Можно ли извне изменить fetch данные которые получает сайт?

Question

[Naght]

Обычно во всех уроках по программированию, да и я сам пишу примерно такой код как ниже (конечно, пример утрирован):

fetch('https://site.com')
  .then(response => response.json())
  .then(json => json["permissions"] == "administration" && alert("Добро пожаловать"))

Естественно, там где есть права доступа и т.д. нужно хэшировать, но смысл в том что стало интересно, как можно подделать или подменить эти данные, могут ли злоумышленники увидеть в ответе из сервера не зашифрованные права пользователя и просто их изменить.

Answer 1

[Dimonchik]

конечно
это один из методов взлома - менять ID на админа, вдруг прокатит
второй вариант -MITM, сложнее, но тоже можно

а третий - стиллер, от него все равно не спасешься, только не ставить

Comments

[Naght]

С помощью чего можно как в первом варианте просто поменять id на админа?

[Dimonchik]

id заменить на 0, 1, 100 и т.п.

Answer 2

[Дмитрий]

Если на том сервере оставили дыру размером с весь проект - то можно.

Answer 3

[Владимир Коротенко]

Первое правило разработки для веба не доверять клиенту.
В вашем коде оно практически нарушено. То есть в коде идет проверка на роль админа.
Перепишите так что бы этого не было.
Впрочем если сервер проверяет роли, то все нормально