Dokáže někdo prorazit ochranou JS? NE?!

Na mých stránkách mám sekci "vstup pro členy rodiny", dokážete rozluštit heslo? Jestli ano, musím uznat že je JS málo bezpečný!

O0všem stále so myslím že může být JS stejně bezpečný jako PHP ;-)

Kdo to zvládne rozluštit je fakt machr!

Nejprve udělám takový menší rozbor skriptu. Po stažení stránky jsem musel vzít její zdroják a pracně jej rozentrovat, aby se dal číst. Samotný skript zabírá asi 350 řádků kódu, což je na nějaké zabezpečení dost. Další práci ztěžuje šílené pojmenování proměnných a funkcí, větší hrůzu jsem neviděl (ostatně, celý ten skript je hrůza). No nic, nebudu je přejmenovávat, půjdu na ně jinak, mrchy. Zběžně proletím skript:

Nejprve je uvedena tabulka pár znaků, předpokládám, že to jsou znaky, které se dají použít do hesla.
Následuje nějaká VELMI dlouhá série různých znaků, předpokládám, že to je zdroják stránky, na kterou se dostanu, když rozluštím heslo.
Dále následuje funkce, která nejspíš ověřuje, zda je ten přehršel dobře rozkódovaný. Zatím tedy nic, kde bych našel heslo, či nějaký odkaz jinam.
Někde uprostřed se patrně nachází algoritmus, který heslo a uživatele (či cos) zašifruje. Tento algoritmus nápadně připomíná MD5, soudím tedy, že to šifrování je jednosměrné.
Z tohoto algoritmu patrně vzejde nějaký řetězec, pomocí něhož se rozšifruje celá ta dlouhá série znaků uvedená na začátku a vznikne buďto zdroják tajné stránky, nebo odkaz na tajnou stránku a to se pošle do prohlížeče.

Co závěrem? Moje tvrzení nemusí být správné, jisté je jen jedno - brutální síla je asi jediný způsob, jak to rozlousknout. Ale uvědom si, že členové tvé rodiny musí mít zapnutý JS, musí mít dostatečně dobré připojení aby takhle obrovský objem dat stáhli (zašifrovaná stránka, skript...) a ty se musíš taky modlit, protože při každé změně té tajné stránky musíš soubor opětovně šifrovat a pak uploadovat na server.

PHP nabízí mnohem jednodušší a elegantnější řešení, už z toho prostého důvodu, že skript se nikomu nedostane do rukou ke čtení (a administrátorům WZ se dá důvěřovat, ti nekradou).

A nakonec, stejně si myslím, že tvoje rodina může být každýmu ukradená ;)

... a tudíž - proč by se někdo takovou blbostí zabýval...

A prave ta vec ktera cini PHP bezpecnejsi nez JS (pokud o bezpecnosti mluvime v tom slova smyslu v jakem jsi ji uvedl) je, ze skripty jsou server-side, narozdil od tech psanych v js. Pokud je odkaz na hledanou stranku dosazitelny jedine pres dekodovani jakehosi kodu pres klic jednosmerne zasifrovany z nejakeho zadaneho hesla, prulom takoveho opatreni bude dost tezky, to ano. Ale psat tak neuveritelne nechutny skript mi pripada zbytecne, kdyz muzes napsat naprosto jednoduchou zalezitost na strane serveru:)

kdyz sme u toho, tak v zajmu bezpecnosti, pokud to myslite vazne, tak by se hodilo smazat z toho kodu jmeno programu ve kterym to je zakodovany

<!--Protected by HTML Password Lock, MTop Software Inc.-->

Stejně je PHP ezpečnější než JavaSrcipt. Jestliže by to mělo být zablokování pro víc jak jednu stránku, tak by se musel člověk pořád logovat..

Xili: prohlédl sis ten JS pořádně? Je tam i pasáž, která se vrtá v cookies, takže bych neřekl, že by ses musel neustále logovat. Jen je to docela složitý :))

jojo, s HTML password lock už jsem se setkal. Zajímavý nápad, vcelku vysoká bezpečnost. Ale proti php to má tu nevýhodu, že se skutečně dá použít ta hrubá síla a v případě toho, že vím, že tam mají být tagy a tak, tak to rozlousknutí nemusí být až tak složité. Teda skoro. No, dělali na tom chlapci poměrně dlouho (viz jejich www). A pak, co až vyprší zkušební verze? Vyhodíš za to $45? Pravda, při současném kurzu cca 25 Kč za USD, to není až tak moc...
Jednou jsem se na takové stránky (zamyklikované tímhle produktem) dostával. Napřed jsem to zkoušel jako Nípal, ale pak jsem použil rychlejší způsob. Korupci. Prostě mi jede takový proflákl heslo... :-D

Jedna z nevýhod proti PHP je ta, že heslo musí měnit člověk, který ty stránky tvořil. To znamená, že ON zná moje heslo, což může být při vztahu ségra x brácha nevýhodné. Takové php+sql zabezpečení mi přijde v tomto směru výrazně pružnější.

BTW: na co je tam zakaz praveho tlacidla? kto ma FF+web developer da show source, niekto na to ma favelet a ostatny to maju v menu :)

lacop, vtip je v tom, že source, je to zakódované cosi v js. To co se vygeneruje neuvidíš.

MzM: ja viem (ten zdrojak som si pozeral) len nechapem preco/na co to tam je? kazdy kto chce si zdrojak pozrie