एक recient पीसीआई लेखा परीक्षा के दौरान लेखा परीक्षक ने कहा कि हम प्रमुख सुरक्षा जोखिम था, क्योंकिजावास्क्रिप्ट टिप्पणियां सुरक्षा जोखिम हैं?
- यह ऐसी छवियों सीएसएस और जावास्क्रिप्ट पूर्व प्रमाणीकरण के बिना के रूप में हमारी वेबसाइट से निश्चित संसाधनों डाउनलोड करने के लिए संभव था।
- हमारे जावास्क्रिप्ट में इसमें टिप्पणियां थीं।
व्यक्तिगत रूप से मुझे लगता है कि यह एक सुरक्षा जोखिम नहीं है। छवियों सीएसएस और जावास्क्रिप्ट जहां गतिशील रूप से नहीं बनाया गया है और उनमें हमारे बैकएंड, हमारे ग्राहक विवरण और तंत्र पर कोई डेटा नहीं है।
जावास्क्रिप्ट के भीतर टिप्पणियां बस यह बता रही थी कि जावास्क्रिप्ट फ़ाइल में क्या तरीके हैं। जो भी जेएस पढ़ता है वह वैसे भी पता चला होगा।
यह कैसे दिखाता है "information leakage"?
जावास्क्रिप्ट के भीतर टिप्पणियां वास्तव में सुरक्षा जोखिम हैं?
पहला बिंदु एक सुरक्षा जोखिम है, लेकिन मैं इसे प्रमुख नहीं कहूंगा। दूसरी तरफ जावास्क्रिप्ट टिप्पणियां, सुरक्षा जोखिम? इससे मुझे वास्तव में हंसते हैं। यह इष्टतम नहीं है, यह निश्चित रूप से है, लेकिन सुरक्षा जोखिम नहीं है। आगे बढ़ें और http://developer.yahoo.com/yui/compressor/ का उपयोग करें, यह टिप्पणियां, और सभी अनावश्यक सफेद रिक्त स्थान हटा देगा। – AlexanderMP
यहां महत्वपूर्ण बात यह है कि क्या टिप्पणियों में कोड से कुछ भी कटौती नहीं होती है? जैसे आंतरिक सर्वर व्यवस्थित होते हैं (एक अलग डेटाबेस सर्वर का कोई नोट, सर्वर नाम, या ऐसा कुछ भी), सुरक्षा जोखिम उत्पन्न कर सकता है। फिर फिर, कोड स्वयं ही हो सकता है, अगर यह आपको ऐसे निष्कर्ष निकालने देता है। – falstro
@roe: जैसे इस तरह? =) http://thedailywtf.com/Articles/Client-side_PHP.aspx –