Segurança em Ajax

[Epyllion 0]

Bom dia.Estou começando a estudar Ajax agora e sempre leio frases, mais ou menos, desse tipo:

Quando programamos em Ajax devemos ter cuidado redobrado com a segurança, pois programando dessa forma podemos estar abrindo várias brechas de segurança !

Porém, não encontrei até agora nenhum artigo ou tutorial falando nisso (quais são essas brechas e os cuidados que devemos ter).E eu lhes pergunto:- Quais são essas brechas ? - Quais cuidados devemos ter ?- Qual o nível de insegurança do Ajax ?- Essas medidas de segurança são exclusivas do Ajax, ou são as medidas que devemos ter em qualquer programa, mesmo que não estivéssemos usando Ajax ?Muito obrigado. http://forum.imasters.com.br/public/style_emoticons/default/thumbsup.gif

[maniacs 0]

Pelo que ja observei eh o seguinte....logar usuario po ex:var result = ajax.responseTextif(result){ //usuario logado faça tal coisa .... } else { // erro ao logar não faça nada }o melhor eh deixar uma pagina de login no inicio da aplicao e depois carregar o js para cada tipo de usuariose não algum espertinho pode tirar essa variavel result e colcoar 'true' e se logar mesmo não sendo usuarioclaro que vai muito alem disso ... mais eh soh um exemploverificar usuario no servidor antes de mandar algo pro cliente eh sempre bom ;)flw

[micox 2]

Ótimo exemplo maniacs. Login via ajax é algo perigoso...Não tinha pensado nisso ainda. Ótima pergunta aliás...

[Epyllion 0]

maniacs, muito obrigado pela ajuda, me ajudou a esclarecer as coisas.

 

Acho que o ponto é esse :

 

O que pode ser processado no lado do usuário com Ajax e que não danifique o sistema.

 

Concordo com você, login em Ajax é perigoso, nesses casos acho que o melhor ainda, pelo menos para mim, é fazer o velho envia-processa-retorna.

 

Porém ao usar, por exemplo, em um sistema de produtos com categorias, ao invés de ter uma tela só para inserir a categoria, inserir a categoria na mesma tela com Ajax não mudaria muita coisa em relação à segurança, já que de qualquer forma, teríamos a mesma situação:

 

- Campo para inserir o nome no formulário;

- A linguagem dinâmica recebe os dados, trata os dados, insere no banco.

 

O importante nesse caso, é não ter erros no Ajax.

 

Qual a opinião de vocês ?

 

Pedi a opinião do meu amigo Fabyo e ele me disse mais ou menos isso também ...

 

 

Como disse, estou apenas iniciando nesse assunto e estou meio perdido ....

 

Vou continuar procurando mais referências e, caso encontre, posto aqui. http://forum.imasters.com.br/public/style_emoticons/default/thumbsup.gif

 

 

Abraços.

[maniacs 0]

a hora que axar algo interessante sobre o assunto da um toque aqui ...ja que estou montando um sistema em cima no ajax seria util pra min...mais 1 mes pra min acabar ... 1 mes acabei a base .... 1 mes de testes agora \o/

[rafa developer 0]

uma coisa eh fazer login por ajax, outra coisa eh fazer o ajax enviar um form pra uma pagina php e ela fazer o login, axo ki a segurança no caso de enviar pra uma apgina dinamica, nao muda em nada, pois quando nao usamos ajax, a pagina sera vista do mesmo jeito, e quando usamos, ela pdoe ser vista da mesma forma, a unica insegurança que deveriamos ter é o trafego das informações de login e senha (por exemplo no login).. no demais, a pagina dinamica que faz td, afinal nao teria diferença de velocidade alguma se a verificação é feita no ajax ou na pagina dinamica..

[micox 2]

Calma rafa, acho que você não entendeu.1) Acho que a segurança quanto ao TRÁFEGO das informações no AJAX não é diferente do procedimento normal. você acha que é? pra mim não2) O problema não é nem segurança no ajax propriarmente dito, mas sim no javascript e na manezagem de programadores que, ao efetuar um login, simplesmente retornam uma URL com a página restrita via ajax. Ou retornam um indicador de sucesso no login sem tomar outras providências na pág dinamica. Afinal, com sessions você resolve este problema de segurança.Té mais.

[rafa developer 0]

por parte concordo.. insegurança no TRAFEGO mas nao do ajax em si, e som do javascript.. mas me diga, como eu vou fazer um form efetuar login sem usar ajax, uma parte do meu sistema vai ser sem ajax? e como/pq alguem pode/quer burlar o meu script ajax podendo ver o trafego com os proprios dados dele?posso estar errado, mas minha concepção é que a segurança está nas funçoes que todos podem ver e axarem uma outra forma de fazer ela acontecer.. mas não creio que uma simples enviada de dados de um form para uma pagina.php vai abrir de segurança...como falei posso estar errado pois nao conhesso td sobre js mas eh o ki axo.. se tiver algo pra me explicar e abrir a mente obrigado. sempre eh bem vindo ;) hehee

[maniacs 0]

O problema que vejo eh:1º o ajax vai mandar seu usuario e senha como uma string ... ou seja ... eh possivel ver seu usuario e senha ... com form em post ele vai mandar codificado ... Verificar se logou por ajax n eh uma boa ... mais tenho uma solucão ... no index vericar se ta logado ... se n tiver manda pra pagina de login ... se logar ... verifica com ajax se logou ... e redireciona pro index denovo ... dai o index verifica secao denovo....

[rafa developer 0]

claro que pra verificar ajax nao eh bom, mas ajax enviar (em post) os dados pra uma pagina php fazer o processo ai sim.. na verdade a parte utilizavel do ajax (por mim) é somente a abertura de link e o envio de dados por form. outras rotinas sao inteiramente descartadas.. afinal pra ke fazer as outras coisas em ajax se a unica coisa que preciso eh que abra paginas em divs passando parametros...;Pflw []'s