Seguridad en aplicación cliente - servidor

Hola chicos, no es que esto sea spam ni nada por el estilo, pero ya que somos programadores web, tal ves por este lado me puedan dar una mano.

http://www.forosdelweb.com/f113/idea...-2-0-a-741315/

Lo anterior es el link al post inicial, pero voy explicarles un poco en que consiste ya que en este foro solo programamos del lado del servidor.

Solo me gustaría saber como puedo aplicar algo de seguridad en unas páginas web (html + javascript) que se encuentran en el cliente y que por medio de AJAX hacen peticiones al servidor.

En cuanto a seguridad me refiero a como evitar que me capturen el usuario y contraseña ya que cuando se hagan las peticiones al servidor, de antemano ya existe una validación de usuario y eso ya sería otro cuento.

Pero el cuento está en validar un usuario y una contraseña ya que los fuentes (html + javascript) y estos pueden ser modificados para desviar la información o capturarla.

Yo sé que no existen métodos 100% seguros, pero si sé que existen métodos unos más difíciles que otros de romper.

De ante mano muchas gracias por la ayuda que me puedan prestar.

loading................


A que te refieres con "desviar la informacion o capturarla" ??
supongo que si ha instalado la aplicacion solo el usuario podria modificarlo. No entiendo para que el usuario tendria que desviar la informacion a otro lado. Mientras tu lado servidor tenga la seguridad, despreocupate por el cliente, ya que cualquier fallo de seguridad est'a solo en el ambito CLIENTE.

Es como decir "si el cliente quiere hackearse a si mismo, que lo haga, no nos interesa mientras no se meta con nuestros datos".

saludos.

connection closed.

Al fin, despues de tantos meses y tantos foros, alguien responde.

En primera instancia Gracias, muchas gracias por responder.

Bueno lo que pasa es que estoy haciendo una aplicación tipo Web 2.0 con Adobe Air pero utilizando únicamente HTML y JAVASCRIPT y en el lado del servidor utilizo PHP.

Cuando creo el paquete .air (que es donde se ubican todos los archivos html y javascript) y luego estos se instalan en el cliente, voy y miro en las carpetas que se han instalado y resulta que todo el código fuente (HTML y JAVASCRIPT) están ahí en el cliente, entonces ahí es donde digo que alguien me puede modificar esos archivos y desviarme la información, alguien que no sea propiamente el usuario original.

¿me comprendes?

Salu2

loading.............


Entiendo a lo que te refieres. Alguien puede mandar el action form a otra url y capturar el user y pass del usuario.

Porque no solicitas todas las secciones en que el usuario ingrese informacion (login, updates) al servidor?

Por ejemplo, al momento de hacer el login, solicitar el formulario al servidor mediante AJAX y de entrada poner OFUSCADO todo tu código javascript. Talvez no sea 99% seguro pero tu seguridad se triplica.


connection closed.

mucho IDIOTA YO!!!!

llevo meses pensando en algo (claro que no todo el tiempo) y la solución estaba en mis narices y nunca se me ocurrió algo por el estilo.

Muchisisisisisisimas gracias, de verdad que si, tan solo pensar que dí tantas soluciones y a todas les encontraba el talón de Aquiles

Salu2