Javascript Programmierung Sicherheitslücken?

WWKiller

Hi

Ich habe schon viel mit Javascript gemacht, jedoch meist nur kleinere Sachen.
Nun habe ich etwas größeres gemacht, was ich auch veröffentlichen möchte.
Bevor ich das jedoch tue, wollte ich euch fragen: Worauf muss ich bei der Javascript programmierung achten? Ich will keine Sicherheitslücken etc. einbauen.

Mir gehts jetzt nur um den JavaScript-Teil. Das man mit PHP-$_GET und $_POST ausgaben etwas anstellen kann ist mir klar. Aber sagen wir, mein Script besteht nur aus JavaScript und ohne Usereingaben, was kann passieren, wenn man nicht aufpasst?

Gruß
WWKiller

DarkEmperor

Sagen wir es so, JS ist eine Sicherheitslücke von Natur aus! Denn alles was JS macht steht im Klartext im Quellcode. Bedeutet einfach rechts Klick -> Quellcode und ich habe ALLES was da drinne verwendet wird, jede Variable, jede Codezeile, einfach alles.
Bedeutet wenn du über JS "geheime Daten transportieren willst solltest du dir sehr gut überlegen wie "geheim" die sind und ob du das Risiko eingehen willst. Das nächste ist natürlich das du bei JS aufpassen musst, noch dazu wenn du alles in JS machst, dass wenn jemand JS deaktiviert hat dann kann er entweder nix wirklich sehen oder alle Checks, etc. sind fürn Ar***!
Also, immer überlegen wofür welche Sprache ist und dann natürlich doppelt hält besser, sprich alles was du in JS hast nochmal in php, html, css, etc. machen damit es auch ohne JS funktioniert!

MfG

WWKiller

danke
Also kann ich keinen Schaden mit schlechtem Code anrichten (nur auf Javascript bezogen, nicht HTML etc. (bsp. ausgabe von $_GET -> einschleusen von js code))?

Unregistriert

Bei google einfach mal eingeben: javascript sicherheitslücken

Tobse

So lang das, was der JavaScript Code macht im Browser bleibt und nichts vom server ins JS und umgekehrt kommt, nimmst zumindest DU keinen Schaden xD.

DarkEmperor

1.) $_GET ist keine JS-Funktion
2.) Ging es bei dir um JS wo eben sowas absolut ausgeschlossen ist:

Zitat von WWKiller

Mir gehts jetzt nur um den JavaScript-Teil. Das man mit PHP-$_GET und $_POST ausgaben etwas anstellen kann ist mir klar. Aber sagen wir, mein Script besteht nur aus JavaScript und ohne Usereingaben, was kann passieren, wenn man nicht aufpasst?

So, und dann, klar kann per GET immer etwas ungewünschtes eingeschleust werden! Aber, damit man/wir/ich dir helfen kann wäre es mal gut zu wissen mit welchem Code, welcher Funktion, etc. du Probleme hast oder besser was genau du wo verhindern willst.MfG

WWKiller

erst einmal danke für die Antworten

Das $_GET keine JS funktion ist, ist mir klar^^ ist vllt falsch rüber gekommen.

Naja gut, wenn das so ist, dann muss ich mir um meinen Code keine Sorgen machen =)
Hier ist er übrigens (jedoch komprimiert):
http://www.erik-mohr.de/layer/komprimiert.js

möchte damit einen Layer anbieten

The User

Komprimiert versteht mans nicht besser. Du könntest ja mal sagen, was es macht und es unkomprimiert hochladen.

WWKiller

ist ein einfaches LayerScript....
Da ich es eh kostenlos zur Verfügung stelle (und javascript eh leicht zu 'klauen' ist) kann ich es ja hier posten :

PHP

var itsLayered = {

    LayerFrameID : 'itslayered_frame',

    LayerFrameColor : 'blue', //blue, dark, darkblue, green, light, orange, red, yellow

    iFrameURL : 'http://www.erik-mohr.de',

    StartLayerTime : 1000,
    MoveLayerTime : 2,
    MoveLayerPixel : 4,
    MoveLayerEndLeft : 200, //Layer ends, if MOVELAYERENDLEFT pixel are on the left of the Layer

    OpenNewWindow : true,
    OpenNewWindowUrl : 'http://www.erik-mohr.de',

    start : function() {
        itsLayered.makeLoad(window, 'load', itsLayered.init);
    },

    makeLoad : function(e, x, func) {
        if(e.addEventListener) {
            e.addEventListener(x, func, false);
        } else if(e.attachEvent) {
            e.attachEvent('on' + x, func);
        }
    },

    init : function() {
        itsLayered.create_layer();

        window.setTimeout("itsLayered.show_layer()", itsLayered.StartLayerTime);
    },

    show_layer : function() {
        intervalla = window.setInterval("itsLayered.move_layer()", itsLayered.MoveLayerTime);
    },

    move_layer : function() {
        leftMargin = document.getElementById(itsLayered.LayerFrameID).style.left;
        leftMargin = parseInt(leftMargin.substr(0, (leftMargin.length - 2)));
        document.getElementById(itsLayered.LayerFrameID).style.left = (leftMargin+itsLayered.MoveLayerPixel) + 'px';

        if(itsLayered.MoveLayerEndLeft < (leftMargin+itsLayered.MoveLayerPixel)) {
            itsLayered.StopMoving();
        }
    },

    StopMoving : function() {
        clearInterval(intervalla);
    },

    //BUILD FRAME
    create_layer : function () {
        boxes = {
            main : document.createElement('div'),
            wrapper : document.createElement('div'),
            top : document.createElement('div'),
            bottom : document.createElement('div')
        },

        links = {
            closeit : document.createElement('a'),
            author : document.createElement('a')
        },

        spans = {
            title : document.createElement('span'),
            free : document.createElement('span'),
            copyright : document.createElement('span')    
        }

        iframe = document.createElement('iframe');


        boxes.main.id = itsLayered.LayerFrameID;
        boxes.main.style.left = '-640px';
        boxes.main.style.width = '631px';
        boxes.main.style.height = '468px';
        boxes.main.style.position = 'fixed';
        boxes.main.style.background = 'url(img/bg_' + itsLayered.LayerFrameColor + '.gif) no-repeat';
        boxes.main.style.top = '100px';
        boxes.main.style.padding = '5px';
        boxes.main.style.color = '#FFFFFF';
        boxes.main.style.fontFamily = 'Tahoma, Geneva, sans-serif';
        boxes.main.style.fontSize = '12px';

            boxes.wrapper.style.width = '600px';
            boxes.wrapper.style.height = '460px';
            boxes.wrapper.style.position = 'absolute';
            boxes.wrapper.style.left = '13px';
            boxes.wrapper.style.top = '10px';

            boxes.main.appendChild(boxes.wrapper);


                boxes.top.style.height = '27px';
                boxes.top.style.width = '600px';
                boxes.top.style.textAlign = 'right';
                boxes.top.style.fontSize = '13px';

                boxes.wrapper.appendChild(boxes.top);


                    links.closeit.href = '#';
                    links.closeit.onclick = function() { boxes.main.style.display = 'none'; if(itsLayered.OpenNewWindow==true) {window.open(itsLayered.OpenNewWindowUrl, '', 'type=fullWindow,fullscreen,scrollbars=yes');} };
                    links.closeit.innerHTML = 'Close';
                    links.closeit.style.color = '#FFFFFF';

                    boxes.top.appendChild(links.closeit);


                iframe.style.width = '600px';
                iframe.style.height = '400px';
                iframe.src = itsLayered.iFrameURL;

                boxes.wrapper.appendChild(iframe);


                boxes.bottom.style.width = '600px';
                boxes.bottom.style.textAlign = 'right';
                boxes.bottom.style.marginTop = '3px';

                boxes.wrapper.appendChild(boxes.bottom);


                    spans.title.innerHTML = 'ItsLayered 1.0 ';

                    boxes.bottom.appendChild(spans.title);


                    spans.free.innerHTML = '(free) ';
                    spans.free.style.fontSize = '9px';

                    boxes.bottom.appendChild(spans.free);


                    spans.copyright.innerHTML = ' - Copyright &copy; 2011 - ';

                    boxes.bottom.appendChild(spans.copyright);


                    links.author.href = 'http://www.erik-mohr.de';
                    links.author.onclick = function() { window.open('http://www.erik-mohr.de', 'Erik Mohr'); return false; }
                    links.author.innerHTML = 'Erik Mohr Webdesign &amp; Programmierung';
                    links.author.style.color = '#FFFFFF';

                    boxes.bottom.appendChild(links.author);


        
        document.getElementsByTagName('body')[0].appendChild(boxes.main);
    }
}


itsLayered.start();

Alles anzeigen

The User

Solange keiner Zugriff auf die Variablen hat und die iframe-Url ändert, ist es ja in Ordnung, da wird ja ansonsten nichts übertragen oder so.

WWKiller

ok danke =)

Tags