Esconder <scripts>
151 views
Skip to first unread message
Gladson Reis
Aug 15, 2009, 11:11:22 AM8/15/09
to javascr...@googlegroups.com
Senhores, senhoras
Bom dia
Seria possivel eu esconder codigos javascripts no meu site ?
gostaria q nao aparecesse isso :
function GravaInclusao(){
if ( FrmBanCar.descar.value.length < 1 ) {
alert('Favor informar a descrição da bandeira cartao !');
FrmBanCar.descar.focus();
return;
}
if ( FrmBanCar.descar.value.length < 1 ) {
alert('Favor informar a taxa !');
FrmBanCar.txa.focus();
return;
}
FrmBanCar.acao.value = 'I';
FrmBanCar.submit();
}
Atenciosamente,
Gladson Reis
(31) 9704.5193
www.gladsonreis.com
www.stonestecnologia.com.br
Bom dia
Seria possivel eu esconder codigos javascripts no meu site ?
gostaria q nao aparecesse isso :
function GravaInclusao(){
if ( FrmBanCar.descar.value.length < 1 ) {
alert('Favor informar a descrição da bandeira cartao !');
FrmBanCar.descar.focus();
return;
}
if ( FrmBanCar.descar.value.length < 1 ) {
alert('Favor informar a taxa !');
FrmBanCar.txa.focus();
return;
}
FrmBanCar.acao.value = 'I';
FrmBanCar.submit();
}
Atenciosamente,
Gladson Reis
(31) 9704.5193
www.gladsonreis.com
www.stonestecnologia.com.br
Evandro Myller
Aug 15, 2009, 11:34:19 AM8/15/09
to javascr...@googlegroups.com
Olá, Gladson.
"Esconder" de fato não é possível, mas podemos usar alguns truques.
Você tem duas alternativas:
--
E. Myller
Front-end engineer / architect
http://emyller.net/
"Esconder" de fato não é possível, mas podemos usar alguns truques.
Você tem duas alternativas:
- Obfuscar seu código. Ele vai continuar lá, mas praticamente ilegível.
- Criar um script no finalzinho da página (antes de fechar a tag body) que exclua os outros scripts (e ele mesmo). Essa é uma tática legal, mas esse script tem que vir depois de todos os outros.
2009/8/15 Gladson Reis <stoneste...@gmail.com>
--
E. Myller
Front-end engineer / architect
http://emyller.net/
Jaydson Gomes
Aug 15, 2009, 2:38:18 PM8/15/09
to javascr...@googlegroups.com
Esse assunto ja foi discutido varias vezes neste grupo, e em outros grupos Javascript.
Gladson, porque diabos tu que esconder aquele código Javascript?
--
Jaydson Gomes
Analista/Desenvolvedor Web
http://jaydson.org
http://meadiciona.com/jaydson
Sent from Porto Alegre, RS, Brazil
Gladson, porque diabos tu que esconder aquele código Javascript?
2009/8/15 Evandro Myller <evandr...@gmail.com>
--
Jaydson Gomes
Analista/Desenvolvedor Web
http://jaydson.org
http://meadiciona.com/jaydson
Sent from Porto Alegre, RS, Brazil
Gladson Reis
Aug 15, 2009, 4:47:17 PM8/15/09
to javascr...@googlegroups.com
Peço desculpas, se o topico ja foi discutido, e se possivel, enviar para mim o topico
porque sou novo na lista, e nao tenho todas as mensagens nao.
- "diabo dos codigos" ? nao, amigo, realmente akilo foi so um 0,0000001% do codigo
tem muito mais coisa, e eu crio tudo dinamicamente em cada situacao.
Se alguem puder me dar mais digas eu agradeço
porque sou novo na lista, e nao tenho todas as mensagens nao.
- "diabo dos codigos" ? nao, amigo, realmente akilo foi so um 0,0000001% do codigo
tem muito mais coisa, e eu crio tudo dinamicamente em cada situacao.
Se alguem puder me dar mais digas eu agradeço
2009/8/15 Jaydson Gomes <jaya...@gmail.com>
Jaydson Gomes
Aug 15, 2009, 5:04:10 PM8/15/09
to javascr...@googlegroups.com
Gladson, me desculpe se me fiz entender mal.
Mas minha pergunta é:
Mesmo que o teu código tenha 100.000 linhas de código Javascript, porque esconde-lo?
O que comentaram acima, até serve pra embaralhar o código, mas o objetivo desta técnica é diminuir o tamanho do arquivo e nao esconde-lo.
Se tu quer esconder código porque se trata de alguma regra de negócio delicada, então faça isso no servidor, do contrário não faça.
Mas minha pergunta é:
Mesmo que o teu código tenha 100.000 linhas de código Javascript, porque esconde-lo?
O que comentaram acima, até serve pra embaralhar o código, mas o objetivo desta técnica é diminuir o tamanho do arquivo e nao esconde-lo.
Se tu quer esconder código porque se trata de alguma regra de negócio delicada, então faça isso no servidor, do contrário não faça.
2009/8/15 Gladson Reis <stoneste...@gmail.com>
Felipe Nascimento de Moura
Aug 15, 2009, 5:13:30 PM8/15/09
to javascr...@googlegroups.com
Gladson, acredite, nao ha tecnica neste mundo q vai impedir alguem que realmente QUEIRA pegar o teu js, de pega-lo.
Se é alguem q nao manja o suficiente pra isso, entao nao tem problema deixar o teu js por olá.
Para complicar a vida deles, sim, é bem possivel.
Tu podes, por exemplo, carregar um unico script, que importe outro script, q entao importe outro, ate ter todos os scripts montados ... obfuscando-os o maximo q pode, e ao termino, removendo os elementos scripts dinamicamente.
Podes tambem ter um iframe na tua pagina, q ao carregar, cria todas as funcoes no frame pai (top.nomeFuncao= function MinhFuncao(){ COMANDOS };), e no final ainda remove este iframe.
Algumas ideias e tal ... mas no final, alguem bem dedicado a pegar o teu js, PEGARÁ.
Att.
--
Felipe N. de Moura
Desenvolvimento Web
http://felipenascimento.org
http://thewebmind.org
---------------------------------
Fazendo da web um lugar melhor pra se viver.
Making the web a better place to live
Se é alguem q nao manja o suficiente pra isso, entao nao tem problema deixar o teu js por olá.
Para complicar a vida deles, sim, é bem possivel.
Tu podes, por exemplo, carregar um unico script, que importe outro script, q entao importe outro, ate ter todos os scripts montados ... obfuscando-os o maximo q pode, e ao termino, removendo os elementos scripts dinamicamente.
Podes tambem ter um iframe na tua pagina, q ao carregar, cria todas as funcoes no frame pai (top.nomeFuncao= function MinhFuncao(){ COMANDOS };), e no final ainda remove este iframe.
Algumas ideias e tal ... mas no final, alguem bem dedicado a pegar o teu js, PEGARÁ.
Att.
2009/8/15 Jaydson Gomes <jaya...@gmail.com>
--
Felipe N. de Moura
Desenvolvimento Web
http://felipenascimento.org
http://thewebmind.org
---------------------------------
Fazendo da web um lugar melhor pra se viver.
Making the web a better place to live
Gladson Reis
Aug 17, 2009, 12:32:00 PM8/17/09
to javascr...@googlegroups.com
O meu problema maior é pq eu uso uma forma, talvez nao é a certa, que seria isso :
function Altera( cod ){
showForm("bandeiras_cartoes.form.php?acao=A&codcar="+cod,500,110 );
}
Talvez exista uma outra forma, o usuario clica no botao alterar eu abro o form com os dados, observe q eu
passo via POST alguns paramentos isso gera falha de segurança, de uma certa forma.
Agradeço a todos pelo apoio...
o que vcs surgerem ?
function Altera( cod ){
showForm("bandeiras_cartoes.form.php?acao=A&codcar="+cod,500,110 );
}
Talvez exista uma outra forma, o usuario clica no botao alterar eu abro o form com os dados, observe q eu
passo via POST alguns paramentos isso gera falha de segurança, de uma certa forma.
Agradeço a todos pelo apoio...
o que vcs surgerem ?
2009/8/15 Felipe Nascimento de Moura <felipe...@gmail.com>
Felipe Nascimento de Moura
Aug 17, 2009, 1:31:35 PM8/17/09
to javascr...@googlegroups.com
Ali, pelo q entendi, tu esta passando via GET, que realmente é meio inseguro.
A nao ser q teu showForm esteja na verdade quebrando o endereço, encodando em POST, e so entao fazendo a requisição.
Mas o que acontece é que, realmente, teu codigo js estará aberto ao usuario LOGADO. Certifique-se ao menos isso, que soterá acesso a esta tela, algum usuario logado, alias, com os devidos logs armazenados. Assim, caso alguem resolva realmente sacanear e sair a cata do teu js, tu tera uma direção a seguir, pois foi certametne algum usuario que tentou, ou q pagou alguem pra tentar com o usuario dele (ja enfrentei coisas assim).
Dai, por exemplo, no teu arquivo bandeiras_cartoes.form.php, tu valida a sessão no PHP, e valida se ESTE USUARIO logado tem permissao para visualizar aquele form. Se o cara tiver permissao para tal, nao importa se ele usara o teu formulario, ou se se tentara executar js direto da url, ja que ele esta logado com as permissoes para tal. O que nao pode acontecer é que ele, nem ninguem, deve ter acesso a EXECUTAR algo no teu servidor, sem estar devidamente autenticado, e ter as permissões para aquela ação especifica.
Um problema q tivemos aqui, foi que um usuario havia entregue os dados dele para outras pessoas fazerem pesquisas nos registros de uma das empresas ... mas dai, identificamos nos logs, algo como 8 pesquisas por segundo ... poh, nao ha usuario no mundo capas de fazer algo assim, ne ...
Espero ter dado alguma luz.
Att.
A nao ser q teu showForm esteja na verdade quebrando o endereço, encodando em POST, e so entao fazendo a requisição.
Mas o que acontece é que, realmente, teu codigo js estará aberto ao usuario LOGADO. Certifique-se ao menos isso, que soterá acesso a esta tela, algum usuario logado, alias, com os devidos logs armazenados. Assim, caso alguem resolva realmente sacanear e sair a cata do teu js, tu tera uma direção a seguir, pois foi certametne algum usuario que tentou, ou q pagou alguem pra tentar com o usuario dele (ja enfrentei coisas assim).
Dai, por exemplo, no teu arquivo bandeiras_cartoes.form.php, tu valida a sessão no PHP, e valida se ESTE USUARIO logado tem permissao para visualizar aquele form. Se o cara tiver permissao para tal, nao importa se ele usara o teu formulario, ou se se tentara executar js direto da url, ja que ele esta logado com as permissoes para tal. O que nao pode acontecer é que ele, nem ninguem, deve ter acesso a EXECUTAR algo no teu servidor, sem estar devidamente autenticado, e ter as permissões para aquela ação especifica.
Um problema q tivemos aqui, foi que um usuario havia entregue os dados dele para outras pessoas fazerem pesquisas nos registros de uma das empresas ... mas dai, identificamos nos logs, algo como 8 pesquisas por segundo ... poh, nao ha usuario no mundo capas de fazer algo assim, ne ...
Espero ter dado alguma luz.
Att.
2009/8/17 Gladson Reis <stoneste...@gmail.com>
Gladson Reis
Aug 17, 2009, 4:08:23 PM8/17/09
to javascr...@googlegroups.com
Perfeito Felipe,
eu realmente ja estou fazendo isso.
Permissoes de telas e botoes,
somente usuarios logados, e testado por sessoes.
realmente, ele pode pegar o .JS nao tem como escapar disso, senao
no showForm eu dava um cripto nos dados com a sessao logada.
ainda nao achei uma solucao 100%
eu realmente ja estou fazendo isso.
Permissoes de telas e botoes,
somente usuarios logados, e testado por sessoes.
realmente, ele pode pegar o .JS nao tem como escapar disso, senao
no showForm eu dava um cripto nos dados com a sessao logada.
ainda nao achei uma solucao 100%
2009/8/17 Felipe Nascimento de Moura <felipe...@gmail.com>
Reply all
Reply to author
Forward
0 new messages