Aumentar la seguridad de mi .js

mark_ant0n · #1 (**permalink**) 20/04/2010, 15:29

Tengo un archivo con mi función en ajax donde le paso los siguientes parametros
a)division -->El id del div donde se mostrara
b)Parametro-->Parametro de la funcion, iria algo como esto :
//?mod=noticias&opcion=comentario&item=insertar

Ahora bien, mi pregunta no es sobre ajax, si no que como puedo hacer sergura mi funcion en javascript (recordando un archivo .js esta accesible para cualquier usuario que vea el codigo fuente dem pagina y vea la url del .js), para evitar daños potenciales en mi web.

estes seria un ejemplo de link que utilizo.

Código HTML:

Ver original<a href="javascript:void(0)" onclick="llamar('nombrediv','?mod=noticias&opcion=comentario&item=insertar')">Ejemplo</a>

Saludos y gracias

ClubIce · #2 (**permalink**) 20/04/2010, 16:31

Depronto esto te ayude:

http://www.forosdelweb.com/f13/ocult...or-web-611868/

Adicionalmente, puedes usar Ajax para protegerlo :D

Saludos...

mark_ant0n · #3 (**permalink**) 20/04/2010, 16:36

Cita:

Iniciado por ClubIce

Depronto esto te ayude:
Adicionalmente, puedes usar Ajax para protegerlo :D

Si lo que mas quiero seria proteger mis funciones ya que doy al usuario la posiblidad de ver mis parametros, para alguien con experiencia lo puede aprovechar para otros fines

caricatos · #4 (**permalink**) 20/04/2010, 16:47

Hola:

Crees que tu script es tan sofisticado como para que a alguien le interese copiarlo...

... y si se trata de seguridad, no sería mejor planterlo en el servidor... una cosa tan sencilla como iniciar sesión (eso del logueo...) es mucho más seguro que una mágica encriptación de datos... si es javascript también tienes que dar pautas para desencriptarlo en la misma página... y Ajax tampoco creo que sea muy seguro. Sería cuestión de plantearlo.

Saludos

mark_ant0n · #5 (**permalink**) 20/04/2010, 16:51

Cita:

Iniciado por caricatos

Hola:
Crees que tu script es tan sofisticado como para que a alguien le interese copiarlo... :

Bueno en ese sentido no soy tan resntringido o cerrado a la posiblidad de que mis usuarios puedan ver mi codigo y copiarlo, sofisticado algo, bueno dependiendo del punto de vista claro, ai mismo empleare una api de google para consultas, que yo e creado(editado y modificado), ahora bien caricatos, lo de la sesion, no por que cualquier usuario puede dejar comentario sin estar logueado.

Gracias por tu respuesta y saludos

caricatos · #6 (**permalink**) 20/04/2010, 17:01

Hola:

Sigo sin entender el tema... dejar comentarios que tiene que ver con nada... las restricciones en esos casos no suelen ser más complejas que implementar un captcha, o como estoy haciendo ahora en mi sistema, dejar un correo para recibir un link de activación... (y lo de abrir sesión es para otras cosas)... sigo pensando el código javascript no debe ser tan importante...

Saludos

ClubIce · #7 (**permalink**) 20/04/2010, 17:20

En tu caso ya sería ocultar el script en linea, en este caso lo mas recomendable es usar un no-link:

Consiste en crear un SPAN, al cual se le aplican los estilos CSS de un A (link), de tal forma que paresca exactamente como un link de tu pagina web.

La unica diferencia que tiene con un link normal, es que no muestra su codigo en la barra de estado. de esta forma puede aprobechar seguramente, el OnClick del no-link, para ejecutar tu script.

Si quiere aun mas seguridad en tu script, puedes asignar el OnClick del no-link, remotamente usando DOM como en el siguienete ejemplo:

Código Javascript:

Ver original<html>
  <head>
    <script>
function noLink () {
  document.getElementById ('Escondido').onclick=function () {alert('¡Hola Mundo!')}
}
    </script>
  </head>
  <body onload="noLink()">
    <span class="no-link" id="Escondido">Click Me!</span>
  </body>
</html>

El ejemplo que dí anteriormente, es algo parecido al sistema que usa Habbo para ocultar algunos de sus scripts.

De todas formas, la tecnica del AJAX es la mas segura (casi del 100%), ya que almacena los scripts en la RAM (eso es lo malo), lugar que solo un verdadero Hacker puede encontrar tu script.

Espero haberte ayudado.

mc_pato · #8 (**permalink**) 20/04/2010, 18:14

Codificalo varias veces para utilizarlo bajo String.fromCharCode(), a la larga eso confunde mucho... sino creale una sentencia que declare que si el location.href no es igual a tu servidor, no se ejecute, y luego lo encriptas, el que intente copiar todo el código completo lo hará pero el código solo funcionará si la constante location.href contiene tu dominio, algo así...

Código HTML:

var url=window.location.href;
if (url.indexOf("rodolfito.com")==0{
   alert("script utilizando en rodolfito.com");
} else {
   alert("acá iría tu código...");
}

lo pense al bamboleo, pero una vez me funciono, eso ofuscado y listo ;)

mark_ant0n · #9 (**permalink**) 20/04/2010, 18:49

Cita:

Iniciado por caricatos

Hola:

Sigo sin entender el tema... dejar comentarios que tiene que ver con nada... las restricciones en esos casos no suelen ser más complejas que implementar un captcha, o como estoy haciendo ahora en mi sistema, dejar un correo para recibir un link de activación.

gracias caricatos, pero los comentarios de los demas usuarios me sirvieron de mucho, quiero suponer que ellos si me entendieron.
saludos y gracias