Podczas badania recient PCI biegły stwierdził, że mieliśmy poważne zagrożenia dla bezpieczeństwa, ponieważKomentarze w języku JavaScript to zagrożenie bezpieczeństwa?
- można było pobrać zasoby statyczne z naszej strony takie jak obrazy CSS i JavaScript bez uprzedniej autoryzacji.
- Nasz javascript zawierał komentarze.
Osobiście uważam, że nie stanowi to zagrożenia dla bezpieczeństwa. Obrazy css i javascript nie zostały utworzone dynamicznie i nie zawierały danych na temat naszego zaplecza, szczegółów naszych klientów i mechanizmów.
Komentarze w javascript po prostu wyjaśniały, co zrobiły metody w pliku javascript. Którykolwiek, kto czyta JS, mógł i tak się dowiedzieć.
Jak to pokazuje "information leakage"?
Czy komentarze w javascript naprawdę stanowią zagrożenie dla bezpieczeństwa?
Pierwszy punkt to ryzyko bezpieczeństwa, ale nie nazwałbym go poważnym. Uwagi na temat JavaScript z drugiej strony, ryzyko bezpieczeństwa? To mnie naprawdę rozśmieszyło. Nie jest optymalna, to na pewno, ale nie stanowi zagrożenia dla bezpieczeństwa. Śmiało i użyj http://developer.yahoo.com/yui/compressor/ Usunie komentarze i wszystkie niepotrzebne białe spacje. – AlexanderMP
Ważną kwestią jest to, czy komentarze zawierają coś NIE wywnioskowane z samego kodu? Podobnie jak sposób organizacji wewnętrznych serwerów (każda uwaga na osobnym serwerze bazy danych, nazwa serwera lub coś podobnego) może stanowić zagrożenie bezpieczeństwa. Z drugiej strony, podobnie jak sam kod, jeśli pozwala wyciągnąć takie wnioski. – falstro
@roe: takie jak to? =) http://thedailywtf.com/Articles/Client-side_PHP.aspx –