Esconder corpo fonte?!

[Micilini Roll 49]

pessoa estes dias estava olhando meu website e vi que se formos no google chrome e clicar em exibir codigo fonte ele exibe :

 

 

todo codigo html -> ate ai tudo bem!

todo codigo javascript - ate ai fica complicado pode haver engenharia reversa e bla bla bla

codigo php nao apareçe graças !!!

 

como o codigo javascript esta dentro de um projeto php entao gostaria de saber como faz pra pelo menos esconder os comandos javascript ou talvez criptografa-los?! como faço isso?

[Enrico Pereira 299]

Isso não é possível, o browser precisa do código fonte para interpretá-lo.

 

Engenharia reversa em javascript? javascript não deve manipular coisas que precisam de confidencialidade.

 

O PHP não aparece pois é server-side.

[Dorian Neto 41]

Basta procurar no google :) Dei uma rápida procurada e achei esse link: http://www.lucaspeperaio.com.br/blog/como-ocultar-o-meu-codigo-javascript

 

Não li o artigo, então, sugiro que você leia :P

[cristianoolv 93]

Assim como o html, o javascript não tem o codigo protegido como o php, python, ruby etc...

Oque se pode fazer é ofuscar, mais eu penso que isso é bobeira, e gera muita coisa inutil.

 

olha o ex de um simples alert();

 

alert("Ola Mundo");

Ofuscado

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(c/a))+String.fromCharCode(c%a+161)};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\[\xa1-\xff]+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp(e(c),'g'),k[c])}}return p}('¡("¢ £");',3,3,'alert|Ola|Mundo'.split('|'),0,{}))

Olha o tanto de linha amais pra uma coisa totamente inutil.

[Dorian Neto 41]

Assim como o html, o javascript não tem o codigo protegido como o php, python, ruby etc...

Oque se pode fazer é ofuscar, mais eu penso que isso é bobeira, e gera muita coisa inutil.

 

olha o ex de um simples alert();

 

alert("Ola Mundo");

Ofuscado

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(c/a))+String.fromCharCode(c%a+161)};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\[\xa1-\xff]+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp(e(c),'g'),k[c])}}return p}('¡("¢ £");',3,3,'alert|Ola|Mundo'.split('|'),0,{}))

Olha o tanto de linha amais pra uma coisa totamente inutil.

Concordo, maaaaas, cada um faz o que quer e o que acha necessário :P Cabe a nós apenas auxiliá-lo e mostrar a melhor forma :)

[ESerra 744]

Qualquer firebug da vida acessa o código "escondido" sem dificuldade alguma.

[Enrico Pereira 299]

Na verdade, isso não é ofuscação, é apenas uma forma de complicar a leitura.

Se você tem coisas secretas no JavaScript, você tem um problema de segurança.

[cristianoolv 93]

Na verdade, isso não é ofuscação, é apenas uma forma de complicar a leitura.

 

Se você tem coisas secretas no JavaScript, você tem um problema de segurança.

Ate onde eu sei ofusca é complicar a leitura, mais se daquele jeito não serve, talvez esse sirva:

 

$=String.fromCharCode(+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[],+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[],+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[],+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[],+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]);(![]+[])[+[]][([![]]+{})[+!+[]+[+[]]]+([]+[]+{})[+!+[]]+([]+[]+[][[]])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+(!![]+[])[!+[]+!+[]]+([![]]+{})[+!+[]+[+[]]]+(!![]+[])[+[]]+([]+[]+{})[+!+[]]+(!![]+[])[+!+[]]][([![]]+{})[+!+[]+[+[]]]+([]+[]+{})[+!+[]]+([]+[]+[][[]])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+(!![]+[])[!+[]+!+[]]+([![]]+{})[+!+[]+[+[]]]+(!![]+[])[+[]]+([]+[]+{})[+!+[]]+(!![]+[])[+!+[]]]((![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+$[(+[])]+$[(+!+[])]+(![]+[]+[]+[]+{})[+!+[]+[]+[]+(!+[]+!+[]+!+[])]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(+{}+[]+[]+[]+[]+{})[+!+[]+[+[]]]+$[+!+[]+!+[]]+(!![]+[])[!+[]+!+[]]+([]+[]+[][[]])[+!+[]]+([]+[]+[][[]])[!+[]+!+[]]+([]+[]+{})[+!+[]]+$[(+!+[])]+$[+!+[]+!+[]+!+[]]+$[+!+[]+!+[]+!+[]+!+[]]+(+{}+[]+[]+[]+[]+{})[+!+[]+[+[]]])();

[Enrico Pereira 299]

De qualquer forma, ainda é possível monitorar conexões e etc.

 

E esse tipo de coisa pode afetar a performance seriamente.

[Micilini Roll 49]

Entendi pessoal é uma pena mesmo :( porque seguinte:

 

eu tenho um site todo interativo e se adequa para qualquer tipo de usuario internet discada entre outros,meu website para se adequar faz uma checagem pra ver se o usuario esta apto a rodar entao ele faz os seguintes testes:

 

 

1-suporte a javascript esta ativo?

2-suporte a cookies esta ativo?

3-suporte a flash esta ativo?

4-testa sua taxa de transferencia em kb/s ou mb/s levando a melhor forma de visualizar o site...

5- outros comandos vindos de onclick,mostrar divs ocultas....

 

 

Dai voce se sente meio nu ! porque tipo ai vc fala!

 

aaah ele ultiliza document.get pra pegar divs...aaaah entao é assim que este site faz o teste de conexao ne...legal vou copiar este codigo aqui e aplicar no meu site e bla bla bla

 

outra coisa muito importante e que no caso eu separei alguns projetos e depois juntei todos eles atraves do include e para eu nao me perder no inicio de todo projeto em php eu coloquei isso:

 

 

 

<!-- Comando Ler:

Nome = ler_rodape.php

Função = esta presente o rodape do site...

Data criação = 14/05/2013 ás 22:18 PM

Por = Micilini Roll

**** TODOS OS ARQUIVOS CONTIDOS NESTE PROJETO SAO DE PROPRIEDADE DO SITE BLABLABLA.COM ****

-->

 

 

eu nao imaginava que todo o texto que estivesse entre <!-- e --> nao iria apareçer....mas vamos lá se um cara entra no seu site e ve isso se for um hacker ele ja vai saber +/- qual arquivo atacar ja pensou se esta dessa forma:

 

 

 

<!-- Comando Ler:
Nome = ler_banco_de_dados.php
Função = esta presente os arquivos que fazem conexão com o banco de dados...
Data criação = 14/05/2013 ás 22:18 PM
Por = Micilini Roll
**** TODOS OS ARQUIVOS CONTIDOS NESTE PROJETO SAO DE PROPRIEDADE DO SITE BLABLABLA.COM ****
-->

 

imagina! meio caminho andado! ja sabe que o arquivo que faz conexão com o DB se chama ler_banco_de_dados.php

[Enrico Pereira 299]

Me desculpe a palavra feia, mas isso é babaquice.

 

Se você não quer ser copiado, vá morar em Marte, você não vai conseguir ficar à prova de balas. Ou você acha que os estúdios de Hollywood não criaram uma criptografia sensacional em seus filmes porque não quiseram? esse tipo de problema não tem uma solução.

 

Sobre esses comentários, sinceramente, se você colocou isso você precisa saber aprender a documentar código, comentar arquivos PHP usando HTML????? não estamos mais em 1995. Veja o PhpDoc: http://www.phpdoc.org/

 

E outro ponto, se você acha que não informando um nome de um arquivo o invasor não consegue achá-lo, é pura ingenuidade. A única forma de proteger os arquivos para que o invasor não tenha acesso e também não tenha conhecimento de que o arquivo existe é colocando os arquivos em pasta privada.

 

O post pode ter parecido agressivo, mas não me leve a mal.

[cristianoolv 93]

Me desculpe a palavra feia, mas isso é babaquice.

 

Se você não quer ser copiado, vá morar em Marte, você não vai conseguir ficar à prova de balas. Ou você acha que os estúdios de Hollywood não criaram uma criptografia sensacional em seus filmes porque não quiseram? esse tipo de problema não tem uma solução.

 

Sobre esses comentários, sinceramente, se você colocou isso você precisa saber aprender a documentar código, comentar arquivos PHP usando HTML????? não estamos mais em 1995. Veja o PhpDoc: http://www.phpdoc.org/

 

E outro ponto, se você acha que não informando um nome de um arquivo o invasor não consegue achá-lo, é pura ingenuidade. A única forma de proteger os arquivos para que o invasor não tenha acesso e também não tenha conhecimento de que o arquivo existe é colocando os arquivos em pasta privada.

 

O post pode ter parecido agressivo, mas não me leve a mal.

Agressivo nada.Assino em baixo !

 

A unica coisa que voce pode fazer é socá um copyright, e caso voce veja alguem usando o seu codigo registrado, podera enfia um processo, mas mesmo assim, não há muitas garantias...

 

Lei nº 9.609, de 19 de fevereiro de 1998 Obs: Nunca mexi com isso, caso esteja falando asneiras, perdão.

[Micilini Roll 49]

Entendi enrico! entao vamos lá entao a primeira coisa é tirar os <!-- --> do comando! eu modifiquei isso usando o

 

 

/*
bla bla bla
*/

 

ok outro pronto que me chamou a atenção foi:

 

 

A única forma de proteger os arquivos para que o invasor não tenha acesso e também não tenha conhecimento de que o arquivo existe é colocando os arquivos em pasta privada.

 

como assim? colocando .htaccess fazendo com que somente os arquivos do servidor tem acesso aquelas pastas? se nao me ajude por favor!

 

cristiano:

 

 

A unica coisa que voce pode fazer é socá um copyright,

 

ja "soquei" um copyright! mas nao em cada codigo! alto lár somente na marca e no website ! acho que nao precisa de copyright nos comandos nao uma vez que :

 

 

 

**** TODOS OS ARQUIVOS CONTIDOS NESTE PROJETO SAO DE PROPRIEDADE DO SITE BLABLABLA.COM ****

[cristianoolv 93]

**** TODOS OS ARQUIVOS CONTIDOS NESTE PROJETO SAO DE PROPRIEDADE DO SITE BLABLABLA.COM ****

 

Cabei de copiar seu Quote, e ai ?

[Micilini Roll 49]

Cabei de copiar seu Quote, e ai ?

 

 

ai que nao ira aconteçer nada rsrsr so poderia dar em alguma coisa caso voce fizesse isso daqui:

 

 

 

<!-- Comando Ler:

Nome = ler_rodape.php

Função = esta presente o rodape do site...

Data criação = 14/05/2013 ás 22:18 PM

Por = Micilini Roll

**** TODOS OS ARQUIVOS CONTIDOS NESTE PROJETO SAO DE PROPRIEDADE DO SITE BLABLABLA.COM ****

-->

//inclui comandos que eu mesmo fiz imagens que eu mesmo criei e bla bla bla

dai voce copia! e salva em seu pc! voce pode ate colocar online os codigos e as imagens,mas caso o criador do site percebe de alguma forma que voce esta usando os codigos dele sem permissão ou talvez fornecendo para terceiros daaaii voce fala denovo:

 

Cabei de copiar seu codigo fonte e ai ? - eae nada ue!

Cabei de copiar seu codigo fonte, e coloquei em meu site ou compartilhando e ai ? - eae nada ate que eu perceba que vc esta ultilizando sem permissão é ai que pode aconteçer alguma coisa pois como decretado: **** TODOS OS ARQUIVOS CONTIDOS NESTE PROJETO SAO DE PROPRIEDADE DO SITE BLABLABLA.COM ****

 

e como dito anteriormente-> tem-se copyright de marca de website e do website então faz se um escolha livre do autor se estivesse desta forma:

 

 

**** TODOS OS ARQUIVOS CONTIDOS NESTE PROJETO SAO DE PROPRIEDADE DO SITE BLABLABLA.COM e nao podem ser usados sem a permissão do mesmo ****

 

nao poderia pegar! pegar ate pode...digamos assim igual na escola/faculdade.. é proibido "colar"? nao! colar ate pode so que se alguem pegar vai dar me*** entendeu?

[Enrico Pereira 299]

Isso não tem solução e provavelmente nunca vai ter, é tão difícil e improvável quanto alcançar a paz no oriente médio.....

 

Em relação à ocultar arquivos, não, não falo sobre bloquear, mas sim sobre ocultar, que é melhor. A forma de fazer isso é criando um front controller (index.php) onde todas as requisições serão direcionadas e colocar os arquivos php em um nível abaixo, deixando inacessível. Inclusive em um post aqui no fórum eu coloquei como fazer isso, só não me lembro agora.

[Micilini Roll 49]

entendi enrico! poxa que pena! :( caso voce se lembrar me mande pois estou super interessado!

[Williams Duarte 431]

Rapaz hoje em dia quem quer uma linha de código em javascript vai no google e acha da mesma forma que você achou, deixa de paranóia.

[Micilini Roll 49]

eu sei disso WDuarte alguns eu peguei outros tive que pensar e construir..mas estou falando o seguinte: observe os exemplos:

 

 

a ) Você vai na fabrica da Intel dai vc vê detalhadamente como os processadores são feitos ou seja, adicione carbono(923g)+metal(755kg) pegue uma chapa de ferro e despeje a solução junto com mercurio! e bla bla bla..pronto sao assim que sao feitos os processadores! :)

 

 

b ) voce abre o site da google coloca em exibir codigo fonte e exibe detalhadamente todos os codigos php js css e vc descobre como o motor de busca é tãão poderoso

 

 

c ) Voce vai na fabrica da coca-cola e descobre detalhadamente desde sua produção ate sua embalagem sabendo ate a formula

 

 

nao que esses codigos javascript seja assim mas.... como eu disse vc praticamente que se sente meio nu entende....

[Enrico Pereira 299]

Foi aqui, na parte de "visibilidade de arquivos": http://forum.imasters.com.br/topic/495952-como-ser-hackeado-no-php/#entry1969175

 

Colocando somente aquela parte aqui:

 

 

 

 

Visibilidade de arquivos

Outro ponto que muitos fazem e é inseguro: colocar tudo na pasta pública (public_html, public, www, htdocs, etc. dependendo do servidor), esses arquivos ficarão visíveis ou você vai bloquear de alguma forma, mas neste caso o invasor pensará que algum arquivo existe ali e ele acabou de obter uma informação que não deveria.

Dica: coloque apenas o index.php e os arquivos estáticos, classes e outros arquivos devem ficar uma pasta abaixo. Em cPanel (que é bem comum de se usar) ficaria assim:

 

pastadousuario/ (a pasta home do cPanel)
          /projeto
                ... (aqui vão os arquivos internos de PHP e todo o resto que não é para o usuário meter a pata, note que está fora da pasta pública)
          public_html/
                img/
                css/
                js/
                videos/
                index.php
                ... (se não puder usar .httpd.conf, use um .htaccess para fazer as urls amigáveis, cache e o que for necessário)
          ... (outras pastas do servidor

 

Mas lembre-se que isso é segurança back-end.

 

Se ainda continua confuso esse esquema, tente ver uma imagem: