Обеспечение того, чтобы код JavaScript не был изменен

Question

Обеспечение того, чтобы код JavaScript не был изменен

1

Допустим, у нас есть небольшой код JavaScript, что-то вроде этого:

function calculate(input) {
      input = input + 100;
      // the code will send the result here to the server
}

Поскольку код javascript может быть изменен, любой может изменить жестко закодированный код 100, который находится в функции, на любое число, таким образом изменяя конечные данные, которые получит сервер.

Есть ли способ на сервере, с помощью которого я могу убедиться, что функция, которая была запущена, не была изменена при запуске?

ИСПОЛЬЗОВАНИЕ: у меня есть несколько больших вычислений, которые мне нужно было бы выполнить, и я думал о создании кода для этих вычислений в JS (который мог бы их немного замедлить), но если бы я дал достаточно хороший стимул ( может быть, денежное вознаграждение или что-то похожее), чтобы другие люди использовали свои компьютеры в этих вычислениях, вычисляли частичную информацию и отправляли ее мне, мне потребовалось бы намного меньше вычислительной мощности, потому что работа была бы распределена между другими компьютерами.

Единственный способ решить эту проблему в данном сценарии использования на данный момент - это рассчитать частичные задания несколько раз в нескольких системах, и если результаты не совпадают, это будет означать, что кто-то вмешивается в код расчета, но если таковой имеется у кого есть идея получше, у меня все уши :)

Adam Baranyai 09 янв. 2019, в 22:58

Источник

3

Предполагая, что вы говорите о JS, выполняемом в браузере - нет, сделать это невозможно.
Yeldar Kurmangaliyev 09 янв. 2019, в 21:32
1

ну, если вам нужна такая проверка, вам придется обрабатывать ее на стороне сервера. В браузере нет кода JavaScript, который пользователь потенциально не мог бы изменить
Icepickle 09 янв. 2019, в 21:33
2

Нет, нет В любом случае это не имеет значения; они могли бы просто сделать совершенно другой запрос, не вызывая эту функцию.
jonrsharpe 09 янв. 2019, в 21:33
1

Это интересный вопрос Адама. Было бы здорово, если бы кортеж был возвращен с вашим результатом и хэшем метода.
Bibberty 09 янв. 2019, в 21:33
1

@Bibberty, почему кто-то, кто мог бы вмешаться в определение функции, также не вмешался бы в хэш?
jonrsharpe 09 янв. 2019, в 21:34
0

Они также могут вмешиваться в код, который проверяет хеш.
Amy 09 янв. 2019, в 21:35
0

@Bibberty Я думал что-то в этом духе, например, копировал неизмененный исходный код в строку на сервере и хэшировал его, но тогда мне нужно было бы как-то принудительно установить, что код, отправляемый на сервер, содержит хэш функция, которая выполнила его, но кто-то может легко скопировать хеш и отправить его в совершенно новой функции, так что это не сработает :(
Adam Baranyai 09 янв. 2019, в 21:35
0

@Amy Нет, потому что этот код на сервере, что они могут сделать, мешают коду, который генерирует хэш.
Adam Baranyai 09 янв. 2019, в 21:35
7

Как правило, если безопасность является проблемой, вы должны признать, что все, что исходит от клиента, потенциально скомпрометировано, и вы ничего не можете с этим поделать.
John Montgomery 09 янв. 2019, в 21:37
0

@jonrsharpe Да, честный комментарий.
Bibberty 09 янв. 2019, в 21:39
0

@JohnMontgomery Это. 60-70% неверных данных поступает от клиента из-за непреднамеренных ошибок. еще 25% приходит от клиента из-за злого умысла. 5% приходится на ошибки на стороне сервера. Поэтому, если вы получаете данные от клиента, никогда не доверяйте им. Это одна из причин, почему eval () так широко ненавидят и не одобряют: потому что люди используют его для выполнения пользовательских данных, что НЕТ.
IceMetalPunk 09 янв. 2019, в 21:40
1

Что касается обновленной информации: что мешает мне бомбить вашу конечную точку случайными данными, чтобы получить награду? Вам нужно будет проверить мои расчеты, то есть рассчитать заново, что не принесет никакого улучшения. Идея проверки вычислений других людей довольно хороша и напоминает мне криптовалюту, но она все еще уязвима для атаки на 51%.
Yeldar Kurmangaliyev 09 янв. 2019, в 21:42
1

Попробуйте представить сайт как пользовательский интерфейс, клавиатуру, мышь, ввод. и т. д. Никогда, никогда не делайте какую-либо бизнес-логику на стороне клиента, если только эта логика не может быть дублирована, проверена снова на стороне сервера, например. Если бы у вас была корзина покупок, вы могли бы вычислить общую клиентскую часть корзины, но реальная сумма (та, которой нужно доверять) будет только на стороне сервера.
Keith 09 янв. 2019, в 21:43
0

Я имею в виду, что ничто не мешает пользователю вообще не запускать ваш код и отправлять произвольный результат. Даже шифрование не помогло бы, так как клиенту нужно было бы расшифровать для запуска, ему понадобился бы ключ для этого и т. Д. Я бы сказал, как можно лучше расшифруйте код и примите на себя риск.
Brett Green 09 янв. 2019, в 21:43
0

То, что вы могли бы сделать для полиции, - это случайное утверждение правильных ценностей с помощью надежной системы ... черный список людей с плохими ответами. Если это возможно, фактические расчеты нам не предлагаются.
Brett Green 09 янв. 2019, в 21:45
0

@YeldarKurmangaliyev мы не говорим о больших деньгах здесь, большая проблема будет в том, что, вероятно, очень мало пользователей присоединятся к расчету, а не к атаке на 51% :) Еще раз, это будет для настольной игры, и награда в любом случае это будет льготная цена, поэтому я не боюсь, что кто-то злонамеренно отправит мне плохие данные только за вознаграждение, но есть люди, которые делают подобные вещи, просто для удовольствия
Adam Baranyai 09 янв. 2019, в 21:46
0

Я пытаюсь выяснить связь между настольной игрой и распределенными вычислениями ...
Herohtar 09 янв. 2019, в 23:04
0

@Herohtar мы пытаемся реализовать ИИ, который рассчитывает наименьшее количество ходов, необходимое для победы над врагом. Существует множество возможных боев, и мы хотим использовать этот ИИ, чтобы установить значения здоровья / брони врагов, чтобы мы могли гарантировать, что каждый бой будет 1. выигранным, 2. выигранным за разумное количество времени. Мы могли бы сделать все это вручную, но мы планируем вместо того, чтобы вручную тестировать десятки различных комбинаций здоровья / брони / х монстров, мы используем программу до тех пор, пока не найдем адекватное значение, а затем вручную протестируем только значение THAT. , чтобы увидеть, если программа действительно дает правильные ответы
Adam Baranyai 09 янв. 2019, в 23:24

Показать ещё 16 комментариев

Теги:

javascript

1 ответ

Ещё вопросы

Предполагая, что вы говорите о JS, выполняемом в браузере - нет, сделать это невозможно.
ну, если вам нужна такая проверка, вам придется обрабатывать ее на стороне сервера. В браузере нет кода JavaScript, который пользователь потенциально не мог бы изменить
Нет, нет В любом случае это не имеет значения; они могли бы просто сделать совершенно другой запрос, не вызывая эту функцию.
Это интересный вопрос Адама. Было бы здорово, если бы кортеж был возвращен с вашим результатом и хэшем метода.
@Bibberty, почему кто-то, кто мог бы вмешаться в определение функции, также не вмешался бы в хэш?
Они также могут вмешиваться в код, который проверяет хеш.
@Bibberty Я думал что-то в этом духе, например, копировал неизмененный исходный код в строку на сервере и хэшировал его, но тогда мне нужно было бы как-то принудительно установить, что код, отправляемый на сервер, содержит хэш функция, которая выполнила его, но кто-то может легко скопировать хеш и отправить его в совершенно новой функции, так что это не сработает :(
@Amy Нет, потому что этот код на сервере, что они могут сделать, мешают коду, который генерирует хэш.
Как правило, если безопасность является проблемой, вы должны признать, что все, что исходит от клиента, потенциально скомпрометировано, и вы ничего не можете с этим поделать.
@JohnMontgomery Это. 60-70% неверных данных поступает от клиента из-за непреднамеренных ошибок. еще 25% приходит от клиента из-за злого умысла. 5% приходится на ошибки на стороне сервера. Поэтому, если вы получаете данные от клиента, никогда не доверяйте им. Это одна из причин, почему eval () так широко ненавидят и не одобряют: потому что люди используют его для выполнения пользовательских данных, что НЕТ.
Что касается обновленной информации: что мешает мне бомбить вашу конечную точку случайными данными, чтобы получить награду? Вам нужно будет проверить мои расчеты, то есть рассчитать заново, что не принесет никакого улучшения. Идея проверки вычислений других людей довольно хороша и напоминает мне криптовалюту, но она все еще уязвима для атаки на 51%.
Попробуйте представить сайт как пользовательский интерфейс, клавиатуру, мышь, ввод. и т. д. Никогда, никогда не делайте какую-либо бизнес-логику на стороне клиента, если только эта логика не может быть дублирована, проверена снова на стороне сервера, например. Если бы у вас была корзина покупок, вы могли бы вычислить общую клиентскую часть корзины, но реальная сумма (та, которой нужно доверять) будет только на стороне сервера.
Я имею в виду, что ничто не мешает пользователю вообще не запускать ваш код и отправлять произвольный результат. Даже шифрование не помогло бы, так как клиенту нужно было бы расшифровать для запуска, ему понадобился бы ключ для этого и т. Д. Я бы сказал, как можно лучше расшифруйте код и примите на себя риск.
То, что вы могли бы сделать для полиции, - это случайное утверждение правильных ценностей с помощью надежной системы ... черный список людей с плохими ответами. Если это возможно, фактические расчеты нам не предлагаются.
@YeldarKurmangaliyev мы не говорим о больших деньгах здесь, большая проблема будет в том, что, вероятно, очень мало пользователей присоединятся к расчету, а не к атаке на 51% :) Еще раз, это будет для настольной игры, и награда в любом случае это будет льготная цена, поэтому я не боюсь, что кто-то злонамеренно отправит мне плохие данные только за вознаграждение, но есть люди, которые делают подобные вещи, просто для удовольствия
Я пытаюсь выяснить связь между настольной игрой и распределенными вычислениями ...
@Herohtar мы пытаемся реализовать ИИ, который рассчитывает наименьшее количество ходов, необходимое для победы над врагом. Существует множество возможных боев, и мы хотим использовать этот ИИ, чтобы установить значения здоровья / брони врагов, чтобы мы могли гарантировать, что каждый бой будет 1. выигранным, 2. выигранным за разумное количество времени. Мы могли бы сделать все это вручную, но мы планируем вместо того, чтобы вручную тестировать десятки различных комбинаций здоровья / брони / х монстров, мы используем программу до тех пор, пока не найдем адекватное значение, а затем вручную протестируем только значение THAT. , чтобы увидеть, если программа действительно дает правильные ответы

IceMetalPunk · Answer 1 · 2019-01-09T20-22-00.000Z

3

Я имею в виду, что у сервера нет возможности узнать, как были рассчитаны его данные, поэтому обычно это не так. Если вам необходимо проверить достоверность данных, вы должны выполнять вычисления на сервере, а не на клиенте.

Если вы хотите убедиться, что функция не изменена через консоль или что-то еще, вы можете присвоить ее константе и заморозить: const calculate = Object.freeze(function(input) {/* code here... */});

Но это никоим образом не гарантирует, что кто-то просто не отправил данные самостоятельно и вообще обошел вашу функцию, так что это ужасная идея. Я хотел бы повторить это, чтобы прояснить ситуацию: это ужасная идея. Делайте чувствительные вычисления на сервере, а не на клиенте.

РЕДАКТИРОВАТЬ Ваше обновление звучит очень похоже на сценарий использования для блокчейна...

IceMetalPunk 09 янв. 2019, в 20:22

0

Это не поможет мне, к сожалению. Я обновлю вопрос вариантом использования, для чего мне это нужно.
Adam Baranyai 09 янв. 2019, в 21:37
0

Что делать, если я freeze 2 функции, как константы, одну, которая извлекает данные с сервера, который должен быть обработан, вместе с хешем, и другую, которая вычисляет и отправляет исходный хеш на сервер. Если функция functons замерзает как константа при запуске страницы, никто не может изменить эту функцию?
Adam Baranyai 09 янв. 2019, в 21:41
0

Никто не может изменить функцию, но они могут легко написать свою собственную функцию для отправки любых данных, которые они хотят, и они всегда могут получить доступ к данным, которые ваш сервер отправляет им. Таким образом, они могут просто написать 2-строчный скрипт для отправки ложных данных обратно на сервер с правильным хешем. Там нет никакого способа делать то, что вы хотите на стороне клиента.
IceMetalPunk 09 янв. 2019, в 21:42
0

Я не пытаюсь создать новый блокчейн :) Это будет для игры, которую я делаю :)
Adam Baranyai 09 янв. 2019, в 21:42
0

Я не предлагаю создавать новый блокчейн. Я предлагаю вам использовать существующую библиотеку блокчейнов.
IceMetalPunk 09 янв. 2019, в 21:44
0

Я хотел бы сделать это как можно более простым для людей, которые помогут в расчете, я имею в виду, например, просто «вставьте URL в вашем браузере, оставьте его включенным на несколько минут, и все готово» легко :)
Adam Baranyai 09 янв. 2019, в 21:47
0

@IceMetalPunk No one can change the function, они могут изменить все, что захотят. Даже не нужно создавать другую функцию, получать текущую функцию и изменять ее в соответствии со своими потребностями во взломе .. :)
Keith 09 янв. 2019, в 21:47
0

@Keith Object.freeze() не работает на функции? Я никогда не использовал его для этой цели, но я проверил, чтобы убедиться, что он не выдает никаких ошибок, и это не так.
IceMetalPunk 09 янв. 2019, в 21:53
1

@AdamBaranyai Вы хотите уровень безопасности, которого клиент-видимый код просто не может достичь на клиенте без какой-либо дополнительной проверки со стороны пользователя? Извините, но я думаю, что вы просите слишком многого, потому что с этими ограничениями невозможно что-то сделать. Безопасность приходит с дополнительными усилиями; Либо это на вашей стороне, и это делается на сервере, либо на стороне пользователя, и они должны делать больше, чем просто вводить URL.
IceMetalPunk 09 янв. 2019, в 21:54

Показать ещё 7 комментариев