Toon posts:

[javascript]extern javascript beveiligen

Pagina: 1
Acties:

zondag 11 december 2005 12:52

Acties:
  • livingtale
  • Registratie: September 2002
  • Laatst online: 11-09-2021

livingtale

Topicstarter
Ik heb een javascript geschreven voor links alleen voor mijn leden (van een discussie programma).
Die links staan buiten het discussieprogramma in een HTML bestand.

In principe kan iedereen die de broncode leest gebruik maken van die links (door ze zelf te copiëren).
Ik heb dat wat bemoeilijkt door het script extern te maken en er een fantasie extinctie van te maken.
Werkt prima, maar je kunt dat bestand zo opvragen en toch de code lezen.
Is er een manier om het opvragen van een bestand te verbieden en het toch leesbaar te houden als javascript (oftewel: het HTML bestand heeft toegang tot het scriptje, maar niets/niemand anders).

Rein

rein van der meij

zondag 11 december 2005 12:56

Acties:
  • GlowMouse
  • Registratie: November 2002
  • Niet online

GlowMouse

Je zou kunnen checken op referer. Maar een referer is te faken, en het script moet uiteindelijk toch bij de client komen, dus dmv sniffing kun je de code altijd krijgen.
Maar als je links alleen voor leden wilt hebben, kun je ze toch in een directory zetten die je dmv .htaccess beveiligt? Of achter een PHP login script?

[ Voor 5% gewijzigd door GlowMouse op 11-12-2005 12:56 ]

zondag 11 december 2005 12:57

Acties:
  • M55
  • Registratie: September 2003
  • Niet online

M55

Javascript is client side, dus zal altijd gedownload worden, en is dus altijd leesbaar.

zondag 11 december 2005 13:01

Acties:
  • RM-rf
  • Registratie: September 2000
  • Laatst online: 12:15

RM-rf

1 2 3 4 5 7 6 8 9

nee....

domweg, omdat het hier en online applicatie betreft, het script moet ten allen tijden door een externe client kunnen worden ingelezen, en de manier warop dat gebeurt valt te 'simuleren'...

je kunt er obfuscating op los laten, waardoor het lastig wordt het scriptje te 'begrijpen' en 'uit te lezen' maar dat is enkel een kleine drempeltje, dat vroeger of later gebroken kan worden....

verder kun je bv je server laten controleren op de 'referer' oftewel de pagina 'waarvan' het verzoek komt (een methode om deep of hotlinking te voorkomen), maar dat is nog altijd geen waterdichte blokkade...

vaak heeft het meer zin om gewoon jezelf af te vragen _of_ zulk een paranoia tegen 'het jatten van de links wel nodig is, en verder is het enige wat werkelijk heltp o duidelijk op juridisch vlak op te treden tegen mensen die misbruik maken (door bij aantonen van het jatten van content, hen een een net en duidelijk verzoek tot verwijdering te schrijven en als dat niet wordt uitgevoerd ook tot een aanklacht over te gaan ... dan moet dat natuurlijk wel lonen, als het om lnks gaan die eigenlijk toch al triviaal zijn, zal dat nog steeds weinig zin hebben)

Intelligente mensen zoeken in tijden van crisis naar oplossingen, Idioten zoeken dan schuldigen

zondag 11 december 2005 21:28

Acties:
  • livingtale
  • Registratie: September 2002
  • Laatst online: 11-09-2021

livingtale

Topicstarter
Het hoeft echt niet waterdicht, maar zo leek me het wel heel gemakkelijk.
Het gaat om leden van de discussiesite, en is enerzijds bedoeld om mensen te stimuleren zich te laten registreren, en anderzijds dat deel van de site te beschermen.
Die leden hebben al ingelogd en het is dus niet de bedoeling om ze nogmaals om een wachtwoord te vragen of zo.

TM-rf's suggestie om de server de afkomst van het verzoek te laten controleren lijkt op wat ik in gedachten heb: het verzoek komt immers altijd van één html bestand, of begrijp ik je nu niet?
En hoe doe je dat: je server laten controleren op referer?
En van obfuscating heb ik nog nooit gehoord.
groet
Rein

rein van der meij

zondag 11 december 2005 21:44

Acties:

Verwijderd

Is het niet mogelijk om bvb een php bestand als met header(“Content-type: text/javascript”) door te sturen naar de browser, en met behulp van bvb een sessieboolean verifieren als de gebruiker is ingelogd of niet ? ev aangevuld met een cookietracker.

Dit is uiteraard slechts een serverside oplossing.

Als je het puur clientside wilt doen, kan ik je ook nog dit meegeven, wel ietsje moeilijker om te realiseren en dan moet alles wel in bvb een xml of txt bestand staan (geencrypteerd).

Ik heb hieraan een tijdje geleden aan gewerkt, en dit is imo een methode die je alleen op een brute-force manier kan kraken.
http://users.telenet.be/b...ier/pw/?user=data&pw=test
Maakt gebruik van rc4 codering, en hier kan makkelijk een cookie aangehecht worden.

Zo krijgt men alleen toegang mbv een eventueel reeds opgeslagen wachtwoord, en kan uiteraard ook aan die ene webpagina gekoppeld worden.

Javascript moet hiervoor uiteraard bij de gebruiker ingeschakeld zijn.

Obfuscating is het moeilijker maken van het lezen van de code voor mensen die deze willen lezen.

[ Voor 6% gewijzigd door Verwijderd op 11-12-2005 21:46 ]

Pagina: 1
Reageer