Intento evitar que cualquier usuario vea el contenido del archivo, "x.txt", ubicado en mi servidor.
Hasta ahora, he hecho lo siguiente:
Los usuarios bloqueados no pueden acceder directamente al archivo usando .htaccess
Una de mis páginas usa una solicitud ajax para obtener el contenido del archivo y lo almacena en una variable.
La entrada del usuario se compara con el contenido del archivo a través de una declaración if (x == y).
¿Es posible que los usuarios de mi sitio puedan acceder a estos datos confidenciales?
Respuestas
1 para la respuesta № 1Si una llamada ajax puede obtener los datos, entonces cualquier pícaroo un script personalizado también puede obtener los datos a través de la misma llamada ajax y solo se necesita una mirada básica en su página web para ver cuál es la llamada ajax que obtiene los datos. O, cualquiera que simplemente abra las herramientas de desarrollador de Chrome y mire la pestaña de red puede ver el contenido de todas las llamadas ajax realizadas por el navegador.
Además, cualquiera que sepa cómo usar unel depurador del navegador puede ver todo lo que hace su código (como almacenar el contenido de ajax en una variable), por lo que incluso el cifrado por cable no impide que alguien vea sus datos en el navegador receptor.
Si desea que los datos de su servidor sean seguros, necesitará un diseño diferente.
La forma segura de probar la entrada del usuario vs. algún secreto en el servidor es enviar los datos del cliente al servidor y hacer que el servidor compare los datos del cliente con el maestro del servidor y, por lo tanto, nunca envíe los datos del servidor al cliente.
Piense en ello como una contraseña.Nunca enviaría la contraseña maestra al cliente y el cliente compararía lo que ingresó el usuario. En cambio, enviaría lo que el cliente ingresó al servidor y el servidor haría la comparación de manera segura. Este mismo enfoque protegerá sus datos.