda offre soluzioni omnicanale (web, mobile, ecc.) per il settore bancario.

Uno dei nostri clienti sta spingendo per offuscare o crittografare il contenuto dei campi del modulo (lato client, al volo) nelle sue app HTML (ad esempio il web banking), sostengono che questo impedisce agli utenti di "vedere" il valori di campo durante l'ispezione della pagina web usando Firebug e strumenti simili.

Non riesco a vedere o immaginare un motivo valido per questo. Qualcuno può discutere a favore di questo?

    
posta Ricardo Zuasti 04.04.2017 - 14:56
fonte

2 risposte

2

Posso assolutamente vedere il valore in questo: se fornisci informazioni sensibili al lato client che speri che il client non veda mai.

Una volta vedevi questo quando avevi dei campi nascosti, come "sale_pct". Se un utente fosse in grado di vedere quel campo, potrebbe modificare il prezzo di vendita e potenzialmente acquistare il prodotto a un prezzo negativo. Non ridere È successo.

La domanda molto, molto, molto più grande è perché si possa fare affidamento sull'oscurità da parte del cliente. Non inviarlo al cliente se non vuoi che lo vedano. Ma forse l'azienda ha una ragione legittima per fare affidamento su questo ... Ne dubito

    
risposta data 04.04.2017 - 15:08
fonte
1

Da un punto di vista della sicurezza, non riesco a pensare a una sola ragione per cui questo aggiunge effettivamente alcuna sicurezza al design. Come ha sottolineato @schroeder, qualsiasi progetto in cui passi informazioni al client che non vuoi che il client veda, sono dati che possono rimanere sul server ed essere elaborati lì invece dove è "sicuro".

Il mio sospetto è che stiano davvero chiedendo che i campi vengano mascherati in modo che la gente non possa guardare le informazioni dei propri clienti. Mi è stato chiesto di fare un sistema di informazioni sulla salute simile, e alla fine sono arrivato a persone non tecniche che lanciavano parole tecniche che in realtà non descrivevano le loro necessità.

    
risposta data 04.04.2017 - 17:52
fonte

Leggi altre domande sui tag

Come determinare se il software su molti computer client è aggiornato? [chiuso] Un utente può manomettere il codice lato client per ignorare la disinfezione HTML, se sì, come posso impedirlo?