Retour à la liste des sujets

Laisser sa CLE PRIVE dans un SCRIPT JS

raterpartiels
2022-01-10 21:27:14

Y'a un risque ?
laisser sa clé privé dans un fichier js d'un site html classique dans le cas où on veut juste retrieve des données via l'api fetch ?
Sachant que l'api est bien configurée pour que ca ne fasse que des requetes

Macron6453
2022-01-10 21:28:15

Sans détail difficile
Quelle API, quels accès tu as avec cette clef, est ce que les données utilisés avec cette clef sous toute ses formes sont totalement rendus publiques

raterpartiels
2022-01-10 21:28:18

up

ScorpionElegant
2022-01-10 21:28:44

Oui

gibus_sc2
2022-01-10 21:28:55

N'importe qui pourra faire des requetes avec ta clé.
Et vu l'idée de génie que tu es en train de proposer, j'espère que tu n'es pas celui qui a créé l'api

[-Ashi-]
2022-01-10 21:28:58

Euh oui, tous les fichiers js comme css et html sont lisibles

El_sloubizador
2022-01-10 21:30:03

Bah il suffit de la retirer du port USB et c'est tout bon, sois pas parano quai.

Sheitounet
2022-01-10 21:30:29

Le 10 janvier 2022 à 21:28:58 :
Euh oui, tous les fichiers js comme css et html sont lisibles

raterpartiels
2022-01-10 21:31:18

Le 10 janvier 2022 à 21:28:15 Macron6453 a écrit :
Sans détail difficile
Quelle API, quels accès tu as avec cette clef, est ce que les données utilisés avec cette clef sous toute ses formes sont totalement rendus publiques

j'ai configuré avec le dashboard du service en question le fait que la clé puisse juste avoir acces aux infos publiques

raterpartiels
2022-01-10 21:31:47

Le 10 janvier 2022 à 21:28:58 [-Ashi-] a écrit :
Euh oui, tous les fichiers js comme css et html sont lisibles

Y'a pas moyen d'offusquer la clé privé ?

raterpartiels
2022-01-10 21:34:18

Le 10 janvier 2022 à 21:30:29 Sheitounet a écrit :

Le 10 janvier 2022 à 21:28:58 :
Euh oui, tous les fichiers js comme css et html sont lisibles

donc tout ce qui est utilisé dans mon script js (avec api fetch) sera lisible par n'importe quel internaute, pourvu qu'il cherche bien ? :(
Même si c'est dans un fichier js séparé ?

[-Ashi-]
2022-01-10 21:34:44

Tu peux essayer avec https://obfuscator.io/ mais je trouve la manœuvre débile

raterpartiels
2022-01-10 21:37:43

Le 10 janvier 2022 à 21:28:55 gibus_sc2 a écrit :
N'importe qui pourra faire des requetes avec ta clé.
Et vu l'idée de génie que tu es en train de proposer, j'espère que tu n'es pas celui qui a créé l'api

Non c'est une API tierce
y'a pas un moyen de cacher ma clé privé ? (j'utilise l'api fetch de js)

[-Ashi-]
2022-01-10 21:40:04

Tu peux aussi te faire un dossier avec un nom à la con, qui te servira d'espace admin et tu bloques l'indexation via le robot .txt (sans mettre l'url publiquement)

Enfin il y a plein de façons de +/- cacher ses données

Développe vraiment ce que tu comptes faire

raterpartiels
2022-01-10 21:41:28

Le 10 janvier 2022 à 21:40:04 [-Ashi-] a écrit :
Tu peux aussi te faire un dossier avec un nom à la con, qui te servira d'espace admin et tu bloques l'indexation via le robot .txt (sans mettre l'url publiquement)

Enfin il y a plein de façons de +/- cacher ses données

Mais tout le monde peut analyser les requetes reseau pour voir la clé privé, non ?
puisque c'est en clair

[-Ashi-]
2022-01-10 21:43:14

L'api est utilisée par toi seulement ou n'importe quel utilisateur ?

ForeverModel
2022-01-10 21:46:53

Tout ce qui est utilisé sur la partie client est évidemment visible par n'importe quel utilisateur, ça inclut le code client Javascript utilisé sur l'application.

Obfusquer le code ne changera absolument rien.

Si cette clé est "privée", alors elle ne doit pas être déposée sur la partie cliente.

Si tu fais des requêtes en clair (sans SSL/TLS), un attaquant peut en effet lire le traffic.

Si tu as une application qui accepte des connexions non chiffrées en provenance d'un réseau non sûr/cloisonné, alors tu devrais vraiment réfléchir à la sécurité de ton application sur le long terme.

raterpartiels
2022-01-10 21:51:23

Le 10 janvier 2022 à 21:46:53 ForeverModel a écrit :
Tout ce qui est utilisé sur la partie client est évidemment visible par n'importe quel utilisateur, ça inclut le code client Javascript utilisé sur l'application.

Obfusquer le code ne changera absolument rien.

Si cette clé est "privée", alors elle ne doit pas être déposée sur la partie cliente.

Si tu fais des requêtes en clair (sans SSL/TLS), un attaquant peut en effet lire le traffic.

Si tu as une application qui accepte des connexions non chiffrées en provenance d'un réseau non sûr/cloisonné, alors tu devrais vraiment réfléchir à la sécurité de ton application sur le long terme.

Et comment est ce que c'est possible de ne pas mettre un script JS dans la partie cliente ? :(

raterpartiels
2022-01-10 21:51:53

Le 10 janvier 2022 à 21:43:14 [-Ashi-] a écrit :
L'api est utilisée par toi seulement ou n'importe quel utilisateur ?

bah j'utilise l'api pour afficher les data directement sur le front end du site

[-Ashi-]
2022-01-10 21:59:14

Le serveur distant du service en question ne pourra répondre qu'à ton domaine via le Cross-Origin Resource Sharing (CORS) donc osef si ta clé est visible non ?

Infos
Gestion du forum
contact@geevey.com

API disponible. Utilisez le paramètre "api" en GET, peu importe le contenu, sur une page du site.
Notes
    Partenaire: JVFlux
    Ce site n'est pas associé à Jeuxvideo.com ou Webedia. Nous utilisons seulement des archives publiques.
    Il est inutile de me spammer par e-mail pour supprimer un topic. Au contraire, en conséquence, je mettrais votre topic dans le bloc ci-dessous.
Non-assumage
    Personne n'a pas assumé de topic pour le moment.