Как скрыть backend своего сайта?

Question

[Q!]

Доброго времени суток!
Наверстал простенький сайт с JavaScript кодом, в котором прячется токен, если перейти по адресу my-domain.com/index.js будет виден код скрипта, как его спрятать от посторонних глаз?

Comments

[v3shin]

Почему вы клиентский скрипт называете бэкендом? =)
А по теме - чтобы скрыть бэкенд, напишите его на серверном ЯП, храните ключ там и общайтесь с ним по ajax.

Answer 1

[12rbah]

Его можно обфусцировать, но спрятать нельзя

Answer 2

[от это да]

в файле htaccess

<Files .js>
order allow,deny
deny from all
</Files>

только твой код сможет читать эти файлы

Answer 3

[rPman]

В общем случае - никак

Но можно сделать этот процесс на столько сложным, что смысла в этом уже никакого не будет. С помощью обфускации кода и использовании алгоритмов шифрования данных, передаваемых в браузер (не про https а когда данные, загружаемые браузером и передаваемые в скрипты/данные - зашифрованы). А чтобы конечный скрипт нельзя было вытащить через модификацию браузера (например логировать eval) то можно саму виртуальную машину, исполняющую скрипты, реализовать на js (wasm).

Есть интересное направление - нейронные сети. В браузере вместо полноценного кода работает нейронная сеть, обученная выдавать нужный результат. Реверсить логику ее работы невероятно сложно (читай невозможно). Плюс, нейронные сети, в общем случае, потребуют либо хорошего тестирования либо принимать что их поведение в редких ситуациях может быть непредсказуемо.

Нужно понимать, что затраты на разработку такого решения будут сравнимы со стоимостью его взлома.

p.s. есть еще гомоморфное шифрование, когда есть необходимость совершать какие то операции над данными, которые зашифрованы, без их расшифровки. Особо его применить в данной задаче сложно но бывают случаи когда можно выкрутиться. Если что это решение очень сложное (читай дорогое) в реализации, готовых решений нет (по крайней мере для браузера и javascript) а еще оно потребляет процессорные ресурсы.

Comments

[ksnk]

Задача начинается "простенький сайт с JS", а совет - "прикрути нейронную сеть". :) Ну, так, навскидку -"простенький сайт" (код, без картинок) - ну, там, 10-20 кб собственного кода, предлагается заменить на мегабайты сети?

Если не офтопить, то еще забавный вариант - прятать пароль в webgl. WebGl - это сишный код, встраиваемый в страницу броузера, в который можно много чего напихать + данные, в которые влезет тоже достаточно много чего, кроме пароля. Так что дебажить это дело может оказаться, особенно с непривычки, накладно.

Хотя, может быть смешно, если тот самый токен, который тут прячут, виден в отладчике броузера при общении страницы со сторонним рессурсом...

Answer 4

[Rsa97]

Скрипт никак не спрятать. Чтобы код выполнялся в браузере, он должен быть виден.
Если это токен к внешнему ресурсу и этот токен не привязан к домену, то он должен использоваться бэкендом, а не фронтом.