Nascondere js

[Alki]

Ciao a tutti,
sto creando un sito in PHP + AJAX .
Nell'index.php includo il file javascript
<script type='text/javascript' src='./ajax.js'></script>

Ho notato però che il file 'ajax.js' è visibile agli utenti,
ovvero se un utente spulcia il codice HTML dell'index del sito,vede che il codice richiama un file JS di nome 'ajax.js' .

Inoltre , se direttamente dall URL del browser l'utente inserisce la path richiamando il file ajax.js il file compare in chiaro ed è quindi possibile andare a vedere tutte le funzioni di questo JS (Interrogazioni a DB.. richiami di ulteriori script PHP etc...)

é possibile fare in modo che l'utente non sia in grado di vedere quale script JS venga richiamato?

Una soluzione palese per non far scaricare il file ajax.js sarebbe quella di restringere i diritti al file ajax.js in modo tale che solo i processi residenti sul server possano andare a leggerlo...

ma non esiste una soluzione alternativa in modo tale da nascondere proprio il nome del file .js?

(guardando il codice del servizio E-MAIL del piu grande motore di ricerca , è possibile notare che in qualche modo è stato nascosto il richiamo a script JS esterni..ma sinceramente non so come abbiano fatto..)

[iraiscoming223]

non sono un esperto ma vado per intuito e logica: quando un utente chiede una pagina html tutto il codice, immagini comprese, vengono salvate (se pur temporaneamente) sul computer per essere visualizzate. Nel codice c'è anche la tua chiamata allo script, quindi per forza di cose l'utente vedrà anche il nome del file. Restringere l'accesso al file cambiando i permessi sarebbe una cosa piuttosto inutile e dannosa, perchè in questo modo pregiudicheresti anche al browser di riuscire a leggere quel file (che lo chieda il browser nel codice o l'utente dalla barra degli indirizzi la richiesta arriva sempre dall'esterno).
Conosco poco js ma so che c'è un modo per "offuscare" il codice (notare le virgolette, l' "offuscamento" è relativamente facile da riportare al codice naturale).. altre soluzioni non me ne vengono in mente...
Per quanto riguarda gmail (penso intendessi quello) io il codice js lo vedo... Eccome se lo vedo! O.O

[andr3a]

non è nascondendo il codice che ci si protegge dai possibili attacchi (Windows docet, Linux rulez ) e non è possibile nascondere il JS perchè il browser, come ti hanno detto, deve poterlo leggere o non potrà utilizzarlo.

Il browser, è qualunque client, quindi qualunque persona.

Prima di fare un sito con Ajax, che sta diventando un pò una mania, uno sviluppatore dovrebbe:

• conoscere bene un linguaggio server-side
• conoscere ancora meglio cosa fare con tale lunguaggio per evitare attacchi e/o problemi tipici delle interazioni web

Una volta possedute almeno queste due conoscenze (la conoscenza del JavaScript è addirittura ininfluente, vedi GWT per sviluppatori Java), non si corre alcun pericolo se chiunque possa leggere le chiamate al server, perchè altro non saranno che semplicissime interazioni (richieste) GET o POST, come da sempre le pagine web, fanno.

Per approfondire bad-practices o i soliti pericoli annessi al web (non ad Ajax), per il linguaggio PHP, ti consiglio di dare una letta a questa guida: http://php.html.it/guide/leggi/121/g...urezza-di-php/