nicht angemeldet
Hallo,
ja Aufwand ist Schutz.
z.B.
beim vielseits genutzen RSA Verschlüsselungsverfahren...(in PGP angwendet)
Der Schutz besteht bei PGP aber darin, daß man Ewigkeiten rechnen und probieren _muß_, um den Schlüssel zu knacken.
Bei der Javascript-Verschlüsselung wird der Code zur Entschlüsselung aber bereits mitgeliefert. Man muß ihn nur noch entsprechend manipulieren. Und das geht relativ leicht.
Ansatzpunkt: Man fügt zunächst ein Formular mit einer leeren Textarea in das Dokument ein. Dann hält man im Javascript-Teil nach einem document.write() ausschau und ändert diesen Befehl in eine Wertzuweisung an die Textarea. Statt document.write(geheimtext); kommt dort document.forms[0].elements[0].value=geheimtext; rein (Wer Namen vergibt, darf sie gerne benutzen).
Damit hat man mindestens 80% aller Schutzmechanismen ausgehebelt. Die restlichen 20% zeigen leider noch nicht den Quelltext an.
Diese schlaueren Schutzmechanismen haben zwei codierte Bereiche. Der eine ist die Seite, der andere ist eine Dekodierfunktion, die mit urldecode entschlüsselt (eigentlich nur lesbar) und dann durch eval() gejagt wird.
Hier muß man doppelt ansetzen: Zuerst muß man die Variable im eval() in die Textarea schreiben. Dann sieht man ganz sicher, daß sich in diesem Code ein weiteres document.write() befindet, welches in Wirklichkeit die Quelltextausgabe macht. Das zuerst sichtbare document.write diente nur der Ablenkung.
Naja, man kann dann relativ leicht statt dem eval() einfach den Inhalt der Textarea in die Datei kopieren, das echte document.write() in die Textarea umleiten und hat dann kopierfertig den Quelltext vorliegen.
Grundsätzlich müssen alle diese Verfahren mit document.write() ihre Seite irgendwann man uncodiert preisgeben, und an dieser Stelle kann man immer ansetzen.
Oder man benutzt einfach Netscape - der zeigt beim Quelltextanzeigen das, was document.write() ins Dokument geschrieben hat, einfach an, und nicht die vom Server geladene Datei, so wie es der IE macht. Allerdings muß man sich beim Netscape dann gegen Rechtsklickscripte etc. zur Wehr setzen, denn ohne Javascript gibts keine Seite.
Und ein ganz gravierender Nachteil (oder Vorteil - wie mans nimmt): Suchmaschinen können solche verschlüsselten Seiten natürlich nicht finden und durchsuchen. Man verzichtet also auf einen erheblichen Anteil an Besucherzufluß. Aber das macht nicht unbedingt etwas, denn solche Seiten braucht das Netz sowieso eher selten, also ist das nicht schade.
- Sven Rautenberg