Autor Zpráva
8vm8
Profil
Ahoj,
na webu celkem často používám metodu $.post, $.get. Když se data odesílájí jednou z těchto metod, tak se zobrazují procesy v konzoli a zobrazují cestu k souboru. Data jsou většinou odesílána do externího souboru, kde se pracuje s databází. Chci se tedy zeptat, jak by se dalo zabránit zobrazení té cesty nebo alespoň to nějak zamaskovat, a jak velké nebezpečí spočívá v tom, že si takhle případný útočník může zmapovat nějaké soubory.
ShiraNai7
Profil
8vm8:
alespoň to nějak zamaskovat

Je jedno jak moc to "zamaskuješ", potenciální útočník bude mít vždy možnost ti tam poslat to, co chce. Raději piš ty obsluhující serverové skripty tak, aby se zneužít nedaly. Validace / omezení uživatelského vstupu je vždy nutností.
_es
Profil
8vm8:
Čo si predstavuješ pod „zamaskovať“? Prehliadač má snáď právo zobraziť v nejakých svojich vývojárskych nástrojoch užívateľovi sieťovú komunikáciu. Ako by si mu to chcel z cudzej webstránky zakázať?
8vm8
Profil
Pokud v htacess zakážu přístup uživatelům do adresáře, tak tam nebude mít přístup ani javascript a nebude mi tedy fungovat aplikace. Jaké by teda bylo vhodné řešení?


Nevím, právě poto se ptám. Nechci mu zakazovat ji zobrazit. Jen mi příjde celkem nebezpečné, že uživatel vidí umístění mých souborů na webu.
_es
Profil
8vm8:
Jen mi příjde celkem nebezpečné, že uživatel vidí umístění mých souborů na webu.
Je vcelku logické, že môže „vidieť“ všetko, čo môže „vidieť“ prehliadač. Ty musíš spraviť také „zabezpečenie“, ktoré s tým počíta.
8vm8
Profil
Právě na to se ptám, jak to udělat.
_es
Profil
8vm8:
No ale to už ale predsa závisí od teba, čo chceš „zabezpečiť“ a ako to „zabezpečíš“. Ak sa poliehaš na to, že návštevník, zo zdrojového kódu JS, či zo sieťovej komunikácie, nepríde na verejne prístupné rozhranie, umožňujúce mu trebárs zmazať databázu, tak to nie je „zabezpečenie“.
Chamurappi
Profil
Reaguji na 8vma8:
jak by se dalo zabránit zobrazení té cesty nebo alespoň to nějak zamaskovat
Nijak. Všechno, co dělá JavaScript, je veřejně přístupné. K čemu může prohlížeč, k tomu může i útočník.

jak velké nebezpečí spočívá v tom, že si takhle případný útočník může zmapovat nějaké soubory
Asi stejné, jako když si nevidomý zloděj slepeckou holí oťuká vchodové dveře od bytu. Samo o sobě je to neškodné, záleží, co s tím může dělat dál. Samozřejmě, že ti může na server na libovolnou adresu posílat jakýkoliv HTTP požadavek.

Vaše odpověď

Mohlo by se hodit

Neumíte-li správně určit příčinu chyby, vkládejte odkazy na živé ukázky.
Užíváte-li nějakou cizí knihovnu, ukažte odpovídajícím, kde jste ji vzali.

Užitečné odkazy:

Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: