Seguridad Variables Globales

malakian · #1 (**permalink**) 20/03/2014, 15:42

Buenas forer@s

Tengo la necesidad de crear variables globales en el lado del cliente.

Si tengo acceso a la consola del navegador, puede cambiar "en tiempo de ejecución" el valor de esas variables como a mi se me antoje, logrando así comportamientos indeseados.

Quisiera saber si existe alguna forma segura de manejar este tipo de variables.

O si tienen otro consejo para realizar algo similar.

Muchas gracias

andresgarciadev · #2 (**permalink**) 20/03/2014, 16:41

la mejor forma de dar seguridad usando variables globales es simplemente no usandolas
siempre hay otra manera de solucionar el problema men... yo que tu mejor simplemente buscaria eso... otra manera que no sean variables globales

malakian · #3 (**permalink**) 20/03/2014, 16:43

Como que solución propone???

En mi caso necesito recordar varios valores todo el tiempo mediante un proceso largo en el cliente (formularios largos), para luego enviar toda la información de una sola petición al servidor

andresgarciadev · #4 (**permalink**) 20/03/2014, 17:05

se que haria mas trabajo y mas pesado pero por mi parte preferiria que cuando necesite guardar esos valores haria un ajax y lo guardaria en una $_SESSION de php ....

malakian · #5 (**permalink**) 20/03/2014, 23:22

Eso es justamente lo que quiero evitar... estar realizando peticiones al servidor....

Gracias por la idea... pero sigo con la inquietud

Ayudaaa!

Ito79 · #6 (**permalink**) 20/03/2014, 23:40

Hola,
Puedes usar el localStorage para guardar esos valores, viene bien para estas cosas (aunque yo estoy más acostumbrado al PHP y a guardarlo en la sesión)

Te paso dos links que te pueden ser de ayuda:
[URL="http://diveintohtml5.info/storage.html"]http://diveintohtml5.info/storage.html[/URL]
[URL="https://developer.mozilla.org/en-US/docs/Web/Guide/API/DOM/Storage"]https://developer.mozilla.org/en-US/docs/Web/Guide/API/DOM/Storage[/URL]

Un saludo

// Ito

malakian · #7 (**permalink**) 21/03/2014, 09:27

Hola Ito79

Muchas gracias por la respuesta... estoy leyendo sobre el tema... lo que veo es que localStorage es un objeto global que tiene unos "métodos" predefinidos.

Pero seria lo mismo que tener una variable global como objeto... quedando así expuesta a ser modificada... o no????

lo que veo es que no debe importarme que modifiquen mis variables... lo importante es la validación el servidor... tal vez podría firmar los datos y luego en el servidor comprobar las firmas...

Sin embargo sigo atento a sus consejos .

Muchas gracias

PHPeros · #8 (**permalink**) 21/03/2014, 09:36

Puedes definir una propiedad en tu objeto no writable y no configurable, pero claro, el programa tampoco la va a poder modificar o eliminar.

malakian · #9 (**permalink**) 21/03/2014, 09:44

Hola PHPeros

No lo conocía, pero prácticamente estas hablando de una constante... y esto no me serviría en este momento....

Por lo que veo el tema de "seguridad" en el cliente no es posible...

En cambio es realmente efectivo en el lado del servidor.. con buenas practicas claro está

marlanga · #10 (**permalink**) 21/03/2014, 10:33

Código Javascript:

Ver originalvar valor1=55;
(function(){
    var valor2=45;
})();

Usa closures.

valor1 es accesible por consola.
valor2 no es accesible por consola. Mete todo el código que la use dentro de la función anónima autoejecutable que actúa como muro.

Carlangueitor · #11 (**permalink**) 21/03/2014, 12:58

Todo lo que pase del lado del cliente es modificable, todo.

Incluso la opción de marlanga, con un debugger se puede acceder.

Es inutl tratar de proteger esos datos.

Saludos

marlanga · #12 (**permalink**) 21/03/2014, 13:07

Evidentemente todo código javascript se puede modificar; pero él dijo explícitamente el impedir la modificación a través de la consola; y con closures, evitas que la consola te modifique lo que hay dentro.

Y usar closures no es tan inútil: evitas en gran medida que inyecciones de código XSS o la ejecución de otros scripts linkeados por el programador por error o desconocimiento, te modifiquen el comportamiento normal de tu otro código.

malakian · #13 (**permalink**) 21/03/2014, 13:28

Hola muchachos,

marlanga e tema de los closures es nuevo para mi y se ve interesante... ya estoy leyendo sobre el tema...

ahora Carlangueitor no se a que te refieres con debugger.. es software especial para inspeccionar más el detalle los script?

Lo que hago es armar objetos JS con todos los datos... cuando realizo la petición al servidor le mando exclusivamente lo que voy a guardar... ahorrando con esto ida y venida entre browser y server...

Lo que intento evitar es hacer muchas peticiones al servidor... simplemente para recordar un valor... que tal vez al final de mi proceso sea descartado...

De igual manera muchas gracias por todas las respuestas... son de mucha utilidad para mi.

Carlangueitor · #14 (**permalink**) 21/03/2014, 16:18

@marlanga, no me refería a que fuera inutil la técnica, si no inútil proteger datos de un formulario que uno mismo lleno.

@malakian checa la página de herramientas de desarrollo de chrome: https://developers.google.com/chrome-developer-tools/

Cuando he tenido que hacer formularios muy grandes mando todo el formulario y voy mostrando/ocultando conforme sea necesario, se me hace mucho más accesible y con menos cochinero.

Saludos