[SOLUCIONADO] Protejer scripts .js en el servidor de acceso no autorizado

art_rockerd · #1 (**permalink**) 27/02/2013, 12:58

Hola buen dia colegas, mi pregunta es la siguiente...Como puedo proteger mis archivos .js que se encuentran en mi servidor (en la carpeta de mi proyecto) para que no puedan acceder a ellos o ver su contenido en el navegador, ya pude proteger los arhivos .php ya que hago unas validaciones con una bandera, pero no se como proteger mis archivos js del acceso atraves de la url por ejemplo... que escriba un usuario mal intencionado:

http://miproyecto/js/validar.js

y el navegador me muestra todo el código..

Alguien me podria apoyar, es un punto crítico en la seguridad que me estan solicitando? Saludos y de antemano muchas gracias..!

Reedyseth · #2 (**permalink**) 27/02/2013, 13:00

Mi estimado hasta donde se el codigo javascript no lo puedes ocultar, lo mas que puedes llegar a hacer es minimizarlos, con javascript el codigo es de todos o a menos que alguien me corrija

art_rockerd · #3 (**permalink**) 27/02/2013, 13:02

Cita:

Iniciado por Reedyseth

Mi estimado hasta donde se el codigo javascript no lo puedes ocultar, lo mas que puedes llegar a hacer es minimizarlos, con javascript el codigo es de todos o a menos que alguien me corrija

:/ El detalle es que accediendo a mis JS pueden saber nombres de variables y mucha otra informacion que utilizo en la aplicacion, asi como los nombres de los scripts de PHP a los que les envia datos.

Reedyseth · #4 (**permalink**) 27/02/2013, 13:03

Lo que puedes hacer es manejar y validar la informacion del lado del servidor, para que solo responda a lo que hace la aplicacion !!

mdk · #5 (**permalink**) 27/02/2013, 13:09

Art_rockerd el código javascript se lee del lado del cliente, es decir, lo lee el navegador directamente, por lo que no se puede ocultar, sin embargo el código php se lee del lado del servidor, de ahí, que puedas ocultar el código como bien dices. Los "trucos" que usan los desarrolladores, es dificultar la lectura del código juntando el código todo lo posible, para que sea realmente difícil leerlo, comprimiéndolo todo lo posible, ya sea quitando espacios en blanco, saltos de linea, etc..

Yo hubo una temporada que estuve obsesionado con ocultar el código javascript, y se me ocurrió una forma, pero dependes de php, la velocidad de respuesta del servidor y no siempre solía funcionar, con el inconveniente añadido de que había la gran posibilidad de que la web se quedara inaccesible.

Saludos.

art_rockerd · #6 (**permalink**) 27/02/2013, 13:10

Cita:

Iniciado por Reedyseth

Lo que puedes hacer es manejar y validar la informacion del lado del servidor, para que solo responda a lo que hace la aplicacion !!

Ok, entonces queda del lado del servidor :/ bueno aunque de cierta forma se le facilita a cualquiera saber que archivos y que parametros se estan enviando. Gracias!

art_rockerd · #7 (**permalink**) 27/02/2013, 13:11

Cita:

Iniciado por mdk

Art_rockerd el código javascript se lee del lado del cliente, es decir, lo lee el navegador directamente, por lo que no se puede ocultar, sin embargo el código php se lee del lado del servidor, de ahí, que puedas ocultar el código como bien dices. Los "trucos" que usan los desarrolladores, es dificultar la lectura del código juntando el código todo lo posible, para que sea realmente difícil leerlo, comprimiéndolo todo lo posible, ya sea quitando espacios en blanco, saltos de linea, etc..

Yo hubo una temporada que estuve obsesionado con ocultar el código javascript, y se me ocurrió una forma, pero dependes de php, la velocidad de respuesta del servidor y no siempre solía funcionar, con el inconveniente añadido de que había la gran posibilidad de que la web se quedara inaccesible.

Saludos.

Si enteindo, el detalle es que es una aplicacion hecha a medida, y cuando yo me vaya de la empresa, la persona que se quede encargada del desarrollo tiene que poder entender el código, no puedo dificultarle la tarea, sobretodo para el mantenimiento... pero en fin, asi son las cosas, no queda mas que confiar en las buenas intenciones de las personas, mis codigos PHP segun yo ya estan reforzados.. Muchas gracias. Saludos!

mdk · #8 (**permalink**) 27/02/2013, 13:12

Cita:

Iniciado por art_rockerd

:/ El detalle es que accediendo a mis JS pueden saber nombres de variables y mucha otra informacion que utilizo en la aplicacion, asi como los nombres de los scripts de PHP a los que les envia datos.

Para ocultar variables, utiliza sesiones en php, o maneja la información con ajax, ya que es mucho mas difícil averiguar la ruta de acceso de dentro de los archivos que se cargan.

mdk · #9 (**permalink**) 27/02/2013, 13:14

Cita:

Iniciado por art_rockerd

Si enteindo, el detalle es que es una aplicacion hecha a medida, y cuando yo me vaya de la empresa, la persona que se quede encargada del desarrollo tiene que poder entender el código, no puedo dificultarle la tarea, sobretodo para el mantenimiento... pero en fin, asi son las cosas, no queda mas que confiar en las buenas intenciones de las personas, mis codigos PHP segun yo ya estan reforzados.. Muchas gracias. Saludos!

En esos casos, tienes el código fuente totalmente legible y fácil de comprender a la vista, y lo pones en un directorio concreto. Luego a la hora de subirlo al servidor subes todo, pero usas el "comprimido" para la web.

Saludos.

Reedyseth · #10 (**permalink**) 27/02/2013, 13:15

Si ps queda en evidencia, pero igual si te quieren hacer inyeccion de codigo usas binding en tus queries y estas mas protegido, otra cosa mas, si el lugar donde estas trabajando se requiere que guardes informacion o trabajes con informacion mas delicada, crea un sistema de usuarios y otorga permisos para que accedan a determinadas areas.

Recuerda que la validacion mas imporrtante esta en el servidor, por que si desactivan Javascript o usan un browser que no lo soporte, que es poco probable, tus validaciones recaerian en las del servidor por que ya no servirian las de javascript,

Saludos.

Reedyseth · #11 (**permalink**) 27/02/2013, 13:17

Igual el comprimido al final de cuentas para lo unico que sirva mas que ocultar sera para que se cargue mas rapido tus archivos, por que usas un descompresor y te muestra tu codigo igual, entonces comprimir un archivo js no es opcion de seguridad sino de optimizacion.

mdk · #12 (**permalink**) 27/02/2013, 13:22

Cita:

Iniciado por Reedyseth

Igual el comprimido al final de cuentas para lo unico que sirva mas que ocultar sera para que se cargue mas rapido tus archivos, por que usas un descompresor y te muestra tu codigo igual, entonces comprimir un archivo js no es opcion de seguridad sino de optimizacion.

Nunca he dicho de seguridad, he dicho que dificulta la comprensión, y ya te tienes que molestar en buscar un descompresor de código javascript. Y en el primer post dije:

Cita:

Iniciado por mdk

Art_rockerd el código javascript se lee del lado del cliente, es decir, lo lee el navegador directamente, por lo que no se puede ocultar

art_rockerd · #13 (**permalink**) 27/02/2013, 13:23

Cita:

Iniciado por Reedyseth

Si ps queda en evidencia, pero igual si te quieren hacer inyeccion de codigo usas binding en tus queries y estas mas protegido, otra cosa mas, si el lugar donde estas trabajando se requiere que guardes informacion o trabajes con informacion mas delicada, crea un sistema de usuarios y otorga permisos para que accedan a determinadas areas.

Recuerda que la validacion mas imporrtante esta en el servidor, por que si desactivan Javascript o usan un browser que no lo soporte, que es poco probable, tus validaciones recaerian en las del servidor por que ya no servirian las de javascript,

Saludos.

Si muchas gracias, el sistema de usuarios es tambien otro de los requerimientos y tambien esta implementado, pero a nivel aplicacion no a nivel usuarios de base de datos :S, Saludos!