Beskyttelse af Javascripts via ASP

MegetHemmeligVariabel=\'damn shit.. du fandt mig (9514)\'

var det den vi ikke mådte finde???

/ZIRON

for at finde den hoppede jeg bare lige ind på filen script.asp...

prøv at vis os din kode for de to sider???

/ZIRON

lol...det er da så let at finde så det er uhygeligt...

ziron>> hmm jeg ku ellers ik finde noget

damn, det var hurtigt :), hvilken browser bruger du?

Den er
MegetHemmeligVariabel=\'damn shit.. du fandt mig (9514)\'

Internet Explorer

IE hehe...

/ZIRON

du kan ikke gemme Javascript for brugeren...det er client-side....

det regnede jeg også med, men hvordan gør i? sådan step by step :)

du går op der hvor du kan skrive en sti på en side og så skriver du bare:

http://www22.brinkster.com/knto2104/script.asp

/ZIRON

ab > Går ind på http://www22.brinkster.com/knto2104/default.asp så ændrer jeg default.asp til script.asp den skriver så:

document.write (\'Du har forsøgt adgang til script.asp gennem default.asp - Adgang OK\');MegetHemmeligVariabel=\'damn shit.. du fandt mig (9514)\';


Meget simpelt

ab > Må jeg prøve og se hva din script.asp indeholder

hmm, det er noget med cache\'en så. For på min maskine får jeg det nemlig ikke...

bjark-b >> hmm så har du da slået javascript fra eller sådan noget for jeg kan ikke

space >> Nej, det har jeg ikke........Tror det er fejl i hans asp kode....for det er forskelligt hvergang jeg går ind på siden om jeg kan se det.

Må jeg se din kode ab ?

Default.asp:
<%
Session(\"JavascriptDwnl\")=true
%>

<html><head></head><body>
<SCRIPT LANGUAGE=\"JavaScript\" TYPE=\"text/javascript\" src=\"script.asp\"></SCRIPT>

<noscript>
<div style=\"position: absolute; left: -10px; top: -10px;\"><img src=\"script.asp?ns=1\" width=\"1\" height=\"1\"></div>
</noscript>
</body>
</html>

script.asp:
<%
response.buffer=true
response.addHeader \"pragma\", \"no-cache\"
response.addHeader \"cache-control\", \"private\"
response.cachecontrol = \"no-cache\"

If Session(\"JavaScriptDwnl\")=true AND request.querystring(\"ns\")<>1 Then
    response.write \"document.write (\'Du har forsøgt adgang til script.asp gennem default.asp - Adgang OK\');\"
    response.write \"MegetHemmeligVariabel=\'damn shit.. du fandt mig (9514)\';\"
Else
    response.write \" arhh, skulle vi nu ikke lige stoppe her... Adgang IKKE ok.\"
End If

session(\"JavaScriptDwnl\")=false

%>

så prøv at smide det ind i asp så den ikke cacher...

ab >> prøv at gå ind på siden og opdater med ctrl + f5

/ZIRON

hmm

jeg får hele tiden
arhh, skulle vi nu ikke lige stoppe her... Adgang IKKE ok.
i ie 5.5

<%
response.buffer=true
response.addHeader \"pragma\", \"no-cache\"
response.addHeader \"cache-control\", \"private\"
response.cachecontrol = \"no-cache\"

if Request.ServerVariables(\"SCRIPT_NAME\") = \"\\script.asp\" then
Response.Write \"Fuck af du har ikke adgang\"
else
Response.Write \"Du har adgang\"
end if
%>

ligegyldig hvordan jeg opdaterer på min får jeg ikke vist koden, Det skulle session-variablen gerne forhindre.

ab > brug min kode, den er mere sikker

ok, det ser smart ud bjarke, men ServerVariabler - er det ikke dem man bare kan manipulere med Telnet eller lignende?

det gør den også og det er fordi mig & bjarke er kommer ind gennem default.asp og har fået session = true...
men det virker....

/ZIRON

ab > Nej, det er det nu ikke ;-) Ikke så vidt jeg ved........den kode er totalt uskadelig

ja, i får session true, men så snart scriptet bliver hentet bliver den sat til false. Og hvis I ikke har javascript sørger Noscript for at sætte session til false.

ab >> den var jeg ikke helt med på, men jeg vil sige at det er derfor...

/ZIRON

Jeg prøver lige at lave den udgave du viste før bjarke.

Jeg ved bare at servervariablen HTTP_REFERER kan manipuleres i Telnet, men umiddelbart lyder det fornuftigt hvis SCRIPT_NAME ikke kan ændres :)

Scriptet i Script.asp sætter session til false. Script.asp bliver hentet i default.asp ligegyldig om man har scriptunderstøttelse eller ej, så den skulle kun være åben det øjeblik man går ind på siden.

Bjarke-b >> Din løsning virker desværre ikke. Scriptnavnet vil altid være script.asp - om det bliver kaldt fra default.asp eller for sig selv.

ab > Nå, ja...upz havde lige glemt du kaldte den via script src

ab >> jeg vil nu stadig sige det er godt som det er...

/ZIRON

jeg vil bare gerne vide hvordan i får fat i variablen.

For jeg kan sku ikke

oki, tak! Det fungerer nogenlunde - og vil nok holde de fleste fra indholdet, med mindre de er smarte som jer :), eller har en browser der cache\'r weird. I teorien burde indholdet jo være udløbet og filen bliver da heller ikke gemt i temp. mappen.

du går ind på default først og så script og gruden til at du kan det er at du på defualt få en session som du bruger på script siden....

/ZIRON

Det virker ikke hos mig! Jeg skal først ind på script.asp - herefter default.asp, hvorefter jeg med tilbageknappen får scriptet at se :( - hvis jeg hopper direkte fra default.asp til script.asp ved at skrive det i adresselinien får jeg rigtig nok vist at jeg ikke har lov til at se siden

det gør jeg altså ikke, men det virker jo som det skal ik....

/ZIRON

ahh nu fik jeg den også

Tak for hjælpen! Selvom det er lidt deprimerende med svar efter 2 min. - vel at mærke med det der skulle have været skjult :).
Jeg regnede heller ikke med at kunne beskytte 100%. Konklusionen er at hukommelsescachen spiller os et pus - filmæssigt er den ok.
Så vidt jeg kan se er scriptet velegnet til at beskytte mod at der laves falske form-felter - Her bruges normalt tjekket med HTTP_REFERER, som ikke er sikkert - I lige præcis den sammenhæng tror jeg min kode er lidt stærkere (men sikkert ikke ubrydelig :))