![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 4 298 Pomógł: 447 Dołączył: 16.11.2006 Ostrzeżenie: (0%) ![]() ![]() |
Tak się zastanawiam nad zabezpieczeniem swoich aplikacji które w całości opierają się o ajax.
Budowane są przy użyciu PHP, to właśnie php nadaje odpowiednie zabezpieczenia sktyptów, filtruje dane przychodzące i tworzy sesje z useragentem, czesem trwania sesji itp. Podpinając do tego ajax, z pliku index.php wczytywany jest plik koment.php w którym sprawdzane jest przez php to co napisałem wyżej. Jednak ajax ma tą wadę iż można podpatrzeć do jakiego pliku dany skrypt się odwołuje i bezpośrednio odczytać plik koment.php w oknie przeglądarki, co umożliwi odczytanie danych, bez "otoczki" pliku index.php. Nie wygląda to zbyt dobrze, ale z drugiej strony jak ukryć dane, które chcemy pokazać? Czy jest jakaś możliwość wczytania przy pomocy ajax pliku koment.php do pliku index.php tak, aby nie było możliwości zobaczenia pliku koment.php w oknie przegladarki, aby był on tylko wyświetlany przy pomocy ajaxa w pliku index.php. |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 450 Pomógł: 84 Dołączył: 27.11.2008 Skąd: Warszawa Ostrzeżenie: (0%) ![]() ![]() |
Przez zaciemnianie kodu miałem na myśli pisanie kodu w sposób nie zbyt przystępny dla potencjalnego "hakera". Nie chodzi tu o stosowanie nie mówiących nic nazw zmiennych czy zwiększania zawiłości składni itp, a najgorzej chyba kompresować kod i odpalać eval-em, wystarczy wtedy eval = alert; i kod podany jak na tacy. Mam na myśli stosowanie skomplikowanych algorytmów matematycznych trudnych do rozgryzienia dla kogoś z zewnątrz. Pomysł z captcha, nie jest zły. Następny pomysł to np: mierzenie odstępu czasu po stronie PHP np: od wejścia na stronę używająca AJAX-a do żądania do pliku AJAX-owego + sprawdzenie czy użytkownik odpalił w ogóle ten główny plik (IMG:style_emoticons/default/smile.gif)
|
|
|
![]() ![]() |
![]() |
Aktualny czas: 8.10.2025 - 10:36 |