Como podemos esconder dados JSON de ferramentas como ferramentas de desenvolvimento Chrome e Firebug, etc., como uma segurança além de 'https'?
Efforts para ocultar dados JSON ou XML que são usados pelo cliente é bastante inútil, afinal, depurar seus javascripts ou tecnologias similares é fácil no lado do cliente. ainda assim você pode facilmente proteger seus dados de aplicação de usuários maliciosos usando poucos princípios simples:
1. use um token de segurança nos serviços web e um método seguro para obter esses tokens (mínimo de usuário/senha).
sandbox todas as operações para o contexto desse token de segurança (usuário). identifique usuários apenas com o token e não com os dados internos do json que podem ser falsificados. todas as operações devem ter um contexto estritamente limitado no lado do servidor que impeça o acesso aos dados que não são permitidos pelo usuário.
2. implementar todos os serviços internos para incluir os parâmetros contextuais, por exemplo, incluir o token de usuário ou user id em todos os apis e usá-los dentro dos serviços para fazer chamadas de acesso aos dados com esse filtro (por exemplo, use userid nas chamadas de acesso db certifique-se de que o modelo de dados inclua esses filtros nas fontes de dados relevantes.
2. nunca confie na informação que vem do cliente para as partes mais sensíveis do seu aplicativo, e construa um mecanismo de verificação para garantir que ela não seja alterada. Coisas como pagamentos requerem dupla verificação, tanto no lado do cliente quanto no lado do servidor (por exemplo, verifique no lado do servidor que o pagamento paypal está realmente completo).
3. evite manter senhas em texto claro no lado do servidor e enviar senhas para o cliente, ao invés disso, use criptografia de uma maneira como MD5 e verifique as senhas contra o hash MD5, isto é verdade para os tokens do cliente emitidos para os clientes também, não é necessário mantê-los no db, apenas seus hashes.
Há mais, mas it's é um começo...
Again, arquitetura web não é construída para proteger o protocolo cliente servidor mais do que a criptografia entre os dois, o resto é trabalho em nível de aplicativo.
Artigos semelhantes
- Posso modificar o código fonte de um servidor web através de ferramentas de desenvolvimento chrome?
- O que acontece durante uma massagem de mesa de duche? https://buzzsocio.com/table-shower-all-you-need-to-know/
- Como enviar detalhes de uma pessoa e várias imagens via JSON no Android
- O que é um chatbot online com APIs RESTful completamente grátis (algo como https://www.cleverbot.com/api)?