Javacript alebo PHP ??

Nazdarek...Zaujimal by ma vas nazor co sa tyka pouzivania Javascirptu a php na Vasich strankach..Totiz, co sa Javacriptu tyka som uplny laik a tak som sa rozhodol cosi o Javascripte nastudovat/pozistovat. No cim viac googlim po nete tym viac zistujem ze co sa da urobit v javascripte, da sa urobit aj v php. A navyse nejako sa mi podla roznych clankov(ktore som doteraz nasiel) zda ze javascript predstavuje väcsie bezpecnostne riziko ako php. Taktiez ma zaraza fakt, ze pre plne funkcny chod JS musi mat uzivatel na browsery JS zapnuty..A ja osobne som sa uz par krat stretol s tym,ze niekto mal JS vypnuty a ked si nahodou otvoril stranku,kde sa mu zobrazila hlaska aby si zapol JS, tak ju vypol este skor ako sa mu cela nacitala s odôvodnenim, ze take stranky radsej vypne aby nedostal z tej stranky nieco do svojho PC. Preto ma zaujima do akej miery vy vyuzivate JS na svojich strankach a co si vlastne myslite o pouzivani JS. Zaujima ma kazdy normalny nazor, aby som si vedel vlastny obraz a zistit do akej miery sa JS venovat..

Na vývoj potrebuješ veľa jazykov. zo začiatku sa to nezdá, ale počas "kariéry" web developera sa stretneš s mnohými jazykmi.
PHP je na server side scripting. Na strane serveru sa zmešajú vstupy od užívateľa, z databáz, od všelikadial, pretransformuje sa to nejako a užívateľovi pošle už len výsledok toho celého.
Javascript (client side scripting) je primárne určený na blbostičky ako kadejaké vizuálne efekty, nejaké kontroly formulárov... ale len tak, aby sme upozornili užívateľa, že niečo vyplnil zle, aby nemusel čakať, kým to pošle, kým mu pošleme späť chybovú hlášku... Iba mu to okamžite vyhodí alert.
Čo sa týka vypnutia javascriptu - ja tiež nemám zapnutý javascript. Keďže poznám spôsoby, akými sa dá zneužiť a reálne sa aj zneužíva, tak ma paranoja proste nepustí.

// ospravedlňujem sa, ak píšem zmätočne, pozerám popri písaní tohto príspevku film

hej ehj, suhlasim s kolegom vo vsetkych bodoch, akurat ze ja ho mam zapnuty..

no nepovedal by som ze JS je len na "blbosticky" ..
na pouzivanie AJAXu je JS potrebny (snad sa nemylim)...
skus trebars maps.google.com ..je postaveny na AJAXe..

veď ajax je nadstavba JS, tak jasné, že bez JS nefunguje. Ale práve tie "nekonečné" možnosti dodávajú na nebezpečnosti. Vo firefoxe je rozšírenie, ktoré sa volá NoScript. Ten ti zariadi, že JS bude vypnutý a ty povoluješ domény, ktorým dôveruješ. NoScript rieši veci, ktoré neviem, že by niekto riešil v iných grafických internetových prehliadačoch, napríklad clickjacking.
No a na prezeranie pornostránok používam jedine lynx Je to textový internetový prehliadač, čo mu samo o sebe dodáva na bezpečnosti.

hej robertek, pekne, hned si idem stiahnut ten plugin.. ) myslel som si ze je to blbost ale po zrelom uvazeni.. a asi aj ten textovy prehliadac si stiahnem.. :D

proste, JS + bezpečnosť nejde dokopy... osobne sa snažím zakomponúvať js do svojich stránok úplne minimálne a len tak, ako tu už uviedol rooobertek... najradšej vôbec najviac ma totižto irituje fakt, že nech vytvorím akýkoľvek zdroják v js, hocikto si ho môže stiahnuť do pc a šíriť ako sa mu zapáči...
btw, rooobertek, to si to porno musíš moc užívať

tak ja celkom rád a často používam JS, hlavne s AJAXom ...
roobertok napísal že sa dá zneužiť, odpoveď: SAMOZREJME ... a? Aj PHP sa dá zneužiť a nie je to žiadna novinka. Pravdepodobne narážame na čítanie cookies, ale to sa dá urobiť aj cez PHP keď je útočník trošičku šikovnejší.

Teda ohľadne bezpečnosti a JS si treba uvedomiť jednu dôležitú vec -> nikdy sa nespoliehaj nato že dáta boli u kliinta skontrolované a tebe prichjádzajú bezpečné.

Ako el mariachi spomenul JS sa dá stiahnuť, kopírovať, šíriť a aj pozmeniť (dokonca za behu). Nevidím v tom žiaden problém, stačí napísať poriadne komplikovaný script .

Osobne nemám rád userov s vypnutým JS.

PHP považujem za najkrajší jazyk (slovenčina je ďaleko pozadu ). Dalo by sa povedať že tam je celá logika aplikácie.

to si v inom asi este nerobil.


ty asi niesi moc velky fanda opensource.

inak k teme, tiez pouzivam noscript, ale zas na druhej strane mam strasne rad ajaxove aplikacie napriklad od google, pretoze nemusim cakat kym sa mi reloadne cela stranka a cele pouzivanie takychto aplikacii je blizsie tym desktopovym. ale inak vo svojich projektoch sa snazim javascript pouzivat co najmenej. jednak je to pristupnejsie a zaroven sa znizuje bezpecnostne riziko.

opensource je pekná vec, ale nie kradnutie zdrojákov ktoré boli vytvorené na zákazku pre nejakého zákazníka a vydávanie si ich za svoje pokiaľ sa chcem podieľať na niečom opensource, tak nemám problém, ale toto je trocha o dačom inom
okrem toho, ako som už písal, je to bezpečnostné riziko na čom sa myslím zhodneme

wtf? bol si triezvy, keď si to písal?

roobertok: jednoznačne .. nepijem ...
el mariachi: naozaj je to bezpečnostné riziko??
suchy: ale hej ...

Naozaj Vám odporúčam prečítať si knihu Zraniteľný kód ktorú v danej téme posielam na najvyšie miesta.

Treba si uvedomiť:
-> JS je u klienta, so serverom nepohne
-> JS dokáže čítať cookies
-> JS môžme zmeniť HTML "za behu"

Potencionálne riziko (okrem iného):
-> XSS (čo súvisí hneď s ďalším)
-> kradnutie relácie (SESSION)
-> Sociálne inžinierstvo (Mitnik)

Viac ma teraz nenepadá.

roobertok: Presmerovať sa dá cez <meta> tag a header v PHP takže ani nemusím použiť JS

Tominator, tak keď nepiješ, tak aspoň trávu musíš fajčiť. Inak si tvoje vety neviem vysvetliť. Alebo si jeden z tých hotových odborníkov, čo zodborneli po prečítaní jednej knihy.

Nemáte pocit, že sme sa odklonili od pôvodnej témy?

roobertok: no nie nefajčím (ani trávu) ale pokiaľ nemáš nejaký pádny argument tak radšej "mimo témy" nepíš

A podľa mňa bezpečnosť je kľúčová pri používaní Javasrciptu a PHP ... teda sme v téme ...

Dobre teda. Tak ti poviem taký užívateľský príklad k tomu javascriptu. Mal som kedysi MS windows. Antivírus pindal pomaly furt čosi. Potom som zistil, že existuje noscript. Nainštaloval som si noscript a logy v antiviráku boli od tej doby prázdne. Dôvod? Hádaj.

Nerozumiem, z akého dôvodu porovnávaš zneužitie JS a zneužitie PHP. Existuje k tomu nejaký dôvod? Samozrejme, že to súvisí, ale som úplne v prdeli z toho, zapol som všetky svoje aj cudzie mozgové závity, ale furt som nepochopil, čo si chcel povedať. Možno si to len zle formuloval alebo som ja už zas prepracovaný.

Tak vždy ide aj o to aké stránky pozeráš

chcel som povedať že XSS nemusí fungovať výlučne len s javascriptom pretože naše milé prehliadače nám dovolia dať temer čokoľvek kdekoľvek a pri najlepšom nás upozornia že ten daný prvok nie je najlepšie umiestnený ...

noscript predsa neblokuje len javascript...to je len cast, noscript blokuje flash, javu etc. a blokuje aj spustenie rozneho skodliveho kodu

-vasa diskusia mi pride bezpredmentna, pretoze:
a) porovnavat javascript a php je ako porovnavat html a bash
b) bezpecnost javascriptu? co? akoze ked mam js na stranke tak mam web stranku menej/viac bezpecnu?(hovorim teraz o jeho pouzivani na svojom webe, nie zneuziti pri napr xss) blbost...takisto aj pri php, samo o sebe, ked tam uz mas nejaku user-interakciu tam diera moze byt, avsak to je problem developera, nie jazkyka

tominator: python je imho krajsi:)

Nejde len o to, aké stránky pozeráš. XSS sa vyskytuje aj na takých stránkach ako je facebook, internet banking a vlastne hocikde.

JavaScript sám o sebe nie je nebezpečný.
Nebezpečný sú neschopní tvorcovia stránok, ktorí sa spoliehajú na JavaScript (a hlavne si myslia, že zvládne niečo čo nezvládne - napr. ošetrovanie inputov).

no presne shaggy, to je presná formulácia ...

POM4R4NC: v tom som ešte nerobil