Durante una auditoría PCI recient el auditor dijo que teníamos grandes riesgos de seguridad debidoJavascript Los comentarios son un riesgo de seguridad?
- Fue posible descargar recursos estáticos de nuestro sitio web, como imágenes CSS y JavaScript sin autenticación previa.
- Nuestro javascript tiene comentarios en él.
Personalmente, creo que esto no supone ningún riesgo para la seguridad. Las imágenes css y javascript no se crearon dinámicamente y no contenían datos en nuestro back-end, los detalles de nuestros clientes y los mecanismos.
Los comentarios en el javascript fueron simplemente explicando lo que hicieron los métodos en el archivo javascript. Cualquiera que lea JS podría haberse enterado de todos modos.
¿Cómo se ve esto "information leakage"?
¿Los comentarios dentro de javascript son realmente un riesgo de seguridad?
el primer punto es un riesgo de seguridad, pero yo no lo llamaría importante. comentarios de Javascript por otro lado, un riesgo de seguridad? Eso me hizo reír en realidad. No es óptimo, eso es seguro, pero no un riesgo de seguridad. Continúa y utiliza http://developer.yahoo.com/yui/compressor/ Eliminará los comentarios y todos los espacios en blanco innecesarios. – AlexanderMP
El punto importante aquí es, ¿los comentarios contienen algo NO deducible del código en sí? Al igual que la forma en que se organizan los servidores internos (cualquier nota de un servidor de base de datos separado, un nombre de servidor, o algo así), puede suponer un riesgo de seguridad. Por otra parte, también lo puede hacer el código, si le permite sacar tales conclusiones. – falstro
@roe: ¿como esto? =) http://thedailywtf.com/Articles/Client-side_PHP.aspx –