Staram się, aby żaden użytkownik nie widział zawartości pliku „x.txt”, znajdującego się na moim serwerze.
Do tej pory wykonałem następujące czynności:
Zablokowano użytkownikom bezpośredni dostęp do pliku za pomocą .htaccess
Jedna z moich stron używa żądania ajax, aby pobrać zawartość pliku i przechowuje ją w zmiennej.
Dane wejściowe użytkownika są porównywane z zawartością pliku za pomocą instrukcji if (x == y).
Czy użytkownicy mojej witryny mogą uzyskać dostęp do tych poufnych danych?
Odpowiedzi:
1 dla odpowiedzi № 1Jeśli wywołanie ajaxowe może uzyskać dane, to każdy łobuzlub dostosowany skrypt może również pobierać dane za pośrednictwem tego samego wywołania ajax i zajmuje tylko elementarne spojrzenie na stronę internetową, aby zobaczyć, co wywołanie ajax pobiera dane. Lub każdy, kto po prostu otwiera narzędzia programistyczne Chrome i patrzy na kartę sieci, może zobaczyć zawartość wszystkich połączeń ajaxowych wykonanych przez przeglądarkę.
Ponadto każdy, kto wie, jak korzystać zdebugger przeglądarki może obserwować wszystko, co robi Twój kod (np. przechowywanie zawartości ajax w zmiennej), więc nawet szyfrowanie przez przewód nie uniemożliwia komuś zobaczenia twoich danych w przeglądarce odbiorczej.
Jeśli chcesz, aby dane serwera były bezpieczne, będziesz potrzebować innego projektu.
Bezpieczny sposób testowania danych wprowadzanych przez użytkownika vs. pewną tajemnicą na serwerze jest wysłanie danych klienta na serwer i umożliwienie serwerowi porównania danych klienta z serwerem głównym, a tym samym nigdy nie wysyła danych serwera do klienta.
Pomyśl o tym jak o haśle. Nigdy nie wysyłasz hasła głównego do klienta i zleca klientowi porównanie tego, co wprowadził użytkownik. Zamiast tego wyślesz to, co klient wpisał na serwer i niech serwer wykona porównanie w bezpieczny sposób. To samo podejście zapewni ochronę danych.