Скрытая отправка формы, без следа в консоли?

Question

[Evgeniy Golovin]

Задача: скрыть отправляемые данные через форму, т.е. GET и POST стандартный можно проследить в консоли в XHR и поймать имена переменных и их значение

Как можно отправить данные иначе? Если перехватывать nodeJS, скажем, или как посоветуете.

Comments

[Ihor Bratukh]

То, что происходит на фронте остается на фронте

[Артем]

Снифферить при желании можно все
Максимум, что вы можете сделать, это усложнить анализ отправляемых данных, шифровать их, например.

[ProjectSoft]

Если перехватывать nodeJS скажем или как посоветуете.

На nwjs собираете или что сервер на nodeJS?

[Павел Волынцев]

Отправлять данные на субатомном уровне или мысленно

[Evgeniy Golovin]

Павел Волынцев, а нужно при этом кодировать? И если девушка данные отправит, как их разобрать вообще?))))

[Evgeniy Golovin]

ProjectSoft, собираю на простом php+js, nodejs на серваке стоит.

[Evgeniy Golovin]

Артем, RSA или как лучше?

[Павел Волынцев]

Evgeniy Golovin, а искуственный интеллект на что? Пусть пытается, вдруг получится.

Answer 1

[Robur]

Никак. Чтобы на клиенте нельзя было поймать какие-то данные, их не должно быть на клиенте никогда. Если вы этого сделать не можете каким-либо способом, их всегда можно будет увидеть.

Comments

[Evgeniy Golovin]

Я согласен, мне больше хочется скрыть их от обычных рядовых пользователей, которые открывая консоль гуглхрома видят запросы POST и отправляемые данные

[Robur]

добавьте простое хеширование, плюс можно использовать неинформативный IP хоста без dns имени, пользователи будут видеть что что-то отправляется, но что именно - не поймут без глубокого копания в коде.

Можно замаскировать отправку данных форму под загрузку картинки или файла стилей.
GET 11.22.33.44/favicon.ico?s=28SDV8USD9823JHROS8DU4H5... вызовет мало подозрений, например.

[Павел Волынцев]

Evgeniy Golovin, это невозможно. Отладчик в браузере неотключаемый, как программист говорю. Даже если вешают JS код, который перехватывает нажатия клавиш, чтобы не работало контекстном меню или панель отладки нельзя было вызвать - я найду способ это обойти и посмотреть запросы.

Answer 2

[Павел Волынцев]

1. Подавить контекстное меню мыши
2. Перехватить нажатия клавиш, которые включают панель отладки
3. Заменить объект, который реализует консоль
4. Шифровать отправляемые и получаемые данные, причём код JS должен быть изощрённо обфусфированным, чтобы там нельзя было найти ключ или алгоритм шифрования (см. коды каких-нибудь вирусов - полиморфов)
5. Использовать протокол websocket - там смотреть фреймы тупо неудобно
6. Использовать HTTP прослойку на Flash или Java и там тоже шифровать

Не забывайте, что кроме браузера обмен данными могут смотреть снифферы, например Wireshark. Кому надо, тот посмотрит.

Я рекомендую изучить вопрос защиты данных, а не скрытия трафика.
Не отдавайте клиенту лишнее, авторизуйте всех, проверяйте всегда кто что и зачем прислал, пользуйтесь токетами CSRF, заблокируйте кросс-доменные запросы, не выполняйте модифицирующие операции через GET запросы и так далее. Защищайте бэк.