Javascript-форум - Безопасность клиентского кода.

Javascript-форум (https://javascript.ru/forum/)

- Общие вопросы Javascript (https://javascript.ru/forum/misc/)

- - Безопасность клиентского кода. (https://javascript.ru/forum/misc/32739-bezopasnost-klientskogo-koda.html)

Цитата:

Сообщение от DjDiablo

есть идеи лучше ?
и кстатии devote

var x=function(){alert(100)};

// ------- 
var old=x, x=function(){alert(100500)};
x.toString = function() {
    return old.toString();
}
x.toString.toString = x.toString;
// -------

alert( x.toString );
alert( x.toString.toString );
alert( x.toString.toString.toString );
alert( x );
x();

Чо ты завёлся, никто и не сомневается что могёш )))

и насчёт бредовых идей ты зря, есть такая штука как гипотеза. И более того с чего ты взял что все зловреды заменяют toString ? Cо временем научатся конечно, но пока им это нафик ненадо :)

кстатии ещё о гипотезах.
Данные мало украсть их же ещё и отослать нужно,
в связи с этом вопрос: можно ли посчитать количество запросов из браузера ? И если их количество отличается от того которое делает наш скрипт, вывести предупреждение что возможно данные уплыли ??? Сам пока невижу возможности это сделать :( .

Цитата:

Сообщение от Gvozd

Навскидку все встроенные функции приводятся к строке вида

function send() {
    [native code]
}

насколько помнится по личному опыту в сафари ставиться ещё один пробел, вместо

function send() {
    [native code]
}

function send () {
    [native code]
}

Цитата:

Сообщение от DjDiablo

Чо ты завёлся, никто и не сомневается что могёш )))

кто завелся? чет такого не помню. А вообще я к тому что делать проверку через toString бессмысленно.

Цитата:

Сообщение от DjDiablo

И более того с чего ты взял что все зловреды заменяют toString ?

не понял к чему это?

а насчет toString вот небольшой метод, который легко заменит метод и фиг ты узнаешь по toString что это нативный или нет.

Вот вам защита

function replace_method( context, method, fn ) {

    var old = context[ method ];

    if ( old.toString === Function.prototype.toString ) {
        fn.toString = function() { return old.toString() }
        fn.toString.toString = function() { return old.toString.toString() }
        fn.toString.toString.toString = fn.toString.toString;
    } else {
        fn.toString = old.toString;
    }

    return context[ method ] = fn;
}


// ================ проверка =====================

var x=function(){alert(100)};
x.toString = function() {
    return 'This is my lib method';
}

// ------- меняем метод -------
x = replace_method( window, 'x', function(){
    alert( 100500 );
});
// -------

alert( x.toString );
alert( x.toString.toString );
alert( x.toString.toString.toString );
alert( x.toString.toString.toString.toString );
alert( x.toString.toString.toString.toString.toString );
alert( x.toString.toString.toString.toString.toString.toString );
alert( x );
x();



// -------- второй вариант без пользовательского toString -----------

var y=function(){alert(200)};

// ------- меняем метод -------
y = replace_method( window, 'y', function(){
    alert( 200500 );
});
// -------

alert( y.toString );
alert( y.toString.toString );
alert( y.toString.toString.toString );
alert( y.toString.toString.toString.toString );
alert( y.toString.toString.toString.toString.toString );
alert( y.toString.toString.toString.toString.toString.toString );
alert( y );
y();


// ------- меняем метод -------
replace_method( window, 'alert', (function( org ) {
    return function(){
        org.call( this, ["Привет: "].concat( [].slice.call( arguments ) ) );
    }
})( window.alert ));
// -------

alert( y.toString );
alert( y.toString.toString );
alert( y.toString.toString.toString );
alert( y.toString.toString.toString.toString );
alert( y.toString.toString.toString.toString.toString );
alert( y.toString.toString.toString.toString.toString.toString );
alert( y );
y();

Третий концепт.
Я расматриваю это как разминку для ума)

Рассмотрю поэтапам.
передача данных, допустим обьект data
1) функция шифрует data, допустим превращает data в json, и дальше преобразовывает уже текст, допустим заменяет символы числами, а числа записывает задом наперёд. Это неважно сейчас совершенно, главное чтобы преобразования были обратимыми. И в шифровании недолжно быть ключа, просто трансформация текста по какому то алгоритму.

2) Происходит, передача XMLRequest, который переписан каким то плагином, уходит две копии закодированных данных, одна на наш серв, вторая подлому хацкеру.

3) На нашем серве, есть код который получив эту абракодабру, в обратном порядке выполняет действия и получает исходный json.

4) Хацкер получает цифробуквенную кракозябру, отчего произнося множество неприличных слов идёт ковырять шифровалку на наш сайт. Допустим он её расковыряет, и напишет дешифратор. Но если он шпиёнит за многими сайтами, то написать декодер для каждого сайта он не сможет.

Тобиш хацкера это не остановит, но жизнь усложнит адово, мониторить XML запросы у множество сайтов будет плагином просто невозможно. Понятно что для vkontakte или одноклассников решение непобходит.

Для окончательного выноса мозга можно автоматом генирировать новые алгоритмы, каждый день, или персонально для каждой сессии.

Всё вышеописанное совершенно немешает забирать информацию из DOM или юзать куки

devote, твою "защиту" (в кавычках, потому что в контексте сабжа это скорее нападение) легко выявить, проверив свойсво "toString" у метода.

alert.hasOwnProperty( "toString" ) // должно быть false

Но вроде как уже очевидно, что нативный метод от переделанного никак не отличишь, если переделать Function.prototype.toString.

DjDiablo, дело не в хацкерах. Тут логика понятна: сам расширение поставил - сам дурак. У меня другая проблема: не дать пользователю самому (по его собственному желанию) влезть в логику приложения.

Цитата:

Сообщение от devote

а насчет toString вот небольшой метод, который легко заменит метод и фиг ты узнаешь по toString что это нативный или нет.

а если так попробовать?

// 1. создаём фрейм.
var frame = document.createElement("iframe");

// 2. тырим из него toString
var orig_toString = frame.contentWindow.Function.toString;

// 3. это объект, у которого заменён toString.
var myEvilObj = { toString: function () { return "WHAHAHA"; }  };

// 4. если результаты их действия одинаковы, то никто ничего не заменял.
var isReplaced = orig_toString.call(myEvilObj) !== myEvilObj.toString();

// и так же параноить со всеми методами :)

melky, инспектор элементов в firebug позволяет просматривать элементы внутри iframe на другом домене, что как бы намекает, что дополнение исполняется и в iframe.

Если отойти от темы скриптов, помешать желанию пользователя, то наверного максимум возможного, это святая троица
обфускация + локальные переменные функции + eval

<script>
codes='(function(){var x=100;alert(x);y=200;})()';
eval (codes);
</script>

И хрен вы сударь из консоли узнаете чему у вас Y равен, или x измените. Кстати никакой скрипт до этих переменных тоже недоберётся.

Вопрос к Т.С как много народа использует ваш сайт?

Цитата:

Сообщение от BallsShaped

что всякие браузерные расширения, дополнения и юзер-скрипты имеют полный доступ ко всему клиентскому коду?

как много народа поставит себе подобный функционал в браузер?

не будет ли в итоге 0.000000000000000000....1% вероятность ,чтоб заморачиватся на этом?
Да и есть другой момент-цель зловредов получить информацию почти во всех случаях, а не изменять методы браузера,и получить информацию помешать вы никак не сможете .
Так что вектор вашего вопроса, как минимум, не верный.