Ukrycie źródła kodu JS

pytanie zadane 5 lipca 2018 w JavaScript przez MrxCI Dyskutant (8,260 p.)

Witam, jak wiadomo kod js jest jawny i tego zmienić nie można ponieważ musi zostać odczytany przez przeglądarkę.

Lecz kiedyś widziałem rozwiązanie gdy strona pobierała kod z pliku /example/code.js który się wykonywał, ale po wejściu pod podany adres lub próba wyświetlenia kodu pokazywała tylko linijkę "No code for you."

Jak takie coś uzyskać? Nawet od strony PHP.

3 odpowiedzi

odpowiedź 5 lipca 2018 przez Comandeer Guru (607,960 p.)

odpowiedź 5 lipca 2018 przez Hunter94 Mądrala (6,290 p.)
edycja 5 lipca 2018 przez Hunter94

To 'No code for you' to pewnie ustalenie pliku .htaccess

RewriteRule ^(skrypt\.js) - [F,L,NC]

Jeżeli nie chcesz dzielić się swoim kodem JS pomyśl o jego obfuskacji czyli zaciemnianiu.

Przykładowe narzędzie.

komentarz 5 lipca 2018 przez Mariusz08 Maniak (62,280 p.)

Jak łatwo dokonać obsfukacji kodu tak samo łatwo można dokonać jego deobsfukacji (?).

komentarz 5 lipca 2018 przez Hunter94 Mądrala (6,290 p.)

I tak i nie. Jeśli robisz to narzędziem to na pewno jest narzędzie które cofa ten proces, więc jest to takie prowizoryczne zabezpieczenie przed osobami które o tym nie wiedzą.
Jak sam się pobawisz w obfuskacje to możesz komuś nieźle krwi napsuć.
Popatrz sobie na tegoroczne CTF od google.
link

komentarz 5 lipca 2018 przez MrxCI Dyskutant (8,260 p.)

Kod z tego co zauważyłem po deobsfukacji jest słabo czytelny, dodatkowo wspomniany obsfukator ma opcję "kill yourself" który po przeglądarka ignoruje a samo narzędzie do poprawy jakości bierze pod uwagę tym samym niszcząc go. (nie działa po obsfukacji.)

komentarz 5 lipca 2018 przez Mariusz08 Maniak (62,280 p.)

Kod z tego co zauważyłem po deobsfukacji jest słabo czytelny,

Jak ktoś chce to nawet ten nieczytelny kod przeczyta. Poza tym można go wrzucić do jakiegoś beautifiera.

komentarz 16 września 2020 przez WiktroH Mądrala (6,550 p.)

@Hunter94, Jeśli dasz w .htaccess 403 Forbidden dla każdego to nawet przeglądarka tego nie odczyta

odpowiedź 5 lipca 2018 przez Tomek Sochacki Ekspert (227,510 p.)

A tak z ciekawości to po co w ogóle chcesz to robić? Przyznam, że w większości tego typu pytań na forum dotyczyło to prostych stronek czy apek, nierzadko nawet niekomercyjnych.

Ja pytam zawsze z innej strony... zrobiłeś coś fajnego, jakiś skrypt, który mógłby ktoś sobie wykorzystać...i uważasz że to złe bo przecież to Twój kod, Ty poświęciłeś na niego czas itp. Ok, rozumiem, a powiedz mi ile w tej swojej apce wykorzystałeś innych darmowych narzędzi... czy korzystasz z darmowego PHP, a może node, a może jQuery albo miliona innych skryptów, bibliotek itp.? I czy płaciłeś za nie coś :)? Ja uważam, że jeśli napiszesz coś fajnego to warto się tym podzielić, dziś Ty dasz coś od siebie, a jutro sam skorzystasz z pracy kogoś innego... Na tym polega piękno tej branży i społeczności... konkurencja konkurencją ale pomagajmy sobie wzajemnie :)

Pozdrawiam

komentarz 5 lipca 2018 przez MrxCI Dyskutant (8,260 p.)

kod będzie publiczny na githubie, chce aby na mojej stronie której to aplikacja pracuje poprzez ajaxa z bazą danych zmniejszono sztuczną edycje postępów.

Ale i tak planuje przerzucić się z zapisu w bazie na krótką linijkę zaszyfrowaną z postępami w AES.