/ / Seria possível para um usuário ler este arquivo? - javascript, ajax, html5, .htaccess, segurança

Seria possível para um usuário ler este arquivo? - javascript, ajax, html5, .htaccess, segurança

Eu estou tentando impedir que qualquer usuário veja o conteúdo do arquivo, "x.txt", localizado no meu servidor.

Até agora, fiz o seguinte:

  1. Usuários bloqueados acessam diretamente o arquivo usando .htaccess

  2. Uma das minhas páginas usa um pedido de ajax para obter o conteúdo do arquivo e armazená-lo em uma variável.

  3. A entrada do usuário é comparada ao conteúdo do arquivo por meio de uma instrução if (x == y).

É possível que os usuários do meu site acessem esses dados confidenciais?

Respostas:

1 para resposta № 1

Se uma chamada ajax puder obter os dados, então qualquer trapaceiroou script customizado também pode obter os dados através da mesma chamada ajax e é necessário apenas uma olhada elementar na sua página da web para ver qual é a chamada do ajax que obtém os dados. Ou qualquer pessoa que abrir as ferramentas do desenvolvedor do Chrome e examinar a guia "Rede" poderá ver o conteúdo de todas as chamadas do Ajax feitas pelo navegador.

Além disso, quem sabe como usar umo depurador de navegador pode assistir qualquer coisa que seu código faça (como armazenar conteúdo de ajax em uma variável) assim até mesmo criptografia em cima do fio não impede que alguém veja seus dados quem está no navegador de recepção.

Se você quiser que os dados do seu servidor sejam seguros, você precisará de um design diferente.

A maneira segura de testar a entrada do usuário vs. algum segredo no servidor é enviar os dados do cliente para o servidor e fazer com que o servidor compare os dados do cliente com o servidor principal e, portanto, nunca envie os dados do servidor para o cliente.

Pense nisso como uma senha. Você "nunca envia a senha mestra para o cliente e faz com que o cliente compare o que o usuário digitou. Em vez disso, você envia o que o cliente digitou para o servidor e faz com que o servidor faça a comparação com segurança. Essa mesma abordagem protegerá seus dados.

Perguntas relacionadas

Segurança de Autenticação HTTP - segurança, autenticação http
técnica de prevenção de acesso direto .htaccess impedindo também o pedido de ajax - php, apache, .htaccess, jquery
É possível extrair dados do iframe e enviá-los via ajax? - php, javascript, ajax, iframe
Penny Auction AJAX Security - segurança, php, mysql
Questões de segurança AJAX - php, javascript, ajax, segurança
Renomeie o cookie de sessão para algo diferente de PHPSESSID - php, html5boilerplate
Gerenciamento de acesso a arquivos e pastas e segurança (PHP / Apache) - php, apache, arquivo, segurança, pasta
Exclua um arquivo php específico do wp-content .htaccess - php, css, wordpress, .htaccess
Existe uma maneira de fazer o mashup de imagens do lado do cliente somente em HTML 5 e javascript - javascript, html5, canvas
como obter lista de arquivos em uma pasta usando javascript - javascript, html5, visual-c ++ - 2010-express
Riscos de segurança do JavaScript no aplicativo móvel híbrido - javascript, segurança, aplicativo híbrido-móvel
Acesse um URL e baixe um arquivo wav usando javascript - javascript, html5, html5-audio
Secure script ajax (javascript solicitado script PHP) - javascript, php, ajax, htaccess, xmlhttprequest
JavaScript pode ser usado para enviar um arquivo para outra máquina ou serviço da web - javascript, ajax, push, cross-site
Como carregar um arquivo do lado do cliente e carregá-lo em alguma tabela - javascript, html, asp-classic, loading
navegador carregar arquivo local sem upload - javascript
Leia o arquivo txt em tempo real com JavaScript - javascript, jquery, ajax, arquivo
Como faço para usar HTML5 Boilerplate sem usar o htaccess em um servidor Apache? - html5, .htaccess, html5boilerplate
Site Protegido por senha do Joomla - .htaccess, joomla, joomla2.5
Arquivo .htaccess ineficaz na senha protegendo meu diretório xampp? - apache, .htaccess, xampp