Nano Hash - криптовалюты, майнинг, программирование

Может ли вход на стороне клиента быть безопасным?

Может ли вход на стороне клиента на какую-либо страницу, например. example.html, сделать безопасным с помощью хеширования и т. д.? Я спрашиваю в основном из любопытства, но могут быть некоторые варианты использования таких вещей, как CMS для страниц GitHub или любого произвольного бессерверного приложения, которое находится внутри браузера, но нуждается в способе аутентификации пользователя.

Например, если у вас есть файл x.txt, в котором хранится соленый хэш пароля, и вы сравниваете ввод пароля с ним, у вас будет неплохая безопасность сама по себе, если пароль достаточно сильный, конечно. Но поскольку какой-то чувак с плохими намерениями может просто удалить ваш JavaScript, это будет бесполезно, поскольку аутентификацию можно просто обойти.

Я подумал о том, чтобы сохранить файл cookie с хэшем пароля и отображать только сайты, на которых не требуется вход в систему. Если он необходим, просто отобразите его пустым. Опять же, js можно просто удалить, и поэтому он бесполезен.

javascript security login
26.09.2018

  • Стороной клиента всегда можно манипулировать, она никогда не будет на 100% безопасной 26.09.2018
  • @ Ник, ну, это очевидно, как я пояснил в своем вопросе. Мне интересно, как это можно сделать, а не наоборот :D 26.09.2018
  • Извини, приятель, это невозможно. Это также зависит от того, кто является вашей целевой аудиторией, класс, заполненный маленькими детьми, с меньшей вероятностью взломает скрытые страницы :). 26.09.2018
  • @Nick Я бы сказал, что класс, полный маленьких детей, - лучший способ взломать всю вашу систему, если вы не будете очень осторожны. ;) 26.09.2018
  • @Nick Класс, полный детей, действительно не взломает его, но он представляет другую угрозу для моей системы ^^ 26.09.2018

Ответы:


1

Но поскольку какой-то чувак с плохими намерениями может просто удалить ваш JavaScript, это будет бесполезно, поскольку аутентификацию можно просто обойти.

Точно. Если скрытая информация уже находится на клиенте, злоумышленник может программно обойти логику доступа к ней.

Чтобы исправить это, вам нужно будет хранить скрытую информацию на сервере, где для доступа к ней требуются определенные учетные данные.

Самый простой способ обойти это без размещения собственного сервера (AFAIK) — это аутентификация Firebase. Разместите свои скрытые данные в Firebase и используйте их аутентификацию (войдите с помощью Google).

26.09.2018

2

Хорошо, если вы знаете, кто кто такой (аутентификация), но в конечном итоге вы хотите выборочно запретить или разрешить доступ к определенной информации (авторизация). Если вы выполняете авторизацию на стороне клиента, сервер должен раскрыть всю информацию клиенту, а клиент выборочно решает, какую информацию показывать или скрывать. Хорошо, но информация уже есть на клиенте, и нет технической возможности запретить пользователю доступ к ней, даже если она находится «за кадром».

Таким образом, даже если чисто аутентификация на стороне клиента была возможна (это невозможно по тем же причинам), вы в конечном итоге потерпите неудачу при авторизации на стороне клиента в любом случае.

26.09.2018
Новые материалы
Кластеризация: более глубокий взгляд
Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..
Как написать эффективное резюме
Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..
Частный метод Python: улучшение инкапсуляции и безопасности
Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..
Как я автоматизирую тестирование с помощью Jest
Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..
Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)
Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..
Понимание расстояния Вассерштейна: мощная метрика в машинном обучении
В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..
Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot
В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..