Защита кода Javascript в расширении FF

Question

Я пытаюсь защитить код моего расширения Firefox, потому что в нем есть запросы к серверу, чтобы не было угрозы безопасности, если бы кто-то мог сделать их вне расширения. Любые предложения о том, как его зашифровать?

Answer 1

Это в принципе невозможно. Вы хотите передать исполняемый код ненадежному клиенту, у которого есть «секретные» вызовы, но не дать клиенту узнать секреты? Как же тогда выполнить код?

В какой-то момент он должен быть расшифрован. Это означает, что у клиента есть все, что ему нужно для расшифровки, это означает, что пользователь может сделать это и создать вредоносную версию вашего расширения.

Единственный выбор, который у вас есть, - изменить дизайн так, чтобы уязвимые службы не были публично представлены.

Answer 2

Если это будет выполнено на стороне клиента, без надежного секрета, то, в основном, у вас определенно есть уязвимость безопасности.

Трудно предложить способы обойти это, не зная немного больше о вашем расширении. Очевидным предложением было бы запросить имя пользователя / пароль, пройти аутентификацию (через HTTPS) на сервере и получить токен с ограничением по времени, а затем представить этот токен с помощью «хитрого» запроса. Это не остановит никого с правильным именем пользователя и паролем, хотя ...

Answer 3

Вы можете использовать xauth, который является вариантом OAuth, предназначенным для решения этого типа проблемы. Твиттер использует xauth: http://dev.twitter.com/pages/xauth

Кроме того, вы можете запутать свой код Javascript или даже написать его на C (как плагин NPAPI).