Ciao,

evil80 ha scritto:

è possibile criptare file js e html?

Anche se fosse possibile, ad un certo punto dovresti comunque decrittarli affinché il browser possa interpretarli. A quel punto è facile per un utente esperto usare la console di sviluppo del browser (tasto F12) per esaminare il DOM - ovvero l'albero logico degli elementi HTML - che in quel momento si trova caricato in memoria.

Il massimo che puoi fare è minificare e/o offuscare il file .js ma questo non impedirà ad un utente determinato di copiare il tuo contenuto.

Spiega bene la situazione in cui ti trovi, magari esistono altre soluzioni.

Nel frattempo, ti linko una discussione su StackOverflow con delle risposte umoristiche sull'argomento :)
http://stackoverflow.com/questions/2832077/how-to-make-html-file-encrypted

ciao,
Moreno

ciao e buona domenica!

evil80 ha scritto:

Con gli obfuscator si riesce ad ottenere un buon livello di sicurezza?

No, quasi nessuno, perché la sicurezza tramite segretezza non è sicurezza. Il tuo codice, seppur offuscato, è lì in bella vista e nulla impedisce ad un utente malintenzionato di alterarne il funzionamento. L'offuscamento serve solo a complicargli leggermente le cose. Può giusto scoraggiare i novizi.

evil80 ha scritto:

contiene parte della logica applicativa

Può anche andar bene che parte della logica sia lato client ma per nessun motivo un utente deve riuscire a compiere delle operazioni per cui non ha il privilegio. Se anche ci provasse alterando il tuo codice javascript, il server dovrà restituirgli un errore.

Alla fine, se fossi io l'utente malintenzionato, non avrei neanche bisogno di manipolare il javascript ma mi basterebbe osservare le richieste HTTP che il client invia al server ed andrei a riprodurle con dati alterati usando Fiddler. E' per questo che la logica di validazione e di autorizzazione devi tenerla lato server, perché è il tuo primo e ultimo bastione che protegge i dati contenuti nel database.

ciao,
Moreno

---

Modificato da BrightSoul il 15 febbraio 2015 09.55 -

ciao, prego!

Dunque, le questioni sono varie, vediamo se riesco a rispondere:

• Se anche creassi una sorta di "crc" questo dovrebbe essere generato sul client e matchare con quanto il server si attende.

  Puoi usare un captcha da far risolvere all'utente all'inizio della sessione oppure ogni volta che invia dei dati (a seconda del caso). Alcuni utenti lo trovano noioso ma in qualche modo devi pur distinguere l'utente umano da un bot.

• come posso sapere se i dati provengono effettivamente dalla mia web app e non sono invece stati generati/manipolati?

  Per quanto possibile, dovresti fare in modo che sia inutile manipolarli. Mi spiego: se la tua applicazione è un gioco, non dovresti calcolare il punteggio lato client ma lato server, in base alle azioni svolte dall'utente nel corso del gioco. Abbiamo trattato qualcosa di simile in questa discussione. Può darsi che si applichi anche al tuo caso.
  http://forum.aspitalia.com/forum/post/395061/Scambiare-Dati-Computer-Internet.aspx?PageIndex=2#395822
  Poi, si sa, gli utenti determinati riesco a barare anche in quelle situazioni. Pensa a quelli che usano gli aimbots negli FPS: quello è un piccolo software in grado di simulare l'attività umana, in modo che al server sembri che è stato proprio l'utente a compiere quelle azioni.

• come posso evitare attacchi di Ddos

  Non puoi propriamente "evitarli", ma puoi limitarne gli effetti se ti affidi alla giusta infrastruttura di rete. Ricorda che un attacco DDOS non ha lo scopo di corrompere la tua base dati, ma di interrompere il servizio inondandolo di richieste. E' un problema che riguarda più il networking, che l'applicazione.
  Se la tua webapp è ospitata su Microsoft Azure, allora puoi difenderti egregiamente perché sono già in atto degli accorgimenti di protezione da DDOS. Dalla whitepaper Windows Azure Network Security:
  

  
  Windows Azure has a distributed denial-of-service (DDoS) defense system that helps prevent attacks against Windows Azure platform services. It uses standard detection and mitigation techniques such as SYN cookies, rate limiting, and connection limits.
  

ciao,
Moreno

---

Modificato da BrightSoul il 16 febbraio 2015 22.29 -