Vai sakompresētu JavaScript iespējams atspiest vaļā

[bubu]

Ko tad tu gribi īsti panākt? Nu nevar JS kodu aizsargāt. Tas nav acīmredzami? Ja browserim jāmāk tas lasīt, tad arī jebkurš cilvēks to varēs lasīt. Var, protams, muhļīt kodu, lai tas grūti lasās vai ir grūti rediģējams. Bet vienmēr to varēs relatīvi viegli dabūt plainā (izņemot mainīgo nosaukumus).

Varbūt nākamais jautājums būs par css vai html markupa "aizsardzību"? Ja nu skriptkidijs nozog tavu <div> tagu?

[Java]

bubu - protams, pēc teorijas nevari aizsargāt neko, kas atnāk klientam, jo tas viss ir ielādējies viņa pārlūkā, tātad, arī viņa datorā!

Bet var maksimāli sarežģīt viņam "lopiskos procesus"?

 

Nu, tad jau shrink variables pat zūd jēga, ja godīgi... Atliek ielikt komentāros © by NotAnotherKiddy un cerēt uz cilvēku godaprātu...

 

Nozagt <div> tagu - tas bij labs! Lielais zaglis nozaga <div> tagu un aiznesa mājās! :D :D :D

Edited November 28, 2008 by Java

[Ghenis]

Var obfuskēt kodu diezgan veiksmīgi.

http://dojotoolkit.org/docs/shrinksafe

[Delfins]

pofig visādi algoritmi un t.t., ja browsers to māk, tad nekādi sarežģījumi nepalīdzēs. 2 klikšķi un sourcekods tev jau rokās. a tas ka jams izskatās, jau sekundārais.

 

Atceros, draigiem.lv bija super aizsardzības bildēm.. tak paņem FF page info un `save as image`, pat bērns to varētu izdarīt.

Imho tā tik lieka resursu (gan softam, gan pie izstrādes) tērēšana.

[Java]

Savā ziņā jāpiekrīt. Nelīdz nekāda aizsardzība, var nedaudz sarežģīt - tas par tām bildēm toč. Bet delfīns - javascriptu tieši var salīdzinoši visvairāk pasargāt - īsti lietojams nebūs tāds kods, kur visi mainīgie ir saīsināti - sevišķi, ja kods ir pietiekami sarežģīti - vai vispār jēgas to būtu šifrēt vaļā :P

 

Bildēm - eh, paņemt kaut vai print screen - nu kamōn! :D Neīstais salīdzinājums ar kompresētu javascript...

[bubu]

Nu ja tas tavs JS kods būs smuki un universāli uzrakstīts, tad tā būtību var jau mēģināt saprast no tā, kā tu to lieto saistībā ar HTML. Tb kādas funkcijas kādiem elementiem izsauc. Kas tad notiek uz ekrāna. Vai uz kādiem eventiem to sauc.

Bet ja tas JS kods būs nekārtīgāks, lai grūtāk to saprast, tad kuram gan tas būs vajadzīgs (ar domu - nekārtīgs un nelabs kods).

 

Diezgan salīdzināmi ar bildēm - būs smuka un aizraujoša bilde, kāds ļoti pacentīsies to izdabūt, lai vai kā to "aizsargātu".

Būs nesmuka un nevajadzīga bilde - neviens pat PrintScreen nepacentīsies nospiest.

[Ghenis]

obfuskējot kodu, labs variants ir spēlēties ar mainīgo redzamības robežām - resp, dažādus mainīgos dažādas redzamības robežās var saukt vienādi.

bet, bubu taisnība. Pie saprātīga javascript'a, vienkārši reproducējot lapas DOM / elementu atribūtus, varēs darbināt javascriptu pat to neatšifrējot.

 

prātīgāka ideja būtu izmantot kādu web crawleri (ja mani atmiņa neviļ, tādi servisi štatos ir), kas browsē web'u un meklē saitus, kas pārkāpj tavas intelektuālās īpašumtiesības un sūta jamiem cease-and-desist vēstules :-)

[Delfins]

javascriptu tieši var salīdzinoši visvairāk pasargāt

ļaušos tevi rupji piekoreģēt - nevis pasargāt, bet sarežģīt atkārtotu izmantošanu.

 

Tavā situācija tad labāk pie JS ielādes prasīt SMS kodu nosūtīt, kurš atļaus ielādēt tmp failu ar JS kodu uz vienu sessiju. Varēsi i mazliet nopelnīt, i maximāli iegūt efektu, ka tavu kodu neviens nelietos :) [ja tur vispār būs apmeklētāji]

 

Atceros, kad spēlēju Travian kādu nedēļu - lapai bija tāds pamaz GUI, tad lūk džeki ar Greasmokey pluginu uztaisīja afigenās fičas, un panāca to, ka nav jāmaksā tiem naudas kāsējiem par "Pro" versiju.

 

Es arī šat tad izmantoju Greasmonkey priekš citām lapām, kad man vajag "speciālo sarkano pogu :)"

PS: Tas jau kā mazliet offtopiks, bet gribētos atgādināt, ka tiesi tāpēc nedrīkst uzticēties JS datiem (pat ja tev ir viskrutākais JS kods/validācijas/kriptēšanas šaja topikā kontekstā) - FF/IE/Opera-ā ir tādas lietas kā Greasmonkey un debugers :)

[Java]

PS: Tas jau kā mazliet offtopiks, bet gribētos atgādināt, ka tiesi tāpēc nedrīkst uzticēties JS datiem (pat ja tev ir viskrutākais JS kods/validācijas/kriptēšanas šaja topikā kontekstā) - FF/IE/Opera-ā ir tādas lietas kā Greasmonkey un debugers :)

 

Vecum vecā patiesība - tu nedrīkstu uzticēties NEKAM, kas nāk no klienta puses. Tu drīksti pārbaudīt tos datus un apstrādāt pēc noteikta algoritma, ja tie, kombinācijā ar sesijas id izskatās pareizi - konkrēta lietotāja ietvaros. Un pofig te greasemonkey, firebug utt. Ja tai otrā galā sēž hakeris, viņš zinās kā manipulēt ar datiem. Fakts, ka tev uz servera ir jāpārbauda viss JEBKURĀ gadījumā! Un klienta pusē tu nevari likt sensitīvus datus (varbūt tikai unikālo sesijas ID, ar ko hakeris var vienīgi sačakarēt sev kaut ko, ne kādam citam - internetbankas variantā, piemēram).

 

Tāpat tev uz servera puses jāuzliek dažādas tiesības uz datubāzi utt. Lai lietotājam (teiksim, hakerim), pat ja viņš manipulē ar klienta datiem, cik vien viltīgi var - lai tik un tā neizdodas neko nozagt! :)

 

Pieņemsim, internetbankā hakeris ielogojas un manipulē ar klienta datiem - ko viņš panāks? Izdarīs lielāku pārskaitījumu, nekā cerēts? Pasūtīs lielāku pensiju plānus vai 100 kredītkartes? :D Kam viņš būs iegriezis? Tikai pats sev! Uz tā balstās visa loģika - cilvēks, manipulējot ar klienta datiem var tikai iegriezt pats sev, jo viņam ir tikai savas sesijas id, kur viņš var manipulēt ar saviem datiem un neko vairāk! Tāpēc jau arī tādas internetbankas eksistē un patiesībā ir ļoti drošs pasākums! :P

Edited November 29, 2008 by Java