• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Bezpieczeństwo frameworka Angualar(JS)

VPS Starter Arubacloud
+2 głosów
419 wizyt
pytanie zadane 26 lutego 2018 w JavaScript przez dentro Nowicjusz (240 p.)
Mam do was pytanie, zacząłem uczyć się frameworka AngularJS (Ale to nie ma znaczenia bo inne w tej kwestii działają tak samo). Chodzi mi o  komunikacje z serwerem. Cała aplikacja jest w js a api np:w php.

1.Jeśli odpalamy aplikacje ładują nam się wszystkie pliki js które możemy podejrzeć w których jest link do api w które można wejść i podając parametry url z js ciągnąć z bazy danych wszystkie dane lub ich cześć. Dobrze rozumiem ?

2. Jeśli aplikacja ma login i hasło to użytkownik podobnie może ściągnąć całą bazę. Dobrze rozumiem ?

3. Jak można najlepiej zabezpieczyć aplikacje SPA i API. Jak wy to robicie?

4. Korzystacie ze stronicowania żeby nie była wysyłana cała tabela w json tylko np 10 rekordów. i jak to obsłużyć w angular js?

5.Czy jest możliwość skopiowania takiej aplikacji na inny serwer i podać link do jsona na innym serwerze(zakładając, że możemy się logować loginem i hasłem i taki login będzie miał ktoś inny w posiadaniu)?

1 odpowiedź

+4 głosów
odpowiedź 27 lutego 2018 przez maciej.tokarz Nałogowiec (27,280 p.)
wybrane 3 marca 2018 przez dentro
 
Najlepsza

Cześć!

1.Jeśli odpalamy aplikacje ładują nam się wszystkie pliki js które możemy podejrzeć w których jest link do api w które można wejść i podając parametry url z js ciągnąć z bazy danych wszystkie dane lub ich cześć. Dobrze rozumiem ?

Dokładnie tak


2. Jeśli aplikacja ma login i hasło to użytkownik podobnie może ściągnąć całą bazę. Dobrze rozumiem ?

Czy całą? To od ciebie zależy co Twoje metody API udostępnią. Jeśli dasz w wyniku zawartość określonej tabeli to tak, użytkownik otrzyma wszystkie dane. Zazwyczaj jakieś globalne informacje to są dane słownikowe (kategorie produktów itp.).


3. Jak można najlepiej zabezpieczyć aplikacje SPA i API. Jak wy to robicie?

Zazwyczaj wykorzystuje się token (JWT) który udostępnia się klientowi na podstawie logowania. Chodzi o to, aby nie robić wielokrotnych zapytań na tabeli użytkowników przy udostępnianiu danych, a jedynie bazować na tokenie. Bardziej zaawansowane metody to pewnie weryfikacja IP, certyfikatów itp. - nie stosowałem, nie wypowiem się.


4. Korzystacie ze stronicowania żeby nie była wysyłana cała tabela w json tylko np 10 rekordów. i jak to obsłużyć w angular js?

Zazwyczaj stronicowanie odbywa się po stronie klienta przykład. Nie miałem potrzeby implementowania paginacji uwzględniającej jakieś bardzo duże ilości danych (Allegro itp.), tak aby były one porcjowane przez serwer, ale pewnie da się coś takiego zrobić. Poza tym stosuj najnowszego Angulara czyli wersję 5 obecnie - warto!

Edit: odnośnie porcjowania danych przez serwer wydaje się to proste do wykonania. Mając wiedzę ile elementów wyświetla strona pobierasz z serwera dane dotyczące strony przeglądanej przez użytkownika. Jakie dane przypadają na stronę i ile jest tych stron łatwo policzyć, mając informację o całkowitej ilości rekordów (odpowiadających jakimś kryteriom lub nie) - ot cała filozofia.


5.Czy jest możliwość skopiowania takiej aplikacji na inny serwer i podać link do jsona na innym serwerze(zakładając, że możemy się logować loginem i hasłem i taki login będzie miał ktoś inny w posiadaniu)?

Jest to możliwe, jak się zna adresy metod API i posiada token albo dane uwierzytelniające użytkownika (login, password) można dostać się do danych - zresztą w ten sposób testuje się API np. programami typu Postman.

M.

komentarz 3 marca 2018 przez dentro Nowicjusz (240 p.)
Dzięki za odpowiedź

1.Coś oprócz JWT jest jeszcze stosowane?

2.Przewineły mi się takie nazwy jak OAuth2.0 i auth0 czym się różnią od siebie i od JWT oraz jak działają(tak w skrócie)?
komentarz 3 marca 2018 przez maciej.tokarz Nałogowiec (27,280 p.)

1. Nie wiem.

2. Nie znam tych różnic.

M.

Podobne pytania

0 głosów
3 odpowiedzi 388 wizyt
pytanie zadane 15 września 2019 w Offtop przez JakSky Stary wyjadacz (14,770 p.)
0 głosów
1 odpowiedź 187 wizyt
pytanie zadane 26 lutego 2020 w Offtop przez JakSky Stary wyjadacz (14,770 p.)
0 głosów
1 odpowiedź 538 wizyt
pytanie zadane 24 grudnia 2017 w JavaScript przez jvrekk Użytkownik (970 p.)

92,453 zapytań

141,262 odpowiedzi

319,088 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...