Strona 1 z 3 123 OstatniOstatni
Pokaż wyniki od 1 do 10 z 21

Wątek: Bezpieczenstwo skryptow js i ajax

  1. #1
    WAN
    WAN jest nieaktywny
    Grupa MmoCenter
    Dołączył
    Sep 2007
    Posty
    976

    Domyślnie Bezpieczenstwo skryptow js i ajax

    Jak to z tym jest? js pracuje na kompie usera, ajax prosto mowiac komunikuje js z php, ale kody skryptow sa otwarte - user widzi jakie zmienne dzialaja i co w nich sie znajduje, mozna smialo zalozyc, ze wie, po co wysylamy gdzies tam id konta itp. Nie znam sie na dzialaniu tego i nie wiem na ile mozna w to ingerowac, stad mam kilka pytan ktore moga wydawac sie glupie:

    Sytuacja pierwsza:
    Zalozmy, ze mamy w ajaxie zrobione kasowanie konta. Ajax pobiera sobie w jakis sposob id konta, wysyla go do skryptu kasuj.php gdzie id konta jest odbierany i nastepuje skasowanie konta o podanym id. Szybko prosto i przyjemnie.
    Zalozmy teraz, ze ajax pobiera numer id z jakiegos diva:
    Kod:
    <div id="numer_id_konta_do_skasowania">666</div>
    Numer 666 to numer konta.

    Pytanie numer 1: Czy user moze ten numer podmienic by skasowac konto swojego sasiada: 777?
    Pytanie numer 2: Czy user moze recznie odpalic plik kasuj.php (w koncu zna i nazwe pliku i sciezke) i dlaczego tak i jak sie przed tym zabezpieczyc?

    Sytuacja druga:
    Zalozmy, ze zwariowalem i postanowilem odciazyc procesor serwera. W tym celu wykonuje zapytania - pobieram z bazy wszystkie potrzebne staty gracza i jego przeciwnika. Dane te trafiaja do skryptu js i walka odbywa sie w js - na kompie gracza, po czym jej wynik wraca (ajax...) do skryptu php np. "koniecwalki.php" i tam juz dochodzi do podsumowania wynikow walki itp.

    Pytanie numer trzy: Czy gracz moze podmienic skrypt js na swoj w wiadomym celu?
    Pytanie numer cztery: Czy moze do koniecwalki.php wyslac swoje dane zupelnie inne od tych jakie sa wynikiem walki?


    Pytanie kontrolne: Jesli gdziekolwiek odpowiedz brzmi "tak", to jaks ie przed tym zabezpieczyc?
    Pytanie na szostke: Czy gracz moze zrobic jeszcze jakies niepozadane cudo o ktorym nawet mi sie nie snilo (czyt. nie zapytalem o to)?

  2. #2
    Grupa MmoCenter Awatar Kiri
    Dołączył
    Sep 2007
    Posty
    1,741

    Domyślnie Bezpieczenstwo skryptow js i ajax

    1)
    odp1: Po co wysyłać id skoro możesz je mieć w sesji (osoba MUSI być zalogowana na własne konto by takiej rzeczy dokonać)
    odp2: Patrz odp1

    2)
    odp3: Może :jezyk:
    odp4: Jeżli ich nie zapisujesz po stronie serwa tylko np w polach hidden formularza to też może.

    odp kontrolna: Podane w odp
    odp na szóstke: Zależy jak to całe jezt zbudowane.............


    Tyle ode mnie, mogę się mylić bo Moja wiedza w obrębie js/ajax jest...żrednia :jezyk:
    Sio, nie pomagam via PM !



  3. #3
    WAN
    WAN jest nieaktywny
    Grupa MmoCenter
    Dołączył
    Sep 2007
    Posty
    976

    Domyślnie Bezpieczenstwo skryptow js i ajax

    Cytat Zamieszczone przez Kiri
    1)
    odp1: Po co wysyłać id skoro możesz je mieć w sesji (osoba MUSI być zalogowana na własne konto by takiej rzeczy dokonać)
    Masz racje
    Jak rozumiem, odpowiedz na to pytanie brami jednak: "tak"?

    Kod:
    odp3&#58; Może
    A zatem smutny wniosek - w js zadnych obliczen majacych wplyw na gre wykonywac nie mozna, bo wyniki moga zostac podmienione... szkoda
    Tylko czy jestes tego na 100% pewna?

  4. #4
    Zarejestrowany
    Dołączył
    Feb 2008
    Posty
    249

    Domyślnie Bezpieczenstwo skryptow js i ajax

    można celowo filtrować dane wysyłane przez JS i podmieniać je (tak pisało w mojej książce do PHP5), nawet były wymienione pluginy do Mozilli które to potrafią

  5. #5
    Programista
    Dołączył
    Sep 2007
    Posty
    622

    Domyślnie Bezpieczenstwo skryptow js i ajax

    Tak, jest tego pewna tak samo jak ja. Jedyne bezpieczne werstwy gdzie można umieżcić mechanikę gry to PHP i baza danych.
    http://orodlin.pl/ - Orodlin.pl Team Member
    http://blog.albitos.eu - Albi's Jogger - Z pamiętnika młodego programisty
    http://wsosnowski.pl - wizytówka

    Mam do wynajęcia miejsce na serwerze dedykowanym. Ktoś zainteresowany?

  6. #6
    Zasłużony Awatar karer
    Dołączył
    Apr 2008
    Posty
    2,554

    Domyślnie Bezpieczenstwo skryptow js i ajax

    Klaus Korner, i aplety javy... Wiem ze moze to dla niektorych zabrzmiec dziwnie ale aplety javy na stronie sa superbezpieczne jesli dane wysylane z/do apletu sa szyfrowane w odpowiednio mocny sposob. Mozliwe ze istnieje na swiecie garstka crackerow ktorzy zlamia te aplety ale latwiej sie wlamac do banku niz taki aplet rozwalic

    @temat wystarczy zrozumiec mechanike JS. Jesli wiesz jak dziala JS to ajax sa to polecenia odpalane w JS a wykonywane przez nowe 'niewidzialne' okienko przegladarki. Czyli ajax dziala ZAWSZE tak jakbys mial recznie otworzyc nowe okno i wklepac tam adres ktory pobiera ajax. Ewentualnie wyslac pod ten adres dane metoda GET/POST.

  7. #7
    WAN
    WAN jest nieaktywny
    Grupa MmoCenter
    Dołączył
    Sep 2007
    Posty
    976

    Domyślnie Bezpieczenstwo skryptow js i ajax

    No to mi nieco przejasnilo sprawe. Bede musial po pozabezpieczac phpeki na ktorych operuja moje pseudoskrypty ajaxowe, bo dosc naiwnie podszedlem do tematu jak teraz patrze na te kody

    BTW KTOS obiecal artykulik o bezpieczenstwie jesli mnie pamiec nie myli... nie zebym przypominal

  8. #8
    Zarejestrowany
    Dołączył
    May 2008
    Posty
    68

    Domyślnie Bezpieczenstwo skryptow js i ajax

    Cytat Zamieszczone przez Kiri
    1)
    odp1: Po co wysyłać id skoro możesz je mieć w sesji
    są pewne dane, które lepiej umieżcić na stronie w 'wersji wypisanej' niż przechowywanej w sesji (w końcu lepiej mieć jak najmniejsze obciążenie serwera), ale to wiesz :P

    Cytat Zamieszczone przez Kiri
    (osoba MUSI być zalogowana na własne konto by takiej rzeczy dokonać)
    oczywiżcie przed zmianą danych na stronie można bardzo łatwo się obronić, wystarczy sprawdzać, czy dana operacja, którą chcemy zrobić jest zgodna z tym użytkownikiem, który jest aktualnie na koncie i to, że jest na koncie to nie wszystko :P trzeba sprawdzać, czy np. to kasowanie, czy robienie, czegoż innego, gdzie dane pobierane są z wygenerowanej strony odpowiadają tej osobie
    Stworzyłeś grę ?
    Zareklamuj ją za darmo i otrzymaj darmowy mailing do kilkudziesięciu osób zainteresowanych grami za darmo!
    Wejdź: http://graczeonline.pl

  9. #9
    Grupa MmoCenter Awatar Kiri
    Dołączył
    Sep 2007
    Posty
    1,741

    Domyślnie Bezpieczenstwo skryptow js i ajax

    eeee... a o czym ja mówiłam? Bo chyba o tym samym
    Sio, nie pomagam via PM !



  10. #10
    Zarejestrowany
    Dołączył
    May 2008
    Posty
    68

    Domyślnie Bezpieczenstwo skryptow js i ajax

    nom, ale napisałaż tak ogólnie i zostawiłaż furtkę na niedopowiedzenia

    gratulacje zostania fioletową na forum

    pozdrawiam
    JAWS
    Stworzyłeś grę ?
    Zareklamuj ją za darmo i otrzymaj darmowy mailing do kilkudziesięciu osób zainteresowanych grami za darmo!
    Wejdź: http://graczeonline.pl

Strona 1 z 3 123 OstatniOstatni

Informacje o wątku

Użytkownicy przeglądający ten wątek

Aktualnie 1 użytkownik(ów) przegląda ten wątek. (0 zarejestrowany(ch) oraz 1 gości)

Podobne wątki

  1. Ajax i elementy 3d
    Przez Azides w dziale Kosz
    Odpowiedzi: 5
    Ostatni post / autor: 04-10-2010, 23:11
  2. Flash, JS i AJAX
    Przez ekiso w dziale JavaScript/AJAX
    Odpowiedzi: 6
    Ostatni post / autor: 27-10-2009, 10:28
  3. Nie działa ajax
    Przez Nie zarejestrowany w dziale JavaScript/AJAX
    Odpowiedzi: 1
    Ostatni post / autor: 20-09-2009, 06:47
  4. [AJAX] Polskie znaki w AJAX
    Przez WAN w dziale JavaScript/AJAX
    Odpowiedzi: 7
    Ostatni post / autor: 04-05-2008, 00:02
  5. Ajax
    Przez szarik w dziale Budowa gry via www
    Odpowiedzi: 11
    Ostatni post / autor: 08-02-2008, 20:27

Zakładki

Uprawnienia umieszczania postów

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •