Javascript Programmierung Sicherheitslücken?

  • Hi

    Ich habe schon viel mit Javascript gemacht, jedoch meist nur kleinere Sachen.
    Nun habe ich etwas größeres gemacht, was ich auch veröffentlichen möchte.
    Bevor ich das jedoch tue, wollte ich euch fragen: Worauf muss ich bei der Javascript programmierung achten? Ich will keine Sicherheitslücken etc. einbauen.

    Mir gehts jetzt nur um den JavaScript-Teil. Das man mit PHP-$_GET und $_POST ausgaben etwas anstellen kann ist mir klar. Aber sagen wir, mein Script besteht nur aus JavaScript und ohne Usereingaben, was kann passieren, wenn man nicht aufpasst?

    Gruß
    WWKiller

  • Sagen wir es so, JS ist eine Sicherheitslücke von Natur aus! Denn alles was JS macht steht im Klartext im Quellcode. Bedeutet einfach rechts Klick -> Quellcode und ich habe ALLES was da drinne verwendet wird, jede Variable, jede Codezeile, einfach alles.
    Bedeutet wenn du über JS "geheime Daten transportieren willst solltest du dir sehr gut überlegen wie "geheim" die sind und ob du das Risiko eingehen willst. Das nächste ist natürlich das du bei JS aufpassen musst, noch dazu wenn du alles in JS machst, dass wenn jemand JS deaktiviert hat dann kann er entweder nix wirklich sehen oder alle Checks, etc. sind fürn Ar***! ;)
    Also, immer überlegen wofür welche Sprache ist und dann natürlich doppelt hält besser, sprich alles was du in JS hast nochmal in php, html, css, etc. machen damit es auch ohne JS funktioniert!

    MfG

  • danke
    Also kann ich keinen Schaden mit schlechtem Code anrichten (nur auf Javascript bezogen, nicht HTML etc. (bsp. ausgabe von $_GET -> einschleusen von js code))?

  • Bei google einfach mal eingeben: javascript sicherheitslücken

  • So lang das, was der JavaScript Code macht im Browser bleibt und nichts vom server ins JS und umgekehrt kommt, nimmst zumindest DU keinen Schaden xD.

    Der, der weiß dass er nichts weiß, weiß mehr als der, der nicht weiß, dass er nichts weiß.

    Wer nach etwas fragt, geht grundsätzlich das Risiko ein, es auch zu bekommen!

  • 1.) $_GET ist keine JS-Funktion
    2.) Ging es bei dir um JS wo eben sowas absolut ausgeschlossen ist:

    Mir gehts jetzt nur um den JavaScript-Teil. Das man mit PHP-$_GET und $_POST ausgaben etwas anstellen kann ist mir klar. Aber sagen wir, mein Script besteht nur aus JavaScript und ohne Usereingaben, was kann passieren, wenn man nicht aufpasst?


    So, und dann, klar kann per GET immer etwas ungewünschtes eingeschleust werden! Aber, damit man/wir/ich dir helfen kann wäre es mal gut zu wissen mit welchem Code, welcher Funktion, etc. du Probleme hast oder besser was genau du wo verhindern willst.MfG

  • ist ein einfaches LayerScript....
    Da ich es eh kostenlos zur Verfügung stelle (und javascript eh leicht zu 'klauen' ist) kann ich es ja hier posten :