Кодирование на стороне клиента: как предотвратить злонамеренное использование?

За последние несколько лет тенденция для клиентских (браузерных) приложений действительно взлетела.

Для моего последнего проекта я решил попробовать идти в ногу со временем и написать приложение на стороне клиента.

Часть этого приложения включает отправку электронных писем о транзакциях пользователям (например, подтверждение регистрации, электронные письма для сброса пароля и т. Д.). Я использую сторонний API для отправки электронных писем.

Обычно я запускаю приложение на сервере. Я бы вызвал сторонний API из кода на моем сервере.

Запуск клиентского приложения означает, что теперь это должно происходить в браузере пользователя. Сторонний API предоставляет необходимые файлы JavaScript для достижения этой цели.

Первая явная проблема, которую я вижу, - мне нужно использовать ключ API. Обычно это безопасно хранится на моем сервере, но теперь, вероятно, мне нужно будет предоставить этот ключ клиентскому браузеру.

Предполагая, что я могу обойти эту проблему, следующая проблема заключается в том, что мешает технически подкованному пользователю загружать инструмент разработки JavaScript в браузере и использовать API электронной почты в любом случае, как им нравится, вместо того, чтобы говорить о соблюдении любых правил, которые я установил в приложении. ,

Я предполагаю, что мой общий вопрос - как мы можем предотвратить злонамеренное использование клиентского приложения?

Вы не можете, и чем больше люди понимают это, и чем глубже они понимают, тем лучше для мира.

Код, который выполняется на устройстве под управлением пользователя, не может контролироваться. Смартфоны могут быть взломаны. Приставки могут быть взломаны. Обычные браузеры даже не пытаются запретить доступ к коду JavaScript. Если у вас есть что - то красть или злоупотребление, решительная злоумышленник будет иметь возможность сделать это , если вы не проверить все , что вы лелеять на стороне сервера.

Запутывание очень мало помогает; тот тип оппонента, которого вы привлечете, как только будет задействовано что-то удаленное финансовое, читает язык ассемблера, например, объявления. Шифрование не может вам помочь, потому что устройство, которое будет защищать ключ, является тем же устройством, которое, как вы полагаете, взломано. Есть много других, казалось бы, очевидных контрмер, которые не работают по тем же причинам.

К сожалению, это очень неудобная правда. Мир полон малых и больших операторов, которые думают, что могут как-то обойти фундаментальную несостоятельность удаленного доверия, просто потому что было бы очень хорошо, если бы мы могли предположить, что наш код будет работать так, как мы предполагали. И да, это сделало бы все намного проще, даже не смешно. Но желание не делает этого, и мы надеемся, что вы - единственный умный cookie, который может избежать неприятностей, только обожжет вас и ваших клиентов. Поэтому подумайте, что интернет - это вражеская территория, включите эту добавленную стоимость в свои оценки, и у вас все будет хорошо.

Тем не менее, конечно, есть такая вещь, как глубокоэшелонированная защита. Запутывание вашего JavaScript не отпугивает решительного злоумышленника, но может отпугнуть некоторых менее решительных злоумышленников. Если ваши активы имеют достаточную ценность для защиты, но не любой ценой, любая из этих мер может повысить ценность вашей системы для бизнеса; это просто не может быть идеальным. Пока вы полностью осведомлены о компромиссе, который делаете, это может быть разумной стратегией.

Правило здесь:

Делайте все на стороне клиента, чтобы это ни на кого не влияло, если пользователь вмешивается в это. В частности, это означает графические эффекты.

Делайте все на стороне сервера, которое должно быть защищено, и просто отправляйте события пользовательского интерфейса от клиента (например, тогда клиент просто говорит «пользователь нажал кнопку« Купить », пока сервер фактически выполняет транзакцию)». В частности, это означает финансовые операции.

Это именно тот случай , когда делает его полностью на стороне клиент приложения не соответствующие.

Вы можете сделать логику и базовую проверку форм на стороне клиента (вам все равно придется выполнять повторную проверку на сервере, потому что кто-то может попытаться подделать запрос), чтобы улучшить скорость отклика, вы можете выполнять HTTP-запросы из JavaScript, передавая данные туда и обратно в JSON, чтобы избегайте повторной отправки украшений страницы и тому подобного, но если сама транзакция должна быть аутентифицирована и авторизована, она все равно должна происходить на сервере.

Ваш средний параграф - суть проблемы:

Запуск клиентского приложения означает, что теперь это должно происходить в браузере пользователя. Сторонний API предоставляет необходимые js-файлы для достижения этой цели.

Почему приложение на стороне клиента означает, что вы не можете работать на стороне сервера? Толчок к программированию на стороне клиента заключается не в устранении серверов, а в использовании новых технологий, которые, наконец, поддерживают браузеры, для улучшения пользовательских интерфейсов.

Что касается .jsфайла, который вы получили, вы уверены, что он предназначен для браузера? Может ли это быть библиотека node.js?

Давайте отступим от этого и посмотрим на более высокий уровень. Должны ли мы. Eudora или outlook (клиентское приложение, даже не нуждающееся в браузере) когда-либо приводили к финансовым потерям для какой-либо компании? Нет. Любой может написать в POP / SMTP API и стать клиентом. Но без потерь для сервера. Сервер не ограничивал действия клиента, вычисления, хранилище, температуру, размер диска, размер оперативной памяти, DPI монитора, GPU, FPU и другие параметры клиента, но точно указывал, на что он будет отвечать, и не более. Вы когда-нибудь слышали о том, чтобы Quicken или MS-Money использовались для взлома банка?

Ваше браузерное (т.е. клиентское) приложение может использовать ту же архитектуру.

1. Вы строите свой сервер с помощью API (который, кстати, всегда сводится к производным от GET POST HEAD и т. Д.).
2. На сервере убедитесь, что API взаимодействует только с аутентифицированным и проверенным идентификатором клиентом для каждого вызова.
3. Тогда вам все равно, кто клиент.
4. И тогда вам все равно, браузер ли это, взломанное устройство, Google Glass, DOS 3.1 или новый Nexus в руках технофоба, пра-пра-пра-прадеда, который путешествовал по времени в 2014 году и пропустил все технология, которая наводнила нашу жизнь за последние 15 десятилетий.
5. Теперь вы можете начать разгрузку всего остального на стороне клиента.

SoapBoxBegin

@KilianFoth поднимает важный пункт осведомленности для наивных и безрассудных, в основном тех, кто все время читает заголовки, но никогда не думает, что это случится с их приложением, их кодом, их работодателем, их клиентом, их собственным банковским счетом. Еще более безрассудными являются их работодатели (особенно технический директор), которые позволяют приложениям выходить, которые подвергают любые системы неуправляемому / неконтролируемому воздействию. Однако я всегда озадачен тем, как кажется, что «мы никогда не учимся».

SoapBoxEnd

Итак, подведем итог. Создайте надежный и жесткий API на стороне сервера. Перенесите все остальное клиенту на основе того, что клиент может обработать.

Я бы сказал, что вы действительно не можете. Если вы хотите отправить данные клиенту, вы должны ожидать, что они будут использованы неправильно - насколько это возможно. Ваш пример, касающийся ключа API, иллюстрирует это, и я бы не стал включать это в вашу клиентскую часть JS - он будет украден и подвергнут злоупотреблению.

Вам определенно понадобится некоторое количество серверного кода для обеспечения безопасности. Даже что-то такое простое, как получение только данных, относящихся к зарегистрированному пользователю. Эта аутентификация не может быть выполнена на стороне клиента, или вы снова воспользуетесь ею, и ваши данные не будут защищены.

Я бы всегда рассматривал опыт работы на стороне клиента JS как дополнение к коду сервера. Проверка на клиенте обеспечивает приятный пользовательский опыт, но если вы не проверяете данные POST и на принимающем сервере, вы открываете себя для атаки. Все, что от клиента, следует считать подозрительным.

Это довольно просто, правда. Предположим, что клиентский компьютер и все работающее на нем программное обеспечение находятся под полным контролем умного злоумышленника.

Это означает, что любая информация, которую вы отправляете с сервера клиенту, будет известна злоумышленнику, поэтому вы должны убедиться, что не отправили клиенту информацию, которая может быть использована для атаки на ваш сервер или ваш бизнес.

Это также означает, что все, что было отправлено с клиента на сервер, было создано злоумышленником, поэтому код вашего сервера должен убедиться, что ничего, что клиент может отправить, не сможет успешно атаковать ваш сервер.

Следует признать, что реализация - это проблема, но важна ментальная позиция, предположение о том, что «клиент», с которым вы, по вашему мнению, общаетесь, не клиент, а активный злоумышленник.

(Вы также должны предположить, что пользователь - умный обманщик, который попытается атаковать ваши бизнес-методы, но это не имеет ничего общего с программированием на стороне клиента).

Клиентское приложение, на мой взгляд, в основном касается пользовательского интерфейса. Например, вся ваша система пользовательского интерфейса будет отправлена ​​клиенту один раз, а затем клиент будет делать с ней все, что захочет.

Обычно я запускаю приложение на сервере. Я бы вызвал сторонний API из кода на моем сервере.

Запуск клиентского приложения означает, что теперь это должно происходить в браузере пользователя. Сторонний API предоставляет необходимые файлы JavaScript для достижения этой цели.

Если у вас есть API-ключ, он не предназначен для работы на стороне клиента. Если вы дадите API-ключ на стороне клиента, тогда любой может получить к нему доступ, а затем сможет использовать его в своих целях. Сохраните его и используйте его на стороне сервера, когда клиенту это нужно, затем отправьте результат с помощью Ajax / WebSockets.

Это как если бы ваш банк говорил: «Ну, я собираюсь поставить пароль на стороне клиента основной базы данных, чтобы клиент мог запросить его сам, и он больше не будет беспокоить наши серверы».