Att gömma VB-script inuti ASP

[Makarena]

Hej,

Det är väl allmänt känt att ASP-koden syns inte av användaren, utan bara html-koderna.

Men VB-scriptet ser de ändå.

Nu har jag hört att man kan skriva om VB så att det blir "ASP-vänligt" och kan bakas in i ASP för att klienten inte ska se det...

Är detta möjligt ?

Tack

[Thomas Tydal]

Den kod som utförs på servern (dvs ASP) utförs ju där och skickas därför aldrig till användaren, så det är av den anledningen den inte syns.

 

Den kod som ska utföras hos användaren (klienten) måste naturligtvis skickas till användaren för att den ska kunna utföras där, och då syns den. Det går inte att komma runt.

 

 

[xYz]

Script på både server sidan och klient sidan kan "krypteras" med Scripting Encoder:

http://msdn.microsoft.com/downloads/default.asp?url=/downloads/topic.asp?url=/msdn-files/028/001/175/topic.xml

 

Men observera att om du krypterar script på klient sidan med Scripting Encoder så kommer det bara att fungera i Internet Explorer.

 

 

 

[Makarena]

Men jag hört talas om "server-anpassade" och "klient-anpassade" script!

Det kanske inte heter så, men att man kan välja vilket som?

 

 

[xYz]

Välja vilket som kan man inte direkt göra, det beror ju på vad man vill göra.

 

Serverscript körs på serversidan, klientscript körs på klienten ( i din browser ), båda har sina begränsningar.

 

Sedan finns det en sorts blandning ochså som heter remote scripting som även det bara funkar i IE.

 

 

 

 

 

[Thomas Tydal]

Notera att anledningen till att "krypteras" står inom citationstecken är att det givetvis inte är frågan om någon kryptering. Skriptet kodas istället enligt samma princip som man använde när man var liten och ville skicka hemliga meddelanden till sina kompisar. Dvs, istället för a skriver man d och istället för b tar man u (exempelvis) så man får ett "hemligt" alfabet. Microsofts metod är visserligen lite mer sofistikerad, men bara lite.

 

Läs mer här ("Kryptering" av ASP-kod):

http://www.tydal.nu/se/security/getText.phtml?issue004

 

 

[Mr Andersson]

ASP är en teknik, VB-script är det språk som oftast används i ASP.

 

Det finns två varianter av VB-script, Server- och client-side. Det enda som skiljer är de har tillgång till olika objekt.

 

Server-side script kör på servern och skickas inte till klienten och client-side script skickas till clienten och körs där, på exakt samma sätt som javascript.

 

[Makarena]

Server-side...

Innebär det att då att klienten inte ser scriptet alls?

Blir det samma effekt och prestation som annars?

Hur skriver man det då?

Tack

 

[Thomas Tydal]

Ja, om du kör det på servern så ser ju inte klienten något av det, men då kan du ju å andra sidan inte göra något med klienten heller.

 

Det som styr om du ska köra skript på servern eller hos klienten är ju alltså var du vill att det ska hända saker.

 

Vill du plocka fram saker ur en databas på servern och skapa ett html-dokument av det, då gör du ju det på servern.

 

Vill du öppna ett nytt webbläsarfönster hos användaren så måste du ju göra det hos användaren. Inte så stor poäng med att göra det på servern.

 

Asp körs på servern.

Javaskript körs hos klienten.

 

VB-skript kan du använda både hos klienten (om klienten har IE) och på servern (om servern har asp), men kör du det på servern kan du inte göra saker hos användaren (klienten) och tvärtom.

 

Serverskript skriver du inom <% och %> och klientskript inom <script type="text/javascript"> (exempelvis).

 

Skript som körs på servern syns inte hos användaren. Skript som körs hos användaren kan ses av användaren.

 

 

[Makarena]

Ok, jag förstår.

Men om jag frågar så här :

Hur skulle DU göra om du ville köra ett script på klienten, men du ville skydda den ändå från att bli kopierat?

 

 

[Thomas Tydal]

> Hur skulle DU göra om du ville köra

> ett script på klienten, men du ville

> skydda den ändå från att bli kopierat?

 

Svår fråga, för jag vill inte det eftersom jag vet att det inte går. Men om jag nu verkligen ville... tja, då skulle jag ju få tänka om och försöka hitta ett annat sätt att lösa. Antingen genom att göra det på något annat sätt än med skript eller göra så det inte gör något att folk kan se det.

 

För att kunna komma med förslag på hur du ska göra måste jag veta mer om omständigheterna kring din uppgift.

 

Vad är det du vill skriptet ska göra, och varför är det så viktigt att andra inte ska kunna se vad det gör?

 

 

[Magnus Ahlkvist]

Jag skulle använda Remote Scripting om jag absolut ansåg det vara nödvändigt att dölja logiken från användaren. Men Remote Scripting fungerar bara i IE, är en säkerhetsrisk och är långsamt, eftersom du får en roundtrip till servern varje gång något ska utföras.

 

--

En röst talade till mig och sade:

"Le och var glad, ty det kunde vara värre".

Så jag log, och jag var glad.

Och det blev värre.

 

[Mr Andersson]

Går inte. Kan webläsaren läsa filen så kan en människa göra det också.

 

 

[xYz]

Jag tror bestämt alla missade mitt inlägg tidigare idag i denna tråd.

 

Går alldeles utmärkt att "gömma" script med scripting encoder men som så många andra finurliga tekniker funkar det bara i Internet Explorer.

 

 

 

[Mr Andersson]

Och som Tydal svarade på ditt tidigare inlägg så är det inte mycket till kryptering. Det gömmer visserligen scriptet för min mormor...

 

[xYz]

Jasså, så det var därför du svarade att den inte gick, vilket är fel ?

 

Nja, tror inte det är riktigt så lätt att komma förbi den kodningen men det är iallfall rätt svar på frågan, inte att det inte går som du gärna vill säga.

 

Det är inte så att kunskaperna tryter på vissa områden ? Tycker mig se en hel del stapplande i dina svar som det om PHP i ASP nyss.

 

 

 

[Mr Andersson]

Om webläsaren kan läsa koden, innebär det att det finns en funktion i webläsaren (i detta fall MSIE) för dekoda. Den funktionen är inte alltför svår att låta ett annat program använda och på det sättet komma runt "kodningen". Dessutom skulle jag gissa att den ligger inbyggd i OSet och kanske tom är dokumenterad.

 

Vill man åt "kodningen" så är det inga problem. Mitt svar "Går inte" grundar sig på att kodningen är så dålig att man inte tjänar så mycket på att använda den. Men, svaret är egentligen fel, precis som du säger.

 

Vad det gället PHP i ASP så förstår jag inte varför det inte skulle gå? Du kan tillverka ett eget scriptspråk och få det att fungera i ASP helt utan problem.

(jag påstår inte att det är lätt att göra det, men det GÅR)

 

Det är inte så att kunskaperna tryter på vissa områden ?

 

Jo. Kultur och litteratur vet jag inte ett smack om.

 

 

 

 

 

[inlägget ändrat 2002-05-26 23:27:09 av Mr Andersson]

[inlägget ändrat 2002-05-26 23:28:55 av Mr Andersson]

[Thomas Tydal]

> Nja, tror inte det är riktigt så lätt

> att komma förbi den kodningen

 

Men det är det. Korsorden i Hemmets Veckotidning är svårare.

 

Den har ingen som helst säkerhet och de enda du kan "gömma" skriptet för är de som inte är intresserade av att se det.

 

Testa gärna själv. Det är nyttig träning.

 

 

[Thomas Tydal]

> men som så många andra finurliga

> tekniker

 

Finurlig... Det där är nåt de har supit ihop på en personalfest.

 

 

[Mr Andersson]

Håller med.

 

Alla vet väl att säkerhet inte är MS starka sida...?

 

[Thomas Tydal]

> Mitt svar "Går inte" grundar sig på

> att kodningen är så dålig att man inte

> tjänar så mycket på att använda den.

> Men, svaret är egentligen fel, precis

> som du säger.

 

Nej, du har rätt. Visst kan du använda scriptencodern till att =tro= att du kan gömma koden, men du gömmer ju inte koden egentligen... Eller äsch, Hälge har ett bättre exempel:

 

http://www.halge.com/svenska/strip/index.asp?strip=1

 

 

[Mr Andersson]

Jag personligen använder inte scriptencodern. Vill någon sno min klient-kod blir jag bara glad! Men min server-kod ger ni f-n i!

 

[inlägget ändrat 2002-05-27 00:28:24 av Mr Andersson]

[xYz]

> Alla vet väl att säkerhet inte är MS starka sida...?

 

Nu börjar MR Andersson visa sin rätta sida.

 

Så alla *VET* att säkerhet inte är MS starka sida ? Herregud, du är i själva verket en riktig liten MS hatare med andra ord ?

 

Hela diskussionen om Scripting Encoder kommer från en kommentar av MS själva, det står i dokumentationen, de har aldrig påstått att den inte går att knäcka.

 

Finns det förresten någon kod som inte går att knäcka med tillräckligt mycket tid på händerna ? Kvantkryptering ?

 

Att sedan MS inte ansträngt sig här har naturligtvis med två saker att göra, de tycker inte att script behöver något skydd vilket jag håller med om och de vill ha något som inte tar ett halvår att dekoda när det ska laddas och köras.

 

Jag har inte sett Netscape eller något annat företag för den delen försöka ens så varför du gnäller på MS när de tar fram något som kunderna tydligen vill ha förstår jag inte ?

 

Svaret är fortfarande FEL, det går visst gömma klient script, att det sedan med vissa kunskaper går att dekoda scriptet är ju ointressant, det gör det inte mindre sant.

 

Men jag tycker nog MR Andersson ska sluta svara på ASP/VBScript frågor då han så kategoriskt tar avstånd från tekniken vilket han deklarerat i en annan tråd.

 

 

[inlägget ändrat 2002-05-27 07:58:30 av xyz]

[Johan Knape]

Den endas lösningen jag känner till är först ha en sida där du tar reda på om personen ifråga kör javascript eller vbscript (beroende på vilket du kör) och om han inte har detta påslaget vägrar du Access till den personen.

 

Sedan har du en länk som skapar ett nytt fönster där det inte finns några menyer och ett skript som vägrar tillåtelse till höger musknapp.

 

Detta gör att han inte kan kolla på sourcen, han kan inte spara ned sidan på hårddisken.

 

Finns säkert något sätt runt detta också men en stor del av användarna kommer inte kunna komma åt din källkod.

 

/Johan

 

[inlägget ändrat 2002-05-27 09:13:51 av Hotshot]

[Thomas Tydal]

> Finns det förresten någon kod som inte

> går att knäcka med tillräckligt mycket

> tid på händerna ?

 

Givetvis inte, men när man pratar om kryptering brukar tidsbegreppen man nämnar vara miljoner år. Microsofts kod knäcker man på cirka en halv tiondels sekund.

 

 

> Att sedan MS inte ansträngt sig här

> har naturligtvis med två saker att

> göra,

 

Det har förhoppningsvis bara med en sak att göra; nämligen att det inte går att skapa ett säkert sätt att undanhålla vanliga klientskript för användaren.

 

 

> Jag har inte sett Netscape eller något

> annat företag för den delen försöka

> ens så varför du gnäller på MS när de

> tar fram något som kunderna tydligen

> vill ha förstår jag inte ?

 

Därför att det inte fungerar på det sätt som kunderna vill. Jag har liksom fått för mig att meningen med skriptkodningen ska vara att andra inte ska kunna se skripten. Men eftersom det är så busenkelt att se skripten så finns det ju inget skydd att tala om. Det bara ser så ut. Det lurar kunderna att tro att de är skyddade. Falsk säkerhet. Bluff.

 

 

> Svaret är fortfarande FEL, det går

> visst gömma klient script, att det

> sedan med vissa kunskaper går att

> dekoda scriptet är ju ointressant, det

> gör det inte mindre sant.

 

"Vissa kunskaper"? Sök på google efter "decode microsoft script encoder". Det första du får upp är en sida där du kan ange en URL och direkt få upp skriptkoden i klartext där.