Vulnerabilità di divulgazione del codice sorgente

0

Sono un po 'confuso riguardo alla discussione qui sulla possibilità di nascondere il codice sorgente javascript. Diciamo che se sfoglio una URL come questa: link e poi cosa vedo è qualcosa del genere:

/* SomeProgram v1.1 <http://www.somewhere.com/software/>
Copyright (c) 2010-2012 Dorothy
This software is released under the GNU License blah blah blah.....
*/
var variable=function(){ ... } // and so on. A bunch of js code

Si tratta di una vulnerabilità di divulgazione del codice sorgente? O è questo il comportamento corretto? grazie

    
posta dorothy 06.03.2015 - 15:05
fonte

2 risposte

7

Questo è il comportamento corretto. Nel caso di JavaScript lato client, è design che l'origine dello script viene inviata al client per essere eseguita. Pertanto, il fatto che sia possibile sfogliare manualmente l'URL per il file di script è irrilevante. Non ti dà più accesso di quanto l'applicazione intenda per te.

Una vulnerabilità legata all'intercettazione del codice sorgente è quando il client può accedere al codice sorgente sul lato server che deve non in base alla progettazione o essere in grado di accedere, come il codice sorgente PHP o ASP.NET.

    
risposta data 06.03.2015 - 15:40
fonte
2

Una vulnerabilità di divulgazione del codice sorgente è una divulgazione involontaria del codice sorgente. Poiché il codice JavaScript viene eseguito sul lato client, nel browser la divulgazione è intenzionale. In base a questa definizione, solo l'esposizione del codice lato server è una vulnerabilità di divulgazione del codice sorgente.

L'esempio che hai in realtà ha la GPL su di esso, quindi è già stato rivelato completamente.

Si noti che, per quanto riguarda il software di sicurezza, ci piace che il codice sorgente sia comunque disponibile, il che ci consente di ispezionarlo (il principio della piena trasparenza).

    
risposta data 06.03.2015 - 15:41
fonte