Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #11 (permalink)  
Старый 26.05.2015, 18:00
Профессор
Отправить личное сообщение для kostyanet Посмотреть профиль Найти все сообщения от kostyanet
 
Регистрация: 23.10.2010
Сообщений: 2,718

Сообщение от KosBeg
Скрипт в любом случае исполняется на клиенте, будь-то обычный скрипт, юзерскрипт или расширение -- по-этому НИКТО не мешает модифицировать скрипт...
Вам же написали что скрипт вообще не нужен чтобы послать какие-то там данные на сервер. Нарисовал форму, вписал урл, заполнил поля и нажал кнопку. Все нах.

Или написал свой скрипт, тот нарисовал форму в своем воображении и отгрузил по указанному урлу. Ничего не надо модифицировать вообще. Хоть заобфусцируйтесь.

Шифрование? Вот и займитесь PGP. Только сразу с ФСБ договоритесь. Ихний сорм не любит когда валятся нипанятные данные.

Последний раз редактировалось kostyanet, 26.05.2015 в 18:03.
Ответить с цитированием
  #12 (permalink)  
Старый 26.05.2015, 18:08
Профессор
Отправить личное сообщение для kostyanet Посмотреть профиль Найти все сообщения от kostyanet
 
Регистрация: 23.10.2010
Сообщений: 2,718

Как юзероскриптописатель я навидался всяких методов защиты скриптов - ничего из этого не работает. Все можно скачать и заполучить хоть через alert'ы. Это если нуна получить какие-то сведения, подделать их и отгрузить. Все получается если покопаться. Было бы зачем.

Так вот, походу сделали какую-то уродску партнерку. Сделайте как люди делают - как социал разрешает аутентификацию по своим счетам. Вы запрашиваете, вам выдают форму, юзер вводит, отгружает, _тот_ сервер проверяет и дает отмашку - проканало или не проканало. Я в этом деле не разбирался, но думаю достаточно что ваш партнер разрешит вашему домену кроссдоменный запрос.

Последний раз редактировалось kostyanet, 26.05.2015 в 18:11.
Ответить с цитированием
  #13 (permalink)  
Старый 26.05.2015, 18:15
Профессор
Отправить личное сообщение для kostyanet Посмотреть профиль Найти все сообщения от kostyanet
 
Регистрация: 23.10.2010
Сообщений: 2,718

Сообщение от aerohotter
можно дебаггером (по F8) остановить и по одной операции отследить что грузится и куда отправляется.
Да это все в заголовках видно, ептыть. Нажал кнопку - посмотрел.
Ответить с цитированием
  #14 (permalink)  
Старый 27.05.2015, 11:54
Новичок на форуме
Отправить личное сообщение для aerohotter Посмотреть профиль Найти все сообщения от aerohotter
 
Регистрация: 20.05.2015
Сообщений: 6

Всем спасибо за ответы. Будем думать как переделать всю систему. Всё-таки javascript имеет недостатки связанные с защитой от модификации (никаких методов не заложено для определения сего, а может оно и не надо?).
Плюсов само собой тоже не мало - на радость серверам можно перекладывать работу на комп пользователя в некоторых случаях
Ответить с цитированием
  #15 (permalink)  
Старый 27.05.2015, 13:02
Профессор
Отправить личное сообщение для kostyanet Посмотреть профиль Найти все сообщения от kostyanet
 
Регистрация: 23.10.2010
Сообщений: 2,718

Такое понимание не редкость, в реальности все в точности наоборот. Ява-скрипт всегда выполняется локально и хтмл для программиста - единственный средство построить интерфейс. Возможность скрипта общаться с каким-то там сервером - особая и специальная и разрешается только в случае когда браузер точно знает что скрипт загружен с такого-то домена. Во всех остальных случаях, и, кстати, при локальной работе с канвасом, такие транзакции запрещены, Это абсолютно логично, если понимать что сервер - просто _другой_ компьютер, с которым не налажены отношения. Допустим если вы запустите виндовый скрипт (WScript) в локальной сети он будет пользоваться всеми теми разрешениями и политикой, которая сконфигурирована для локальной сети. А в отношении сервера из глобальной сети нет никакой другой политики кроме запрещено все что сервер не разрешил.

То есть скрипт в браузере никто и звать его никак. При чем тут средства защиты от каких-то там модификаций, если любой такой скрипт уже существует для модификации хтмля? Словом это не порок, а сущность скриптов в браузере как в программе. В любой другой которая предоставляет API для скриптов - бейсика, ява- или там епл-скрипта - эквипенисуально.

Последний раз редактировалось kostyanet, 27.05.2015 в 13:06.
Ответить с цитированием
  #16 (permalink)  
Старый 28.05.2015, 12:11
без статуса
Отправить личное сообщение для Deff Посмотреть профиль Найти все сообщения от Deff
 
Регистрация: 25.05.2012
Сообщений: 8,219

aerohotter,
Разделите задачу:
1. В принципе, отправка скрытой роst-формы, сгенерённой скриптом даст Вам кук клиента.
2. Имея кук, - сервером читаем страницу

Последний раз редактировалось Deff, 28.05.2015 в 12:15.
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Книга: JavaScript. Сильные стороны Magneto Учебные материалы 16 21.04.2013 15:28
Интерпретатор Java на JS kobezzza Оффтопик 24 11.10.2012 18:32
Первый Moscow JavaScript Meetup korenyushkin Общие вопросы Javascript 0 26.07.2011 15:23
Последние книги по JavaScript! monolithed Учебные материалы 7 26.10.2010 19:40
Выдвет ошибку JavaScript Ромио Opera, Safari и др. 4 21.10.2010 20:34