Discussion :

[Death83]

Salut a tous,

je me posait une petite question.

SI on utilise son code JS en le mettant dans un fichier externe .JS dans un dossier dont on onterdit l'acces au utilisateur.

La page poura etre utiliser tout de meme par les pages du site? SI c'est le cas le JS ne poura pas etre lu par les visiteurs non?

[SpaceFrog]

essaye si t'es un javascripteur

[javatwister]

ben oui, essaye;
mais un .htaccess ne te permet pas ce faux-fuyant;

[SpaceFrog]

oui mais un top.location.href pourrait permettre de faire une redir non ?

[Death83]

ben oui, essaye;
mais un .htaccess ne te permet pas ce faux-fuyant;

Comment ca?
Le JS ne sera pas utiliser par la page qui l'appelle c'est ca?

[javatwister]

on te demandera de te logger;
idem sous ffx si tu passes par une requête xhr

[Death83]

Il doit surement y avoir un moyen d'interdire l'acces directe seulement à la page. (enfin j'espère).

[javatwister]

direct ou pas, si un adresse protégée est invoquée, tu dois donner ton login et ton pswd!

[Death83]

Oui mais on ne peut pas en bidouillant le .htacces arriver a autoriser l'acces au dossier pour les page de son site?

(Un peu comme les .htacces qui interdise les utilisations des images sur des sites externe).

[SpaceFrog]

oui mais imaginez un repertoir avec un index.htm ...
dans lequel on colle un fichier.js
si on commence le fichier par une paire de ligne du gerne try catch ?
genre try{document.body}

[SpaceFrog]

mes tentatives ne sont pas très concluantes... j'ai toujours un message d'erreur ...
remarque ça empèche l'affichage du fichier ...

[Death83]

Avec un truc comme ca dans le htaccess il n'y aurait pas moyen d'y arriver:

RewriteCond %{HTTP_REFERER} !^http://www.votredomaine.net/.*$ [NC]

et apres on autorise la lecture du .js?

[SpaceFrog]

arf mon truc boite sous IE mais rampe avec ffx ...

[Hervé Saladin]

Salut,
franchement, je ne pense pas que ca soit possible.
Pour une raison simple : le code javascript doit quoi qu'il en soit être téléchargé par le navigateur pour pouvoir fonctionner. Donc en partant de ce constat, je vois pas comment on pourrait à la fois mettre ce site à disposition du navigateur et à la fois le cacher d'un oeil 'humain'.

SI on utilise son code JS en le mettant dans un fichier externe .JS dans un dossier dont on onterdit l'acces au utilisateur.
La page poura etre utiliser tout de meme par les pages du site?

Je dirais NON car il paraît difficile de faire une distinction entre l'utilisateur pour qui l'acces doit etre interdit, et le navigateur qui doit pouvoir acceder au script afin de le lancer .... si on y réfléchit bien il s'agit de la même entité, mais avec simplement deux intentions différentes (dans un cas visualiser le script et dans l'autre cas executer le script).
Car quand tu fais cela, certes dans le code source de la page on ne voit pas le script lui même, mais cependant on voit son url, et à partir de celle-ci on peut telecharger le fichier js via http.
Je suppose que c'est pour cela que tu propose d'interdire l'acces à l'utilisateur.
Le problème est que si tu interdit l'utilisateur d'acceder à ce fichier, tu interdit au navigateur d'y acceder aussi. Ce dernier ne pourra donc plus telecharger ni executer le code js.

La page poura etre utiliser tout de meme par les pages du site?

Attention, ce n'est pas "la page" qui utilise le script js, mais le navigateur. Quand tu met une balise appelant un fichier js externe (genre <script language="javascript" src="http://machin.com/truc.js" />), le navigateur telecharge le fichier .js séparément de la page html. Ce n'est pas la page web qui inclus toute seule le fichier js à elle-meme.

Apres on peut chercher des astuces mais je suis sceptique.
Surtout que même dans l'hypothèse ou on trouve une astuce qui marche, le script aura quand même été chargé dans le navigateur, donc il doit bien y avoir un moyen de l'en extraire.
A mon avis, il serait plus simple et plus sain d'utiliser un applet, car lui il est compilé, ce qui protege quand même pas mal le code.

Sinon, dans le genre "astuces et bricolages bizare", j'ai pensé à un truc :
lorsque ton serveur web donne la page html, il fournis en meme temps une clef generee de maniere aléatoire et valable une seule fois.
Concretement, la page contient une balise du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script language="javascript" scr="http://machin.com/truc.cgi?clef=16524684">

Ensuite, dans le script 'truc.cgi', tu vérifie la validité de la clef, par exemple un tableau en variable globale dans lequel elle aura été placée au moment de la génération de la page html. Puis si la clef est ok, tu l'efface du tableau et tu envoie le code javascript au client .

Ca ne devrait pas empecher la visualisation du script à 100%, mais ca devrait serieusement compliquer la tâche de celui qui voudrait le voir.

Edit : tu pourrais meme mettre un temps d'expiration sur la clef, par exemple si le script js n'a pas été téléchargé en moins d'une demi-seconde (je dis ca au pif) apres la création de la clef, cette derniere ne sera plus valable.
Ainsi, il devrait être impossible à un cerveau humain d'avoir le temps d'analyser la source et d'y trouver la clef pour aller telecharger le script au cas ou l'utilisateur se serait débrouillé que son navigateur ne telecharge pas le script afin de ne pas gaspiller la clef (je sais pas si je suis bien clair)

Si tu fais comme cela, à mon avis la seule façon de contourner cette sécurité est d'écrire son propre client http (qui serait capable de chopper une clef et d'aller s'en servir pour telecharger le script et le donner à l'utilisateur); Tout ça spécifiquement pour voler ton script js .... autant dire qu'il faudrait que ton script en vaille VRAIMENT la peine pour se donner autant de mal. Si 'est aussi sensible que ça, évite de passer par du javascript car je repete que je suis persuadé qu'il est impossible de proteger un script js à 100% (à moins de le rendre completement indisponible et donc inutilisable mais dans ce cas l'interet est limité).

[SpaceFrog]

et c'est sans doute exclu IE en plus non ?

[Death83]

Je pense que c'est possible si on definit les pages qui y ont acces avec des rewrite cond.

Je vais essayer et je vous dit ca

[Death83]

Ca marche presque avec ca:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Options +FollowSymlinks
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http://127.0.0.1/manganimesV3.0/critiques/.*$ [NC]
RewriteRule javascript.js  - [F]

[Death83]

le probleme c'est que si le mec viens d'une page autorisé il peut lire le code et si le meme viens d'un page interdite vers une page ou le JS doit s'executer ca ne marchera pas.

EN fait il faudrait remplacer le HTTP_REFERER par l'addresse de la page au moment meme.

[siddh]

Je vais pas recopier tout le message de Hervé Saladin mais il a très bien résumer la situation.

Et franchement je ne voit pas pourquoi protéger son code js.
Si c'est parceque c'est quelque chose de bien et que tu as passé beaucoup de temps à le developper, sa complexité découragera certainement ceux qui voudront le récupérer.

[Death83]

En fait je m'en diche que les gens le voient ou pas.

C'est juste que j'aimerais y arriver. Et ca a de nombreuse autre application.
Mais bon c'est pas grave si ca marche pas.