"Ver código fuente"

pabloe9k · #1 (**permalink**) 05/05/2009, 08:10

Gente, tengo la siguiente duda.

Alguien sabe como hacer para que cuando se clickea la opción "ver código fuente" que ofrecen los navegadores, este no se muestre?

Debido a que estoy manejando 'información sensible' no me gustaría exponer el código html de la página.

En su momento alguien me había pasado una página que encripta el código mediante un javascript pero sólo funcionaba con HTML puro. Cuando agregaba consultas a una base de datos MySQL mediante PHP, el encriptador destruía el código.

Alguien conoce algún script, ya sea en JavaScript, PHP, HMTL, etc.

Me sería muy útil.

Muchas gracias por adelantado.

Saludos.

David · #2 (**permalink**) 05/05/2009, 08:31

Es un tema ya extensamente tratado, y la respuesta es siempre la misma: no se puede.

Si estás manejando "información sensible" (¿en el HTML?

) debes restringir el acceso a la página sólo a las personas que deban tener derecho de ver tal información.

pabloe9k · #3 (**permalink**) 05/05/2009, 08:35

Cita:

Iniciado por David el Grande

Es un tema ya extensamente tratado, y la respuesta es siempre la misma: no se puede.

Si estás manejando "información sensible" (¿en el HTML?

) debes restringir el acceso a la página sólo a las personas que deban tener derecho de ver tal información.

Pero me cuesta creer que no haya encriptadores, obfuscadores... nada de nada?
Que raro... Pero bueno, gracias igualmente por la respuesta.

David · #4 (**permalink**) 05/05/2009, 08:42

Sí, se puede ofuscar el código, pero es demasiado rebuscado y poco práctico hacerlo.

Por ejemplo, puedes capturar la salida con PHP y enviarla usando urlencode(), después con unescape() lo imprimes. Pero no proporciona seguridad a la "información sensible".

TonyChile · #5 (**permalink**) 05/05/2009, 08:47

Mira eso tal como te dijo David el Grande es un tema ya tratado anteriormente y la respuesta es siempre la misma por mas que trates de hacer cosas siempre podras ver el codigo fuente de una pagina. Puedes bloquear el boton derecho o tratar de hacer quisas otras cosas pero el codigo fuente siempre estara disponible para verlo desde las opciones de la pagina en los botones del explorador siempre esta la opcion ver codigo fuente.

Eso es algo que muchos quisieran hacer pero no se puede.
pero como te dijo David no permitas que a tu pagina entre cualquiera si la informacion es valiosa seria mejor acceder a ciertas paginas por intermedio de usuario password para poder asi restringir un poco el acceso y otras paginas hacerlas mas publicas

pabloe9k · #6 (**permalink**) 05/05/2009, 08:48

Cita:

Iniciado por David el Grande

Sí, se puede ofuscar el código, pero es demasiado rebuscado y poco práctico hacerlo.

Por ejemplo, puedes capturar la salida con PHP y enviarla usando urlencode(), después con unescape() lo imprimes. Pero no proporciona seguridad a la "información sensible".

Ojo, tampoco estoy manejando información bancaria.
Simplemente quiero esconder el código de gente que representa a mi 'competencia' y no tiene las 'mejores intenciones' precisamente.

Podrías ponerme un ejemplo de como usar esás funciones que me pasaste, por favor?

Muchas gracias.

Daniel Ulczyk · #7 (**permalink**) 05/05/2009, 09:39

Cita:

Iniciado por pabloe9k

Ojo, tampoco estoy manejando información bancaria.
Simplemente quiero esconder el código de gente que representa a mi 'competencia' y no tiene las 'mejores intenciones' precisamente.

Qué es lo que te preocupa del código fuente?
El mismo utiliza tags para el marcado.
Qué vas a esconder? La visualización del uso de encabezados de primer nivel? Marcas de párrafo? Definiciones de listas?

Cuanto más efectivo y riguroso sea el script de ofuscamiento más invisible será tu contenido para los motores de búsqueda.

Quien quiere publicar algo en la Web para que luego no sea indexado?

Si la privacidad te preocupa, lo ideal es restringir mediante acceso el contenido a las páginas. De otra manera estamos hablando de marcado estructural

Saludos!

lobo_php · #8 (**permalink**) 05/05/2009, 09:43

mira, no te preocupes por que te roben codigo fuente, si de verdad quieres tener tu codigo seguro usa una estructura compleja, igual tus competidores solo podran ver el HTML y con eso uno no hace nada, sin tener funciones ni nada de eso no sirve, asi que con solo ver el codigo fuente no se van a hacer ricos con tus inventos :D

pabloe9k · #9 (**permalink**) 05/05/2009, 10:09

Cita:

Iniciado por Daniel Ulczyk

Qué es lo que te preocupa del código fuente?
El mismo utiliza tags para el marcado.
Qué vas a esconder? La visualización del uso de encabezados de primer nivel? Marcas de párrafo? Definiciones de listas?

Cuanto más efectivo y riguroso sea el script de ofuscamiento más invisible será tu contenido para los motores de búsqueda.

Quien quiere publicar algo en la Web para que luego no sea indexado?

Si la privacidad te preocupa, lo ideal es restringir mediante acceso el contenido a las páginas. De otra manera estamos hablando de marcado estructural

Saludos!

Nadie dijo que esto fuera a estar publicado en la web.
Correrá sobre una intranet.

Gracias de todos modos.

pabloe9k · #10 (**permalink**) 05/05/2009, 10:12

Cita:

Iniciado por lobo_php

mira, no te preocupes por que te roben codigo fuente, si de verdad quieres tener tu codigo seguro usa una estructura compleja, igual tus competidores solo podran ver el HTML y con eso uno no hace nada, sin tener funciones ni nada de eso no sirve, asi que con solo ver el codigo fuente no se van a hacer ricos con tus inventos :D

Ojo, esto no se trata de hacer dinero o de 'cerrar el código'.
Soy completamente conciente y comparto la filosofía del opensource de hecho estoy utilizando PHP y MySQL, grandes exponentes de dicha cultura y filosofía.

La idea es ocultar el código de gente con manos 'malintencionadas'. Y cuántos más datos pueda esconder, más fácil será prevenir 'maldades'.

Gracias igualmente.

#11 (**permalink**) 05/05/2009, 11:35

Cita:

Y cuántos más datos pueda esconder, más fácil será prevenir 'maldades'.

Esa forma de pensar es, lamentablemente, un error muy común. Y sí, estoy diciendo que pensar eso es un error, pabloe9k. Existe un nombre para ello. "Security through obscurity" y es una forma mala, muy mala de intentar hacer que algo sea seguro.

Cuántos más datos puedas ocultar, lo único que conseguirás es que, una vez que te hayan descubierto esos datos, más peligrosos serán los "malintencionados". Y no, no previenes nada así. Lo único que puedes conseguir, quizá, es que tarden un poco más en encontrar la solución. Pero nada más.

pabloe9k · #12 (**permalink**) 05/05/2009, 12:16

Cita:

Iniciado por venkman

Esa forma de pensar es, lamentablemente, un error muy común. Y sí, estoy diciendo que pensar eso es un error, pabloe9k. Existe un nombre para ello. "Security through obscurity" y es una forma mala, muy mala de intentar hacer que algo sea seguro.

Cuántos más datos puedas ocultar, lo único que conseguirás es que, una vez que te hayan descubierto esos datos, más peligrosos serán los "malintencionados". Y no, no previenes nada así. Lo único que puedes conseguir, quizá, es que tarden un poco más en encontrar la solución. Pero nada más.

Honestamente, no coincido en absoluto, pero esa es una de las bondades de la libertad de expresión. Cada uno puede opinar, y como gente inteligente, podemos coexistir teniendo diferentes puntos de vista.

Y el mío es pensar, por ejemplo, que si alguien prefiere ahorrar dinero y guardarlo en su casa, no tiene porqué dejarlo a la vista de todos, lo puede esconder dentro de un libro, por ejemplo.

De todos modos, insito, son puntos de vista y yo no coincido en absoluto con lo que vos decís.

Gracias de todos modos.

lobo_php · #13 (**permalink**) 05/05/2009, 12:17

Cita:

Ojo, esto no se trata de hacer dinero o de 'cerrar el código'.
Soy completamente conciente y comparto la filosofía del opensource de hecho estoy utilizando PHP y MySQL, grandes exponentes de dicha cultura y filosofía.

La idea es ocultar el código de gente con manos 'malintencionadas'. Y cuántos más datos pueda esconder, más fácil será prevenir 'maldades'.

Gracias igualmente.

si haces una web en PHP, no he usado los otros lenguajes web, pero imagino que son iguales, al ver el codigo fuente solo se ve el codigo HTML, asi hagas esto: <?php echo "<h1>HOLA</h1>"; ?> se seguira viendo asi en el html, el <h1>HOLA</h1>

y si haces esto <?php $titulo="hola"; echo "<h1>$titulo</h1>"; ?> igual se vera en la web <h1>HOLA</h1>

por otro lado como dice el compañero venkman, NO EXISTE SISTEMA SEGURO!!

sea PHP, ASP, JSP, Windows, Linux, Firefox, IE, etc... a todos hackean no hay nada seguro, solo es hacer las cosas mas dificiles... asi que ahi esta como usas tu arquitectura, por ejemplo puedes hacer dicha web o aplicativo web con arquitectura MVC, que te separa las vistas de la logica y es mas seguro, mas de lo normal.

y como dices, tu dejas dinero en tu casa, dentro del libro... pero por ese libro te puede cojer la plata xD
la cosa es saber donde meter las cosas para que no las cojan tan facil...

pabloe9k · #14 (**permalink**) 05/05/2009, 12:20

Cita:

Iniciado por lobo_php

si haces una web en PHP, no he usado los otros lenguajes web, pero imagino que son iguales, al ver el codigo fuente solo se ve el codigo HTML, asi hagas esto: <?php echo "<h1>HOLA</h1>"; ?> se seguira viendo asi en el html, el <h1>HOLA</h1>

y si haces esto <?php $titulo="hola"; echo "<h1>$titulo</h1>"; ?> igual se vera en la web <h1>HOLA</h1>

por otro lado como dice el compañero venkman, NO EXISTE SISTEMA SEGURO!!

sea PHP, ASP, JSP, Windows, Linux, Firefox, IE, etc... a todos hackean no hay nada segro, solo es hacer las cosas mas dificiles... asi que ahi esta como usas tu arquitectura, por ejemplo puedes hacer dicha web o aplicativo web con arquitectura MVC, que te separa las vistas de la logica y es mas seguro, mas de lo normal.

Coincido con vos. No existe el sitio seguro 100%, pero sí se puede elevar el nivel de complejidad.

Te agradezco mucho!

Saludos.

lobo_php · #15 (**permalink**) 05/05/2009, 12:22

claro men, esa es la idea, usa esa arquitectura que te va a dar un volumen alto de seguridad, si no sabes usarla pues... aprendes xD... yo tampoco se, la estoy aprendiendo con un framework llamado CakePHP que te ayuda con eso. puedes usar otro, pero lo recomendable es usar uno ;)

#16 (**permalink**) 05/05/2009, 13:04

pabloe9k, el ejemplo del dinero no se parece nada en absoluto a lo que estamos hablando aquí. Es algo físico que se puede coger y llevar. La seguridad ahí está claro que es evitar que lo cojan.

Pero la seguridad de una aplicación es algo muy distinto.

Si basas tu seguridad en el hecho de que no se sepa cómo está hecho, basta averiguar cómo está hecho para que tu seguridad deje de ser segura automáticamente. Por ejemplo, pongamos que hago una aplicación web y "escondo" un campo oculto que lleva los permisos del usuario. Pienso "mientras nadie sepa que ese campo está ahí, la aplicación es segura". Pero lo que ocurre es que en cuanto alguien encuentre el campo, la aplicación pasa a ser completamente insegura.

Oh, oh, pero entonces lo que hago es que no uso un campo oculto que es muy fácil de ver. Lo que hago es una función en Javascript y el usuario debe saber el código secreto. En cuanto alguien con un poco de imaginación vea la función Javascript, va a encontrar el código.

Oh, oh, ya sé! Pero le pongo a todas mis variables y funciones unos nombres como a, aa, aaa, aaaa y y además no pongo saltos de línea y así es muy difícil saber lo que hace la función! ja!

Me costará unos 5 minutos más reformatear la función. En cuanto lo haga, veré como funciona y encontraré el código.

"5 minutos más" puede parecer que es una mejora. Ves? Es más difícil. Estoy poniendo trabas!
Pero no, la realidad es que lo único que estás haciendo es llamar más la atención sobre ese código. Es decir, estás diciendo eh, mira aquí, malvado! puede ser interesante averiguar qué hace esta función y el "malvado" tiene mucho tiempo libre y "5 minutos más" no es ni siquiera una molestia.

Oh, pero... lo ofusco! No sólo pongo esos nombres de funciones sino que ofusco el código y lo paso por un encode que ya lo hace superdificilísimo de leer.

A cualquier "malvado" eso le llama más la atención aún. Y encima los "malvados" se saben todos los truquitos facilones. Lo verá y pensará oh, lo ha pasado por un encode y lo ha ofuscado. Voy a pasarlo yo por el decode y a desofuscarlo. "5 minutos más" de nuevo, que para el "malvado" sigue sin ser nada.

Oh, y si lo encripto con DES y luego lo desencripto cuando lo vaya a ejecutar? Si está encriptado ya sí que no lo puede leer!

Claro, pero el "malvado" sabe que tú, para ejecutarlo lo tienes que desencriptar. Y entonces sabe que en algún sitio tienes que tener la función que desencripte. Así que busca esa función y la usa para desencriptar tu función encriptada.

Oh, pero y si encripto también esa función...?

La pescadilla que se muerde la cola...

El problema, al final, ¿dónde está? El problema está en que si realmente no puedes permitir que algún usuario malintencionado vea algo que hay en tu código fuente, la única opción que tienes es no ponerlo en tu código fuente. La solución es buscar otra forma de hacerlo. Una forma de hacerlo que sea segura por cómo es esa forma en sí misma, no porque esté ofuscada o esté oculta...

Lo que tú estás haciendo básicamente corresponde dejarle la maleta al usuario con el dinero metido en un doble fondo de la maleta. Puede parecer más seguro, pero no lo es realmente. Lo único seguro es no meter el dinero en una maleta que le vas a dar al usuario.

Y el peligro es que todas esas pequeñas dificultades que le pones, que hemos visto que en realidad no son seguras, lo que hacen es que tú sientas que sí que es "un poco" más seguro. Y no lo son. Pero como tú te sientes seguro, pues te quedas tan contento con esas medidas.

pabloe9k · #17 (**permalink**) 05/05/2009, 13:50

Cita:

Iniciado por venkman

pabloe9k, el ejemplo del dinero no se parece nada en absoluto a lo que estamos hablando aquí. Es algo físico que se puede coger y llevar. La seguridad ahí está claro que es evitar que lo cojan.

Pero la seguridad de una aplicación es algo muy distinto.

Si basas tu seguridad en el hecho de que no se sepa cómo está hecho, basta averiguar cómo está hecho para que tu seguridad deje de ser segura automáticamente. Por ejemplo, pongamos que hago una aplicación web y "escondo" un campo oculto que lleva los permisos del usuario. Pienso "mientras nadie sepa que ese campo está ahí, la aplicación es segura". Pero lo que ocurre es que en cuanto alguien encuentre el campo, la aplicación pasa a ser completamente insegura.

Oh, oh, pero entonces lo que hago es que no uso un campo oculto que es muy fácil de ver. Lo que hago es una función en Javascript y el usuario debe saber el código secreto. En cuanto alguien con un poco de imaginación vea la función Javascript, va a encontrar el código.

Oh, oh, ya sé! Pero le pongo a todas mis variables y funciones unos nombres como a, aa, aaa, aaaa y y además no pongo saltos de línea y así es muy difícil saber lo que hace la función! ja!

Me costará unos 5 minutos más reformatear la función. En cuanto lo haga, veré como funciona y encontraré el código.

"5 minutos más" puede parecer que es una mejora. Ves? Es más difícil. Estoy poniendo trabas!
Pero no, la realidad es que lo único que estás haciendo es llamar más la atención sobre ese código. Es decir, estás diciendo eh, mira aquí, malvado! puede ser interesante averiguar qué hace esta función y el "malvado" tiene mucho tiempo libre y "5 minutos más" no es ni siquiera una molestia.

Oh, pero... lo ofusco! No sólo pongo esos nombres de funciones sino que ofusco el código y lo paso por un encode que ya lo hace superdificilísimo de leer.

A cualquier "malvado" eso le llama más la atención aún. Y encima los "malvados" se saben todos los truquitos facilones. Lo verá y pensará oh, lo ha pasado por un encode y lo ha ofuscado. Voy a pasarlo yo por el decode y a desofuscarlo. "5 minutos más" de nuevo, que para el "malvado" sigue sin ser nada.

Oh, y si lo encripto con DES y luego lo desencripto cuando lo vaya a ejecutar? Si está encriptado ya sí que no lo puede leer!

Claro, pero el "malvado" sabe que tú, para ejecutarlo lo tienes que desencriptar. Y entonces sabe que en algún sitio tienes que tener la función que desencripte. Así que busca esa función y la usa para desencriptar tu función encriptada.

Oh, pero y si encripto también esa función...?

La pescadilla que se muerde la cola...

El problema, al final, ¿dónde está? El problema está en que si realmente no puedes permitir que algún usuario malintencionado vea algo que hay en tu código fuente, la única opción que tienes es no ponerlo en tu código fuente. La solución es buscar otra forma de hacerlo. Una forma de hacerlo que sea segura por cómo es esa forma en sí misma, no porque esté ofuscada o esté oculta...

Lo que tú estás haciendo básicamente corresponde dejarle la maleta al usuario con el dinero metido en un doble fondo de la maleta. Puede parecer más seguro, pero no lo es realmente. Lo único seguro es no meter el dinero en una maleta que le vas a dar al usuario.

Y el peligro es que todas esas pequeñas dificultades que le pones, que hemos visto que en realidad no son seguras, lo que hacen es que tú sientas que sí que es "un poco" más seguro. Y no lo son. Pero como tú te sientes seguro, pues te quedas tan contento con esas medidas.

Insisto, no coincido en absoluto con tu forma de pensar, pero gracias por el aporte.

Saludos.

TonyChile · #18 (**permalink**) 05/05/2009, 14:59

Cita:

pabloe9k
Nadie dijo que esto fuera a estar publicado en la web.
Correrá sobre una intranet.

Entonces a quien le temes a tus compañeros del trabajo que lata trabajar en un lugar asi

de todas formas la unica forma + segura de que nadie vea tu codigo seria que lo tengas en tu casa y que tu equipo no este en red.

Te estas llendo muy al extremo con todo lo que has dicho si todo el mundo sabe que no hay sitio seguro.

Cita:

venkman
"5 minutos más" puede parecer que es una mejora. Ves? Es más difícil. Estoy poniendo trabas!
Pero no, la realidad es que lo único que estás haciendo es llamar más la atención sobre ese código. Es decir, estás diciendo eh, mira aquí, malvado! puede ser interesante averiguar qué hace esta función y el "malvado" tiene mucho tiempo libre y "5 minutos más" no es ni siquiera una molestia.

Tiene razon no porque el codigo sea dificil de leer o entender uno dira a no entiendo mejor no sigo tratando de hacer algo con esto. es todo lo contrario lo unico que lograras es llamar mas la atencion de quien intenta provocar algun daño.

lobo_php · #19 (**permalink**) 05/05/2009, 15:10

bueno y todo parece haberse terminado, podemos concluir que por mas seguro que quieras tener algo... guarda el disco duro en una caja fuerte (eso si no te la roban) y podemos terminar diciendo: "CASO CERRADO"

wajkajka