Obfuscator pro javascript

[Nemo7]

Jde vidět, že pánové jsou experti...  ne, fakt, proč je i v roce 2016 některými JavaScript vnímán jako "něco horšího", i když je to asi milionkrát vyvráceno?

Nepředvádíte náhodou "Podsunutý argument"? Nikde jsem nepsal/nepsali, že JS je něco horšího. S kolegou jsme psali, že JS na straně klienta v prohlížeči nemá zrovna cenu nějak zvlášť chránit. Já se dál "řečnicky" ptal, co za cenný algoritmus se v prohlížeči na straně klienta může skrývat. Revoluční kontrola formuláře bez odeslání na server?

Podsunutý argument (straw man)
Podstatou klamu je najít velmi slabý až hloupý argument, který by mohla zastávat protistrana (ale zpravidla jej nezastává). Ten demonstrativně rozcupovat na cucky a budit při tom zdání, že se všemi argumenty protistrany se lze takto snadno vypořádat.

[Reklama]

[Cikáda]

Ne, nepředvádím, reagoval jsem na pejorativní vyznění vašich příspěvků. Pakliže to bylo myšleno pouze na klientskou část, tak pak dejme tomu ( i když i na frontendu lze "obšlahnout" pěkné a elegantní řešení). A to že tomu nejde zabránit neznamená, že to nemá cenu, ale ano, souhlasím, to hlavní bývá ve vámi uvedených případech na serveru (který úplně stejně dobře může také běžet na JS - tedy zde už by mohl být něčím, co má cenu chránit).

Ale jak říkám, pokud jste to myslel/i pouze na klienta, tak ok, beru. 

[brendan]

Já se dál "řečnicky" ptal, co za cenný algoritmus se v prohlížeči na straně klienta může skrývat. Revoluční kontrola formuláře bez odeslání na server?

To autor nenapsal, ale kazdopadne lze provozovat single page web aplikaci, kde mate pouze index.html a celou logiku napsanou v JS a tedy v prohlizeci, stranky se generuji dynamicky. Klidne celou MVC aplikaci. Server pak servuje pouze data (treba pres REST) a ne stranky. V tom pripade samozrejme nejake algoritmy venku jsou a mozna by je chtel chranit ale je to prinicipialne nemozne protoze at je zdrojak jakkoli zamotanej porad to je jen program, ktery compiler browseru rozbali do neceho univerzalnejsiho. Volame to Abstract Syntax Tree. A tam sebelepe obfuskovanej alogoritmus se predvede v sve prostote a nahote rovnou jako vyvojovej diagram

Muzete se s tim pohrat i online treba tady http://resources.jointjs.com/demos/javascript-ast .

[McFly]

Na obfuskaci javascriptu bych si dal pozor. Když jsem pro jeden svůj web takhle znepřehlednil javascript, za pár dnů byl můj web veden jako infikovaný nějaký bordelem (i když nebyl) - zřejmě byl ten obfuskátor v minulosti použit pro znepřehlednění nějakého nebezpečného kódu. A výsledný skript na mém serveru jevil stejné patterny, takže byl můj skript podezřelý...

[Nemo7]

To autor nenapsal, ale kazdopadne lze provozovat single page web aplikaci, kde mate pouze index.html a celou logiku napsanou v JS a tedy v prohlizeci, stranky se generuji dynamicky. Klidne celou MVC aplikaci. Server pak servuje pouze data (treba pres REST) a ne stranky.

OK, ale většinou ta posílaná a zpracovaná data ze serveru bývají cennější než klientské ovládání aplikace. Navíc na serveru bude probíhat i logika aplikace. Nevadí, že se to děje přes REST, prostě na server se pošle nějaký vstup a získá se nějaký výstup (analogie nějaké přilinkované aplikační knihovny ke GUI). Na klientském JS zase zbude jenom klientské ovládání a v tomto případě i kompletní prezentace (oproti tomu, když to "předpřipraví" server v HTML). Pořád ale platí - co chci skrýt, nechám probíhat na serveru. A bez serveru je celá aplikace k ničemu.

[Reklama]

[brendan]

A bez serveru je celá aplikace k ničemu.

Mozna je to Doom 5 v javascriptu ! 

[to_je_jedno]

to hlavní bývá ve vámi uvedených případech na serveru (který úplně stejně dobře může také běžet na JS - tedy zde už by mohl být něčím, co má cenu chránit).

No, ale pokud mam nejakou takovou cennou aplikaci tak prece nebudu zabezpeceni na serveru resit obfuskaci. Na to jsou uplne jine postupy.

[Cikáda]

to hlavní bývá ve vámi uvedených případech na serveru (který úplně stejně dobře může také běžet na JS - tedy zde už by mohl být něčím, co má cenu chránit).

No, ale pokud mam nejakou takovou cennou aplikaci tak prece nebudu zabezpeceni na serveru resit obfuskaci. Na to jsou uplne jine postupy.

Nemám pocit, že bych někde psal něco o tom, že bych to "řešil obfuskací". 

[JSH]

Nemám pocit, že bych někde psal něco o tom, že bych to "řešil obfuskací". 

Tak už to holt dopadá, když v dotazu chybí důležité věci a lidi si je domýšlejí.

Chybí odpověď na otázku "Proč?".

[ntpt]

A bez serveru je celá aplikace k ničemu.

Mozna je to Doom 5 v javascriptu ! 

Když už je v Javascriptu napsaný i emulátor x86, na kterým nabootuje linux (sic !) tak proč ne .o) http://bellard.org/jslinux/

[Petko.Kotov]

Google Closure Compiler

[JardaP .]

Když už je v Javascriptu napsaný i emulátor x86, na kterým nabootuje linux (sic !) tak proč ne .o) http://bellard.org/jslinux/

Uzasne! Bogomips vychazi jen 26x pomalejsi. To vola po serverovem nasazeni.

[Kit]

Když už je v Javascriptu napsaný i emulátor x86, na kterým nabootuje linux (sic !) tak proč ne .o) http://bellard.org/jslinux/

Uzasne! Bogomips vychazi jen 26x pomalejsi. To vola po serverovem nasazeni.

Třeba v něm poběží i emulátor x86 napsaný v Javascriptu a kruh se tím uzavře.

[JardaP .]

Třeba v něm poběží i emulátor x86 napsaný v Javascriptu a kruh se tím uzavře.

Pokud naopak nedojde k nekonecne rekuzri...

[noef]

V (de)obfuscaci se moc nevyznam, ale neni neco podobneho pro JS, jako v oblasti her? Tj. ze ochrana si v podstate provozuje vlastni VM, ktere se nahodne modifikuje a ze servru ziskava kusy kodu, ktery desifruje, zakomponuje a pousti na tom virtualnim stroji?