[JavaScript] Javascript verstecken?

**jmc** · 06.01.2007, 16:15

Javascript-code wird an den Client geschickt, ist also nicht zu verstecken.

**Slava** · 06.01.2007, 16:45

du kannst versuchen es schwer zu machen.

ich habe das nicht getestet, aber ich glaube, dass es funktioniert.
z.b.s mit php in eine kurzfristige cooki zu setzen und eine wichtige javascript funktion oder variable reinschreiben.

dein javascript wird dann diese funktion oder variable mit eval behandeln um die funktion oder variable dem script weiter zu verfügung zu stellen, und du muss sofort nach dem eval mit javascript diese cooki löschen.

jetzt haben sie zwar die wichtige funktion oder variable, aber Sie können es nicht als quelcode sehen.

auch wenn sie versuchen dein script offline zur verfügung zu stellen, können Sie es nicht benutzen, da die cookie von php erzeugt ist.

**Peter_Panther** · 06.01.2007, 16:56

Original geschrieben von jmc
Javascript-code wird an den Client geschickt, ist also nicht zu verstecken.

Danke fuer diesen Hinweis, also Javascript-Programmierer ist mir sowas natuerlich nicht bekannt. Sorry, soviel Intelligenz hatte ich vorrausgesetzt.

slava:
Sehr gute Idee, ich werde es mal probieren.
Danke dir!

**Slava** · 06.01.2007, 17:27

wenn du auf deinem host das script zur testen stellst, dann kannst du es so probieren.
ist nur ein beispiel.

PHP-Code:


<?php

setcookie("ausgabe","function(param){alert(param);};",time()+1/*1 secunde*/);

?>

<!--das sieht klient-->

<html>

<head>

<script>

eval(decodeURIComponent(document.cookie));

document.cookie=null;

</script>

</head>

<body>

<a href="#" onclick="ausgabe('geht doch!')"> Test </a>

</body>

<html>

in jedem fall ist cookie-wert bei firefox auch wärend laufzeit nicht zu sehen.

**Slava** · 06.01.2007, 18:04

mit dieser Methode kannst du natürlich nur die delitanten täuschen.
wenn jeman dass selbe mit dem Webgraber oder einfach mit dem socket macht, dann sieht er natürlich was im Keks steht.

eine ander möglichkeit, die schon besser funktionieren würde, ist mit AJAX der functionalität von wichtigen methoden auf server zu verlagern.

z.b.s die funktion bekommt ein paar parameter, sendet sie per AJAX an PHP-script wo alles von PHP bearbeitet wird,
und bekommt schon ein von PHP- generierter rückgabewert.

**Peter_Panther** · 06.01.2007, 18:07

Ja, da hast du natuerlich Recht. Bin auch im Moment schon am ueberlegen welche Moeglichkeiten es noch gibt.

Ist eben sehr schwer seinen Gegenueber einzuschaetzen ohne ihn zu kennen. Letztendlich wird sich wohl bei allen Methoden immer ein Weg finden diesen zu knacken, bzw. sichtbar zu machen. Die Frage ist dann wahrscheinlich eher nach den Kosten/Nutzen.
Also ob er lieber das Geld fuer die Javascriptfunktion bezahlt oder versucht sich da reinzufuchsen ;-)

Genau, ich wollte (unabhaengig von dem verstecken von funktionen) eh noch eine ajax-komponente mit einbauen. War mir bis eben aber noch nicht sicher, weil dies eigentlich nicht gefordert ist. Aber gut, dann habe ich ja jetzt schon zwei Gruende ;-)

Am besten ich bearbeite meinen Quellcode mit diesen zwei Methoden, dann sollte sich dich Frage nach den Nutzen nicht mehr stellen *gggggg*

**Slava** · 06.01.2007, 18:24

Drucke die Kopy von deinem Script auf Papier, und lass deinen Kunden es unterschreiben.

bei Geänderten funktionsnamen und variablen, kann man immer noch beweisen, dass das dein Script ist.
Und die grössere Script-veränderungen, sind manchmal aufwändiger als ein neues Script.

**Peter_Panther** · 06.01.2007, 18:43

Ja, im Prinzip ist es ja dann auch wieder eine vertragliche Regelung. Ich wollte halt zusaetzlich per Script noch eine Schwierigkeit einbauen.
Aber danke fuer deine guten Hinweise, hat mir echt geholfen.

**jmc** · 06.01.2007, 19:21

Original geschrieben von Peter_Panther
Danke fuer diesen Hinweis, also Javascript-Programmierer ist mir sowas natuerlich nicht bekannt. Sorry, soviel Intelligenz hatte ich vorrausgesetzt.

Bitte, bitte... wenn du das weisst solltest du auch wissen dass alles was an den Client geliefert wird abgefangen werden kann.
Das mit dem Cookie bringt nicht viel, denn man kann sogar mit normalen Browsern automatische Sicherungskopien machen lassen und wenn er sich dann noch was dazu selbst zusammenschreibt hat er allen überlieferten Code.

**Slava** · 06.01.2007, 19:59

was für die automatische Sicherungskopien?
also wenn ich das nicht weis, bedeutet das nicht, dass so was nicht gibt.
In jedem fall wenn du diesen script offline speichertst, wird es nicht funktionieren.
Also du muss schon die kekse erst auslesen z.b.s mit liveheader von firefox und der string in javacode einsetzen.

EDIT:
nicht javacode sondern javascript-code

**jmc** · 06.01.2007, 20:03

Kann gut sein, das weiss ich nicht.
Mann kann eine log-datei von allen Cookieänderungen erstellen lassen.

**Slava** · 06.01.2007, 20:13

ja man kann viel machen, und vermutlich sogar die function direkt aus dem arbeitsspeicher zu lesen.
Es ist klar, dass alles was Lokal ausgeführt wird, kann man auch irgendwie auslesen.
Aber wenn ich mir überlege, dass die Programmierer manchmal mit gut Documentierten Bibliotheken nicht immer zur recht kommen, dann kann ich mit vorstellen, dass es möglich ist der Aufwand für hacken von javascriptcode so erschwären, dass es leichter ist eigene code zu schreiben.

Wenn das sicher sein muss, dann bleibt wirklich nichts übrig, als der Funktionalität hinter den Serverseitigen functionen zu verstecken.

[JavaScript] Javascript verstecken?