Ben*_*eau 2 javascript browser security privacy source-maps
我正在使用错误跟踪软件报告网络浏览器中发生的任何错误,但是我的生产站点上的代码已缩小。结果,调试几乎是不可能的(变量名被更改等)。
我想在生产中放入完整的源映射文件,以便我可以调试这些错误,但是在执行此操作时听说过一些有关隐私/安全性的问题。由于可以在没有源映射的情况下最小化JavaScript和进行反向工程,因此我想知道这是否是合理的问题。我所能看到的是,它只会使该过程更快。
将源映射放入公共域是否存在合法的安全问题?
与别人所说的相反,它有一个安全方面。
您说对了,因为无需源图也可以分析(缩小)等源。如您所知,它永远不会100%安全。但是,安全性涉及功能和工作量以及由此带来的风险。这与您的威胁模型和攻击者模型有关。
真实世界的攻击者通常没有无限的资源,但是对您的软件的了解有限。因此,严格来说,没有源映射的经过混淆的Javascript代码在技术上等同于实际的源代码,因为无论如何在客户端上运行它都可以对其进行检查,但在现实世界中,所需的工作量,技能和资源存在很大差异这个。
因此,尽管我根本不提倡安全性,但我坚决认为您的代码应该对拥有源代码的攻击者是安全的,但现实情况并非总是如此,存在漏洞,并且如果源映射可用,则更容易为攻击者发现。
| 归档时间: |
|
| 查看次数: |
395 次 |
| 最近记录: |