Discussion :

[Death83]

Salut a tous,

je me posait une petite question.

SI on utilise son code JS en le mettant dans un fichier externe .JS dans un dossier dont on onterdit l'acces au utilisateur.

La page poura etre utiliser tout de meme par les pages du site? SI c'est le cas le JS ne poura pas etre lu par les visiteurs non?

[SpaceFrog]

essaye si t'es un javascripteur

[javatwister]

ben oui, essaye;
mais un .htaccess ne te permet pas ce faux-fuyant;

[SpaceFrog]

oui mais un top.location.href pourrait permettre de faire une redir non ?

[Death83]

ben oui, essaye;
mais un .htaccess ne te permet pas ce faux-fuyant;

Comment ca?
Le JS ne sera pas utiliser par la page qui l'appelle c'est ca?

[javatwister]

on te demandera de te logger;
idem sous ffx si tu passes par une requ�te xhr

[Death83]

Il doit surement y avoir un moyen d'interdire l'acces directe seulement � la page. (enfin j'esp�re).

[javatwister]

direct ou pas, si un adresse prot�g�e est invoqu�e, tu dois donner ton login et ton pswd!

[Death83]

Oui mais on ne peut pas en bidouillant le .htacces arriver a autoriser l'acces au dossier pour les page de son site?

(Un peu comme les .htacces qui interdise les utilisations des images sur des sites externe).

[SpaceFrog]

oui mais imaginez un repertoir avec un index.htm ...
dans lequel on colle un fichier.js
si on commence le fichier par une paire de ligne du gerne try catch ?
genre try{document.body}

[SpaceFrog]

mes tentatives ne sont pas tr�s concluantes... j'ai toujours un message d'erreur ...
remarque �a emp�che l'affichage du fichier ...

[Death83]

Avec un truc comme ca dans le htaccess il n'y aurait pas moyen d'y arriver:

RewriteCond %{HTTP_REFERER} !^http://www.votredomaine.net/.*$ [NC]

et apres on autorise la lecture du .js?

[SpaceFrog]

arf mon truc boite sous IE mais rampe avec ffx ...

[Herv� Saladin]

Salut,
franchement, je ne pense pas que ca soit possible.
Pour une raison simple : le code javascript doit quoi qu'il en soit �tre t�l�charg� par le navigateur pour pouvoir fonctionner. Donc en partant de ce constat, je vois pas comment on pourrait � la fois mettre ce site � disposition du navigateur et � la fois le cacher d'un oeil 'humain'.

SI on utilise son code JS en le mettant dans un fichier externe .JS dans un dossier dont on onterdit l'acces au utilisateur.
La page poura etre utiliser tout de meme par les pages du site?

Je dirais NON car il para�t difficile de faire une distinction entre l'utilisateur pour qui l'acces doit etre interdit, et le navigateur qui doit pouvoir acceder au script afin de le lancer .... si on y r�fl�chit bien il s'agit de la m�me entit�, mais avec simplement deux intentions diff�rentes (dans un cas visualiser le script et dans l'autre cas executer le script).
Car quand tu fais cela, certes dans le code source de la page on ne voit pas le script lui m�me, mais cependant on voit son url, et � partir de celle-ci on peut telecharger le fichier js via http.
Je suppose que c'est pour cela que tu propose d'interdire l'acces � l'utilisateur.
Le probl�me est que si tu interdit l'utilisateur d'acceder � ce fichier, tu interdit au navigateur d'y acceder aussi. Ce dernier ne pourra donc plus telecharger ni executer le code js.

La page poura etre utiliser tout de meme par les pages du site?

Attention, ce n'est pas "la page" qui utilise le script js, mais le navigateur. Quand tu met une balise appelant un fichier js externe (genre <script language="javascript" src="http://machin.com/truc.js" />), le navigateur telecharge le fichier .js s�par�ment de la page html. Ce n'est pas la page web qui inclus toute seule le fichier js � elle-meme.

Apres on peut chercher des astuces mais je suis sceptique.
Surtout que m�me dans l'hypoth�se ou on trouve une astuce qui marche, le script aura quand m�me �t� charg� dans le navigateur, donc il doit bien y avoir un moyen de l'en extraire.
A mon avis, il serait plus simple et plus sain d'utiliser un applet, car lui il est compil�, ce qui protege quand m�me pas mal le code.

Sinon, dans le genre "astuces et bricolages bizare", j'ai pens� � un truc :
lorsque ton serveur web donne la page html, il fournis en meme temps une clef generee de maniere al�atoire et valable une seule fois.
Concretement, la page contient une balise du genre :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

<script language="javascript" scr="http://machin.com/truc.cgi?clef=16524684">

Ensuite, dans le script 'truc.cgi', tu v�rifie la validit� de la clef, par exemple un tableau en variable globale dans lequel elle aura �t� plac�e au moment de la g�n�ration de la page html. Puis si la clef est ok, tu l'efface du tableau et tu envoie le code javascript au client .

Ca ne devrait pas empecher la visualisation du script � 100%, mais ca devrait serieusement compliquer la t�che de celui qui voudrait le voir.

Edit : tu pourrais meme mettre un temps d'expiration sur la clef, par exemple si le script js n'a pas �t� t�l�charg� en moins d'une demi-seconde (je dis ca au pif) apres la cr�ation de la clef, cette derniere ne sera plus valable.
Ainsi, il devrait �tre impossible � un cerveau humain d'avoir le temps d'analyser la source et d'y trouver la clef pour aller telecharger le script au cas ou l'utilisateur se serait d�brouill� que son navigateur ne telecharge pas le script afin de ne pas gaspiller la clef (je sais pas si je suis bien clair)

Si tu fais comme cela, � mon avis la seule fa�on de contourner cette s�curit� est d'�crire son propre client http (qui serait capable de chopper une clef et d'aller s'en servir pour telecharger le script et le donner � l'utilisateur); Tout �a sp�cifiquement pour voler ton script js .... autant dire qu'il faudrait que ton script en vaille VRAIMENT la peine pour se donner autant de mal. Si 'est aussi sensible que �a, �vite de passer par du javascript car je repete que je suis persuad� qu'il est impossible de proteger un script js � 100% (� moins de le rendre completement indisponible et donc inutilisable mais dans ce cas l'interet est limit�).

[SpaceFrog]

et c'est sans doute exclu IE en plus non ?

[Death83]

Je pense que c'est possible si on definit les pages qui y ont acces avec des rewrite cond.

Je vais essayer et je vous dit ca

[Death83]

Ca marche presque avec ca:

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
Options +FollowSymlinks
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http://127.0.0.1/manganimesV3.0/critiques/.*$ [NC]
RewriteRule javascript.js  - [F]

[Death83]

le probleme c'est que si le mec viens d'une page autoris� il peut lire le code et si le meme viens d'un page interdite vers une page ou le JS doit s'executer ca ne marchera pas.

EN fait il faudrait remplacer le HTTP_REFERER par l'addresse de la page au moment meme.

[siddh]

Je vais pas recopier tout le message de Herv� Saladin mais il a tr�s bien r�sumer la situation.

Et franchement je ne voit pas pourquoi prot�ger son code js.
Si c'est parceque c'est quelque chose de bien et que tu as pass� beaucoup de temps � le developper, sa complexit� d�couragera certainement ceux qui voudront le r�cup�rer.

[Death83]

En fait je m'en diche que les gens le voient ou pas.

C'est juste que j'aimerais y arriver. Et ca a de nombreuse autre application.
Mais bon c'est pas grave si ca marche pas.