(縮小された)javascript Ajax jQueryを使用するときに、他のプログラマーからパスワードを保護できますか?具体的には、Firebugなどのツールを使用してデバッグする場合、他の人からパスワードを(暗号化されていても)保持できますか?
シナリオは次のとおりです。XMLドキュメント(サーバー側)を作成し、それをjQuery/Ajaxコントローラーに渡します。誰かがFirebugにブレークポイントを設定せず、暗号化されたuserID、暗号化されたパスワードをコピーして貼り付け、独自のリクエストを元のURLに送信しないと誰が言いますか?
はい、私はこのサーバー側のすべてを行うことができます。私の質問は、クライアント側でそれを行うことができますか?
人々が「安全な」データを求めているとき、私たちは他のプログラマーから身を守っています。
でもLuvya'll。
いいえ、できません。割れるのを難しくすることしかできません。これはDRMスキームの本質的な問題です。
それらは、クライアントからクライアント上のコンテンツを制御することを目的としています。
とはいえ、DRMスキームを実装しようとしているのでない限り、セキュリティを危険にさらす必要はありません。これは、承認、認証、および検証が常にサーバー上で(またはサーバー上でも)行われる必要があるためです。
クライアントが必要とする唯一のクレデンシャルは独自のクレデンシャルであり、クライアントはログインするためにクレデンシャルを必要とし、すでにクレデンシャルを持っているため、これはセキュリティの問題ではありません。
クライアントが許可を超えることを許可する資格情報は、サーバーに残しておく必要があります。
サーバーは、クライアントの適切な認証とアクションの承認の後にのみ、クライアントに代わってこれらの資格情報を使用します。
クレデンシャルをクライアントに渡し、セキュリティを維持するためにクライアント側の難読化に依存するアーキテクチャには欠陥があります。