Zabezpečení webu proti ukradení

To bych také rád věděl.
Bohužel zatím o ničem nevím.
Dokonce jsem četl, že to ani nelze.

To já jsem si dnes také přidělal práci, když jsem si do stránek umístil JavaScript na zaheslování. Potřeboval jsem, aby mě zhodnotili stránky a tak jsem to dal do fóra na Seznam.cz.

Jeden z účastníků si všimnul ve zdrojovém kódu umístění tajného adresáře, a pak už pro něj nebyl problém provézt jeho výpis a dopátrat se hesla.

Mé štěstí bylo, že ten dotyčný mne na to chtěl jen upozornit, zacož mu děkuji.

Po chvilce přemýšlení jsem našel téměř (alespoň doufám) dokonalý způsob, jak tento script předělat.

Jedná se o logické a zároveň jednoduché řešení, které má mimo jiné i psychologickou výhodu nad případným hackerem. Avšak nebudu zde uvádět způsob, jakým to lze provést, a to ze stejného důvodu, jako to neuvádí Yuhů na jakpsatweb, kde je tento script k vidění. Byl by to zase návod, jak to přelstít.
janrippl@volny.cz

Jan Rippl

Bohužel adresář javascriptem nezaheslujete. To prostě nejde. Lze udělat iluzi ale stále se jedná jenom o iluzi zaheslování...

Ukradnutiu webu sa dá zabrániť. Nejdem písať ako, pretože sa o to nezaujímam. (Kamarát to nejako robil - asi JS)
Ale pokiaľ si všimnem, že niekto ukazuje moju prácu ako svoju, jednoducho začnem rozširovať, aký je to zlodej a ľudia na jeho web prestanú chodiť... Nemám nič proti tomu, keď si niekto na mojom webe skopíruje nejaký zdroják a použije ho vtedy, keď si nevie dať rady, alebo keď sa chce niečo naučiť - slúži to dobrej veci - prečo to potom zakazovať...
Koniec koncov - prípad, ktorý uvádzaš je samozrejme extrém, s ktorým sa často nedá stretnúť, ak sa také niečo stane, treba to "roztrúbiť" všade kde sa dá a odradiť návštevníkov od danej stránky...

Bohužel adresář javascriptem nezaheslujete. To prostě nejde. Lze udělat iluzi ale stále se jedná jenom o iluzi zaheslování...

Já myslím, že jsem přišel na to jak to udělat, protože to není jen tím javascriptem, ale zároveň něčím dalším.

Je to má malá lest.

Avšak nejsem si jistý tím, zda to lze doporučit ve všech případech.
V tom mém to nejspíše zabralo.

Zabezpecit web nijak nejde, je tady plno SW na stahovani celych www stranek a to i tech zaheslovanych !!!

Na takovéhle věci není třeba černá magie nebo nějaký javascript, ale HTTP kód 401 :-) Nicméně co dáváte veřejně, dáváte veřejně...

No jestli tam jsou nějaké zázraky, tak si to tam dej třeba v pdf, ale nevím kolik lidí ti tam bude chodit, a navíc i to se dá zkonvertovat.

No já ohledně toho Javascriptu jsem měl na mysli spíše administraci a tak.
Je mě jasné, že kód asi těžko ochráním.
A v mým případě, kdy si dělám stránky sám ani nemám obavy o to, že by se to někdo pokoušel okopírovat.

nazdar, měl bych dotaz, jak se dá ÚČINNĚ zabránit tomu ...

Nijak. Není to z principu vůbec možné, odepřít uživateli zdrojový kód stránky. Ukažte mi jediné funkční řešení založené na zašifrování zdrojového kódu a já vám z něj původní zdroják vydoluju. Klidně to berte jako výzvu, jsem si naprosto jistý, že neuspějete.

Jak bylo zmíněno, jediným řešením je takový web nedávat na ... web. Nebo použít úplně jiné (nepřístupné) technologie.

Jan Rippl Toz, administrace, to je htaccess a PHP.
JS se neda pouzit na zaheslovani. Takovou stranku jsem jeste nevidel, aby si i amater s JS neporadil.

Ale obecne, kod webu ochranit nelze, protoze co je na obrazovce se uklada do nejakeho adresare na disku.
A ikdyz to heslujes, tak nekde na disku musi byt taky dekodovaci program.
A kdyz neni, je na disku odkaz, kterym ten program volas a pak uz neni program napsat si script, ktery mi tu webku dekoduje.

Docela zajimave by bylo prave toto reseni, poslat stranku zakodovanou a v ni kod, ktery odkazuje na dekodovaci algoritmus nekde na webu. To by par amateru bylo pryc ze seznamu.

http://www.volny.cz/janrippl/fotogalerie.html
Pri okenku 200x200 to vypada desive, plus vadny kod, na pulku menu se neda dostat, jinak vzhled dobry (ale to je asi tak vsechno).
Neco jako ja, vzhled na houby, ale kod dobry :)

Jan Rippl Jestli chces, muzu ti to opravit (mracek@xko.cz)

peta
Díky za snahu, už jsem to předělal, ale teď mi nějak nezbývá čas, pracovat na tom dál.

IMHO za tím javascriptem si stojím. Nemůžu být konkrétní, ale představte si situaci, kdy se musíte dopídit několika podadresářů, a v každém jsou stejné soubory k nerozeznání od pravého, který je jeden z tísíce, a jediný funkční. Jen připomínám, že používám Javascript od Dušana Janovského, který ho uveřejnil na těchto stránkách, avšak s drobnou úpravou. V místě kódu jsem nevyplnil jméno adresáře (hodnota ""). Tzn., že je do políčka možné vyplnit jakoukoliv cestu.
Dalším zabezpečením je index v každém adresáři, který případného hackera přesměruje během sekundy na velmi výmluvnou stránku. To zabrání prohlížení adresářů prostřednictvím prohlížeče (některé hostingy to umožňují). A i kdyby se někomu podařilo najít ten správný soubor (hacker vlastně ani neví, co hledá), stejně mu zabráním pomocí další pojistky v jeho řádění.
Toto není má snaha o vyzvedávání Javascriptu nad PHP, ale snaha o alternativní přístup tam, kde podpora PHP vázne.

S pozdravem
Jan Rippl

nejako nechápem, čo máte na mysli pod slovom "zdroják"... ak máte na mysli html kód + javascript + css, ktorý sa zobrazí v prehliadači, tak je to nemožné zabezpečiť proti ukradnutiu. Treba si uvedomiť, že keď už niečo pošlete na klienta, tak už je to tam a klientský PC si s tým môže robiť čo chce...

A keď sa tak trošku zamyslíte, tak prídete nato, že sa ani nemá zmysel zaoberať zabezpečovaním "zdrojáku" proti ukradnutiu, pretože "zdroják" nie je nič iné ako to čo sa zobrazí v prehliadači, čiže naformátovaný obsah a ak nechcete aby si niekto čítal váš obsah, tak mu ho ani neposielajte, prípadne si na tie stránky urobte nejakú prístupovú politiku (ak chcete, aby si ich čítali iba privilegovaní) a rozhodne nie javascriptom (čo keď má klient vypnutý javascript)

Iná je situácia, ak chcete chrániť zdrojáky, ktoré generujú html+javascript (napr. PHP, ASP, ASP .NET, Java, a mnoho ďalších). To je už otázka zabezpečenia toho servera, na ktorom sa tie zdrojáky nachádzajú. Ale to už je na inú a trošku dhlšiu diskusiu...