Autor Zpráva
Suta
Profil
#1 · Zasláno: 7. 5. 2012, 15:36:35 · Upravil/a: Suta o 3 minuty později
Odpovědět Citovat
Dá se nějakým způsobem dostat k datům uloženým v javascriptových proměnných před jejich přepsáním? Myslím tím: 

var a = "heslo";
var a = null;
// existuje způsob, jak zjistit, co bylo v proměnné a dříve?

Ptám se z důvodu bezpečnosti, tedy konkrétně:
mám aplikaci v javascriptu včetně přihlašovaní realizovaného javascriptem (input type="password", heslo zašifrováno přes sha1, vygenerování jedinečného identifikátoru na serveru, spojení s heslem, znovuzašifrování, odeslání na server, ověření s původním identifikátorem a v případě shody uložení do databáze).

Vše funguje správně, pouze nevím, zda-li je možné dostat se k datům uloženým v textových inputech (tedy i v těch typu "password") po jejich resetování, zavření okna prohlížeče atd.
Obavy plynou z neznalosti toho, zda-li v případě javascriptové aplikace můžu mít jistotu, že:

k datům uloženým v javascriptových objektech či proměnných nebude možné přistoupit po jejich odstranění (přepsání) či zavření okna prohlížeče. Je zde analogie php session proměnných? Tedy po zavření okna prohlížeče není možné se k těmto datům nijak dostat?
ShiraNai7
Profil
#2 · Zasláno: 7. 5. 2012, 16:34:38
Odpovědět Citovat
Suta:
Dá se nějakým způsobem dostat k datům uloženým v javascriptových proměnných před jejich přepsáním?
Po nastavení na null by to jít nemělo, pokud se daná hodnota "neokopírovala" do jiné proměnné.

Vše funguje správně, pouze nevím, zda-li je možné dostat se k datům uloženým v textových inputech (tedy i v těch typu "password") po jejich resetování, zavření okna prohlížeče atd.

k datům uloženým v javascriptových objektech či proměnných nebude možné přistoupit po jejich odstranění (přepsání) či zavření okna prohlížeče. Je zde analogie php session proměnných? Tedy po zavření okna prohlížeče není možné se k těmto datům nijak dostat?

Těžko říct. Fyzická data můžou zůstat v paměti i po zavření prohlížeče či záložky. Teď pouze spekuluji — jestli se paměť chová podobně jako pevný disk, tak nebývá uvolněná paměť vynulována ale jen označena za "volné místo", takže teoreticky je možné data stále přečíst.

Já vůbec nevím, jestli se má cenu tímto zabývat. Pokud by byl počítač klienta prolezlý spywarem, keyloggerama a bůhví čím ještě, tak s tím asi nic moc nenaděláš.
Časová prodleva: 3 dny
Suta
Profil
#3 · Zasláno: 10. 5. 2012, 09:30:44
Odpovědět Citovat
ShiraNai7:
Díky za postřehy. Zabývat se tím má smysl v případě, kdy celá aplikace (a právě také včetně přihlašování uživatelů) musí běžet pomocí .js scriptu a potřebuji provést co nejbezpečnější přihlašování uživatelů.
Časová prodleva: 12 let

Vaše odpověď

Mohlo by se hodit

Neumíte-li správně určit příčinu chyby, vkládejte odkazy na živé ukázky.
Užíváte-li nějakou cizí knihovnu, ukažte odpovídajícím, kde jste ji vzali.

Užitečné odkazy:

Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0