как защитить код сайта
Как защитить свой сайт от копипаста кода, текста и фото
Привет уважаемые читатели seoslim.ru! Интернет предоставляет пользователям доступ к безграничному полю информации, но с разрастанием этой сети становится все сложнее защищать свои личные данные.
Как говорится, все что попадает в интернет остается там навсегда. Возникает вопрос, как же защищать свои права онлайн, а в частности авторское право?
К счастью, существуют некоторые методы по защите от сетевых краж авторской информации.
Надо ли бояться плагиатчиков в интернете
Плагиат в интернете встречается по разным причинам. Иногда это копирование информации персональных страниц, в таком случае это конечно неприятно, но серьезных нарушений по факту нет. Что касается онлайн бизнеса, то в определенных случаях плагиат может рассматриваться как нарушение закона.
Компаниям, чтобы обезопасить себя и свои данные, необходимо с вниманием относиться к защите ресурсов. Нередки случаи полного копирования сайта, кражи персональных данных и денег клиентов.
Также стоит понимать, что разместив статью или любую другую информацию в интернет вы становитесь ее автором, но стоит кому-то скопировать материал к себе на более популярный ресурс, то роботы поисковых систем могут быстрее проиндексировать такой пост и тогда для них плагиатчиком будите вы, что негативно отразится на посещаемости сайта, так как он не будет занимать первые позиции в выдаче.
Технические способы защиты сайта от копирования
Существует множество способов защитить авторскую информацию в интернете.
Это можно сделать, как при помощи специальных сервисов, например, Яндекс.Вебмастер или NGENIX, так и прибегая к определенным хитростям в составлении кода страницы.
В основном защита сайта делится на три категории:
Как защитить контент
Основную ценность онлайн-ресурсов в большинстве случаев представляет текстовая информация.
Она зачастую содержит либо авторскую мысль, либо коммерческую направленность, и кража подобного текста приравнивается к краже интеллектуальной собственности.
Самый простой метод — это вставка в статью наименования компании, автора или бренда, также вставка авторских ссылок и прочих материалов, которые могут указать на оригинальную принадлежность контента.
В таком случае злоумышленнику сначала придется редактировать скопированный текст, что значительно снижает вероятность кражи подобного материала.
Однако есть и другие, более действенные методы для тех, кто вообще не хочет, чтобы что-либо было скопировано.
Запрещаем выделение текста
Для защиты блогов или страниц с авторской информацией необходимо убедиться, что читатели не смогут полностью скопировать материал. Для этого надо проделать два шага.
Первый. При помощи CSS. Для этого в редакторе HTML специальные свойства для всех браузеров.
Второй. Далее надо привязать свойства к самой странице, например, к заголовку, тексту или самой кнопке копирования.
При использовании данных кодов посетитель не сможет выделить информацию, так как привычное синее поле выделения не будет работать.
Отключаем правую кнопку мыши
Чтобы предотвратить читателей от копирования авторской информации также можно механически запретить использование правой кнопки мыши на заданном сайте, ведь всем известно, что с помощью щелчка правой кнопки мыши происходят основные операции.
Для этого понадобится ввести в HTML редактор страницы код:
В таком случае при посещении сайта пользователь не сможет пользоваться функциями правой кнопки мыши.
Но не стоит забывать, что для копирования также можно использовать клавиатуру, поэтому не следует использовать этот метод в одиночку.
Автоматическое добавление ссылки на источник
Если копирование информации не критично, но для сохранения авторских прав все же необходимо что-то сделать, существует метод добавления ссылки на источник, откуда пользователь скопировал информацию.
Это позволит безболезненно распространить авторскую информацию и не дать другим пользователям выдать ее за свою.
Для этого нужно вставить следующий скрипт между тегами … в редакторе страницы.
Защита кода сайта
Даже если защищены все материалы, все еще нет полной гарантии сохранности ресурса. Злоумышленники часто ухитряются украсть весь сайт, особенно если он несет некую коммерческую ценность.
В этом случае следует защитить код сайта. Для этого необходимы обфускаторы — специальные коды, способные перепутать знаки в коде и не позволить его скопировать.
Существуют программы-обфускаторы, например, StarForce C++ Obfuscator, который преобразовывает программы с целью их защиты от копирования.
Как запретить копировать фото на сайте
Также, как и текстовую, медиа информацию, например, фотографии тоже проходится защищать от мошенников. Существует несколько действенных методов.
Первый метод заключается в вышеупомянутом случае запрета пользователям нажимать правую кнопку мыши во время посещения страницы.
Одним из простейших вариантов является цифровая авторская метка на изображении (водяной знак). Так, даже если фото скопируют авторство всегда будет указано.
Что делать, если веб-ресурс скопировали
Для начала стоит разобраться, какие все-таки права есть у автора:
При краже любой авторской информации в интернете существуют три вида ответственности: гражданская, административная и уголовная.
Авторство в Яндексе
Яндекс это зеркало Рунета, поэтому поисковая система не занимается регулированием споров между тем у кого, кто и что скопировал.
Для того чтобы Yandex мог понимать, кто является автором статьи и сей факт был учтен в настройке поисковых алгоритмов, в инструментах для веб-мастеров надо перейти в раздел «Оригинальные тексты» и перед постингом статьи разместить материал там.
Так алгоритмы будут понимать кто и с какого сайте первым загрузил определенный материал.
Как пожаловаться в Google
У Google, в отличие от Яндекса нет специального механизма по защите авторских прав. Данная поисковая система разрешает подобные проблемы по мере поступления жалоб.
Для этого необходимо заполнить соответствующую онлайн форму, и администратор запустит проверку. Однако, совсем удалить скопированную страницу компания Google не может. Они только убирают сайт из результатов поисковой выдачи.
Переходим по адресу google.com/webmasters/tools/dmca-dashboard и «создаем новое заявление».
Указываем источник и ресурс, который скопировал ваш материал. После того, как заявка будет рассмотрена, копипаст не будет отображаться в выдаче Google.
Обращение к хостинг-провайдеру
Обращение к хостинг-провайдеру может быть вариантом разрешения конфликта, однако следует наверняка знать конкретного хостинг-провайдера недобросовестного сайта.
Пишите гневное письмо, ссылаетесь на URL источник и ждете ответа.
Не все компании идут навстречу веб-мастерам, но мне повезло и некоторые страницы плагиатчиков были удалены.
Интернет разрастается, а вместе с ним растет количество плагиата и других преступлений, нарушающих авторство.
Хоть ситуация, в которой мошенники могут похитить авторскую информацию и имеет выходы, все же лучше позаботиться о сохранности своего материала заранее, обезопасив данные с помощью одного из перечисленных выше способов.
Как защитить сайт от копирования: хорошие и плохие способы
Обидно, когда крадут твою статью и даже не указывают авторство. Неприятно, когда воруют фотографии и видео или копируют дизайн сайта. Сегодня разберемся, можно ли вообще бороться с таким воровством и как защитить от копирования свой сайт — его код и контент. Расскажу, какие есть рабочие способы защиты, какие у них плюсы и минусы.
Содержание
Зачем заниматься защитой сайта от копирования
Представьте: вы опубликовали статью. Через некоторое время ее скопировал другой сайт, у которого посещаемость и цитируемость гораздо выше. По идее, поисковые системы должны понимать, что ваш материал — оригинальный, и по релевантному запросу выдавать ссылку на статью у вас, а не у конкурентов.
Но вполне вероятно, что конкуренты с ворованной статьей окажутся впереди — поисковики быстрее проиндексируют материал на раскрученном сайте. А вас, наоборот, заподозрят в плагиате и понизят в выдаче. В итоге вы потратите время и деньги на то, чтобы создать хороший контент, а отдача будет нулевой.
Как защитить сайт от копирования: технические способы
Сейчас будет немного грустно: на самом деле защитить контент от копирования нельзя. Есть только способы, которые немного усложняют жизнь воришкам. Но это не значит, что надо не беспокоиться о безопасности и надеяться, что воры обойдут вас стороной.
Защитой сайта от копирования занимаются в основном в двух целях:
Как запретить копирование текста на сайте
Можно с помощью нескольких строчек кода запретить копирование текста со страницы. Мне такой подход не нравится. Обычных пользователей только разозлит, что нельзя выделить текст, — может, я хочу просто пару предложений отправить другу. К тому же запретом на копирование текста вы резко снижаете свои шансы на новые внешние ссылки: вас не захотят цитировать, потому что для этого придется переписывать текст вручную. Ну а воры все равно смогут обойти этот запрет.
Запрет на копирование текста на сайте делается с помощью CSS свойств, HTML и JavaScript. Чаще всего эти методы отключают сочетание Ctrl+C или не дают вызвать контекстное меню по правому клику мышки, чтобы скопировать текст. Подробных инструкций давать не буду — способы лучше искать на тематических блогах и форумах, да и все равно их можно при желании обойти. Если все-таки хотите так сделать, обратитесь к тому, кто делал ваш сайт.
Автоматизация email рассылок
Отправляйте цепочки триггерных сообщений приветствия, брошенной корзины, реактивации, совмещая внутри одной цепочки email, SMS и web push.
Как защитить видео, аудио и изображения от копирования
Есть несколько способов запретить копирование или скачивание контента — видео, аудио и изображений.
Хранение на сервисе. Например, чтобы ваше видео показывалось только на одной площадке, можно использовать платный тариф на сервисе Vimeo. Заливаете видео, указываете сайт, и ролик будет показываться только на этом сайте. Но тут есть два минуса:
Отключение контекстного меню. Тот же способ, что и при защите текста от копирования — запретите вызывать контекстное меню по клику на правую кнопку мыши. Тогда человек не сможет вызвать это меню и «Сохранить объект как…».
Цифровые метки. Каждый цифровой фотоаппарат добавляет к изображению невидимый слой данных: когда сделано фото, характеристики камеры и ее настройки в момент снимка. Эти данные хранятся в формате EXIF.
Хорошая новость в том, что EXIF данные можно редактировать, например, добавить туда автора или владельца снимка с помощью программы типа EXIF Pilot. Но это и плохая новость — отредактировать или удалить EXIF данные может кто угодно.
Впрочем, хранить оригиналы снимков у себя на компьютере все равно полезно, пригодятся, если дело дойдет до суда. Но, конечно, если у вас есть такой объем свободной памяти или не жалко денег на внешний жесткий диск. Ведь оригиналы обязательно нужно хранить в исходном размере и качестве — это будет доказательством, что авторство принадлежит именно вам.
Водяной знак. Постарайтесь ставить вотермарк так, чтобы его сложно было убрать. Вор не будет красть фотографию, с которой придется долго возиться. Например, полупрозрачный знак может занимать довольно много места, но при этом не закрывать картинку:
Фото на сайте можно защитить водяным знаком
С такой фотографией вор не захочет заморачиваться. Одно дело отрезать или замазать небольшую подпись, и совсем другое — обрезать изображение на четверть или убирать большой вотермарк в редакторе.
Водяные знаки на изображения можно ставить с помощью Photoshop, но удобнее делать это в простых графических программах, чтобы обрабатывать сразу пакет изображений. Например, я пользуюсь бесплатным редактором FastStone Image Viewer. Если нужно поставить водяной знак на видео, понадобится видеоредактор, например, Premiere Pro или After Effects из пакета Adobe.
Прозрачное изображение-обложка. Маленькая хитрость: создайте абсолютно прозрачное изображение того же размера, что и фото. Наложите его на сайте поверх фото с помощью HTML или CSS, и при скачивании воришка получит именно обложку.
Проблема этого способа в том, что ваш контент не будет распространяться силами пользователей. Его просто нельзя будет скопировать или скачать. Уж лучше ставить на фото водяной знак: изображение уйдет в массы, но авторство сохранится.
Как защитить код сайта от копирования
Для этого можно прописать в коде сайта скрипт, который отключит у пользователя функции клавиш. Например, клавишу F12 — она вызывает панель разработчика с HTML кодом сайта, или сочетание Ctrl+U, которое открывает исходный код страницы. Можно использовать инструмент-шифровщик, например, Advanced HTML Encrypt and Password Protect — вместо нормального кода пользователь увидит непонятные строчки.
Но, как и в случае с контентом, гарантированно защитить код сайта от копирования нельзя. Тот, кто хочет, найдет способ своровать. А вы только потратите время на разработку этих ловушек и барьеров, вместо того, чтобы продвигать сайт.
Как доказать авторские права на контент: кросспостинг, авторство, жалобы
Не стоит ограничиваться только методами, которые не дают пользователю скачать или скопировать содержимое сайта. Есть также способы, которые помогут защитить свои авторские права на контент.
Добавление ссылки в скопированный текст
Вы наверняка встречались с этим методом: когда вставляешь скопированный откуда-то кусочек текста, к нему добавляется приписка типа «взято с https://site.com/…». Эта функция либо прописывается в коде сайта — если у вас самописный ресурс, либо включается специальными плагинами — если сайт создан в конструкторе. Для WordPress, например, можно использовать Append Link on Copy.
Если ваш контент воруют вручную, то ссылки наверняка заметят и удалят. И, опять же, есть риск разозлить пользователя: он хочет отправить другу интересный абзац, а к тексту цепляется непрошеная ссылка.
Но вот в случае автоматического сбора — парсинга, такой метод может пригодиться. Внешняя ссылочная масса за его счет подрастет. Правда, вряд ли ссылки окажутся на площадках с хорошей репутацией — методом парсинга обычно наполняют третьесортные сайты-агрегаторы.
Специфичный контент
Старайтесь делать уникальный и специфичный контент, который сложно будет применить на другом сайте. Используйте больше фактов, названий, конкретных описаний, упоминаний ваших особенностей и продуктов.
Вот классический безликий пример описания компании. Использовать такой текст можно где угодно: и в металлопрокате, и в косметике, и в автозапчастях:
«Мы давно и успешно работаем на рынке и являемся лидерами в своей отрасли. Вся представленная продукция имеет необходимые сертификаты и удовлетворит даже самые взыскательные требования к качеству».
Если у при чтении задергался глаз, это хорошо 🙂 Кажется, текст что-то описывает, но на деле информации ноль, только общие слова. Сравните его с нормальными текстами из нашей подборки примеров крутого копирайтинга.
А теперь давайте создадим нормальное описание компании:
«Мы печем торты и пирожные с 2010 года. Готовим из самых свежих и качественных продуктов: молоко, сметану, яйца и сливки поставляют местные фермы, шоколад приезжает из Бельгии, мука — высшего сорта и одобрена «Роскачеством». Сделаем для вас любой торт — для маленького семейного торжества или свадьбы на 200 человек, детского чаепития или сыроедческой вечеринки».
Тут нет смысла ставить запрет на копирование текста. Слишком много специфичных деталей, даже другая кондитерская не сможет украсть это описание. Отрерайтить его под себя тоже не получится, легче написать свой.
Подпись
Статья, новость, любой материал на вашем сайте — объект авторского права. Он автоматически кому-то принадлежит. Владельцем может быть автор, имя которого указано под материалом, или компания — работодатель автора. Лучше всего указывать здесь не псевдоним, а настоящее имя, так проще будет доказывать в суде, что именно вы автор.
Указывайте авторство так: знак копирайта, имя автора и год создания материала. Например:
© Ольга Борисенко, 2020
Если пишете материалы от компании, можно вместо имени ставить название компании:
Можно в подвале сайта один раз прописать, кому принадлежат все материалы и на каких условиях можно их заимствовать. Так часто делают СМИ, вот пример с сайта издания «Вести»:
Права на материалы и условия заимствования прописаны в подвале сайта «Вестей»
Если вам не жалко, разрешите заимствовать материалы при условии активной ссылки на источник, то есть на вас. Таким образом получите больше внешних ссылок, а это положительно скажется на ранжировании сайта в выдаче.
Кросспостинг
В начале я писала о том, что защита контента от копирования — это в том числе побыстрее добиться индексации материала поисковиками. Тут вам пригодится кросспостинг — это когда вы публикуете ссылку на свой материал на других площадках. Раскидывая ссылку на страницу по нескольким местам, вы увеличиваете шансы на быструю индексацию этой страницы.
Самый очевидный вариант для кросспостинга — свои же соцсети. Еще публиковаться можно на блоговых площадках вроде «Хабра», Cossa, VC, обмениваться партнерскими постами с другими компаниями и так далее.
Совет! Для эффективного кросспостинга делайте разные подводки к одной ссылке. Если будете постить везде одинаковые, есть вероятность, что поисковик их «склеит» и несколько анонсов будет воспринимать как один.
Авторство от «Яндекс»
Чтобы защитить текст от копирования, можно заранее предупредить систему «Яндекс» о том, что у вас выходит оригинальный текст. Для этого нужно подтвердить права на сайт в «Вебмастер» и воспользоваться там инструментом «Оригинальные тексты», он находится в разделе «Информация о сайте». Сюда можно отправлять тексты от 500 до 32 000 знаков, в день максимум 100 материалов.
Важно! Текст нужно пропустить через «Вебмастер» до того, как он выйдет на сайте. Только так поисковик поймет, что оригинал принадлежит вам.
Инструмент «Оригинальные тексты» в «Яндекс.Вебмастер» поможет подтвердить права на текст
Учтите, «Оригинальные тексты» — это не панацея. Их первоочередная цель — научить систему лучше распознавать оригинальный контент, а не напрямую защитить ваши права на него. На странице инструмента даже есть приписка, что «Яндекс» не гарантирует учет вашей заявки в работе поискового алгоритма.
Жалоба в Google
Google старается соблюдать авторские права. Естественно, ворованного контента в интернете — море, попробуй за всем уследи. Так что если заметили свои материалы в чужих руках, можно самостоятельно пожаловаться через специальную форму заявки.
Что стоит запомнить
Ваш сайт могут скопировать — и контент на нем, и код. Это не только обидно, но и опасно — в случае, если скопированный материал проиндексируется сначала у воришек, и только потом у вас. Вы окажетесь ниже в поиске по релевантному запросу или вообще не попадете в выдачу, к тому же поисковые системы могут занизить вас якобы за плагиат.
На 100% защитить сайт от копирования не получится, но можно усложнить жизнь ворам и сделать так, чтобы поисковики показывали именно ваш, а не ворованный контент, и не было сомнений, что авторство принадлежит именно вам.
Вот какие способы для этого есть.
Гарантированно защитить свой сайт от копирования не получится, но это не значит, что защищаться от воровства не нужно. Создавайте уникальный контент для целевой аудитории, обозначьте свое авторство и работайте над тем, чтобы в выдачу попадали именно ваши материалы, а не копипаст от конкурентов. Регистрируйтесь в SendPulse, чтобы быстро и удобно рассылать контент сразу по нескольким каналам: через email, SMS, Viber, push рассылки, а также через чат-ботов для Facebook и ВКонтакте.
Прячем, обфусцируем и криптуем клиентскую часть веб-приложений
Обфусцированный скрипт
Теория
Работа JJEncode
Базовое шифрование HTML/CSS
Что делать, если нам нужно зашифровать HTML или CSS код? Все просто: зашифровать на JavaScript, а после расшифровки вставить как HTML код.
Пример вставки (без шифровки/крипта/обфускации):
Точно так же мы поступим и с CSS-стилями:
Теперь постараемся абстрагироваться от HTML и CSS и поговорить только о самой сути — сначала скрытии, а затем и криптовке JavaScript.
Прежде, чем кто-либо захочет посмотреть и расшифровать наш код, он постарается его найти. Ниже ты найдешь несколько действенных методов сокрытия кода от глаз любопытных пользователей.
Прячем слово «][akep» в теле документа
Замена атрибутов тега
А теперь просто создадим папку «text», в которую положим наш скрипт («script.js») под именем «javascript» и поменяем атрибуты местами. Это будет выглядеть так:
Для лучшего эффекта сразу отвлечем внимание пользователя на путь. Например, так:
Проверено на личном опыте: работает отлично! Таким способом я сам накручивал партнерку по кликам, так как пришлось использовать накрутчик на JavaScript. Администрация партнерки его так и не увидела :).
JavaScript-обработчики
Данный способ также не является универсальным средством для сокрытия JS-кода, но все же я расскажу о нем. Главная идея состоит в том, чтобы прятать код внутрь обработчиков событий onLoad, onClick и т.д. То есть примерно в следующие конструкции:
Например, для тегов body и frameset есть обработчик onLoad, который запустит в нем прописанный код после загрузки страницы/фрейма.
Отмечу, что не для всех объектов обработчики одинаковы.
Cookie, Referrer и адрес
JavaScript можно также спрятать и в такие нестандартные места, как cookie (document.cookie), реферрер (document.referrer) и адрес страницы (location.href). В данном случае код будет храниться как обычный текст, а выполняться с помощью функции eval(), которая берет в качестве аргумента текст и выполняет его как JavaScript-код.
В качестве примера примем такое допущение, что у нас уже установлены кукисы следующего вида:
Теперь выполним этот алерт следующим образом:
Здесь мы берем текст всех cookie-записей для нашего хоста и делим его на части в местах, где стоит «||». Затем берем второй элемент ([1]) и запускаем его через eval().
Данный способ не так уж и плох, так как код, который мы хотим исполнить, не виден на самой странице, а также потому, что мы можем заставить код удалить самого себя! Пример реализации:
Аналогичным образом можно использовать и другие строки, доступные через JavaScript, например, location.href и document.referrer.
Сокрытие кода на Ajax
Нуллбайт атакует Оперу
Этот метод прост и достаточно эффективен, но, к сожалению, он рассчитан только на браузер Opera. Суть метода в том, чтобы перед скрываемым кодом поставить так называемый нуллбайт (нуллбайт или nullbyte — это символ с ASCII кодом «0»). Зачем? Затем, что Opera просто-напросто не показывает код во встроенном просмотрщике после данного символа. Пример:
В данном примере сначала идет нормальный код, который нам скрывать не требуется. Потом с помощью PHP мы вставляем нуллбайт, а после него идет скрываемый код.
Прячемся в HTML-коде и комментариях
Код можно легко спрятать в HTML, затем обработать его и выполнить. Например, вот так:
В данном случае мы спрятали код в атрибутах тега img, после чего обработали код всей страницы, собирая разбросанные кусочки. Таким же способом можно скрывать текст в HTML/JavaScript комментариях:
Отдельно стоит отметить, что очень эффективно можно прятать код внутри популярных фреймворков — например, jQuery, mooTools и подобных. Эти файлы не являются подозрительными, а исследование их займет много времени (хотя всегда существует возможность автоматического сравнения оригинала и измененного файла).
Теперь же, думаю, можно поговорить о том, что, в конце концов, видит эксперт безопасности, и о том, что исследуют антивирусы. Ниже читай о наиболее популярных методах криптовки и обфускации JS-кода.
Субституция стандартных функций/методов JavaScript
Данный метод ориентирован на то, чтобы вместо стандартных функций или методов JavaScript подставить свои переменные:
Флуд комментариями и кодом
Данный способ рассчитан на то, чтобы вставить в обфусцируемый код флуд, то есть что-то, что не несет смысловой нагрузки для кода скрипта. Флудить можно как код, так и комментарии:
В данном случае мы — во-первых, использовали внутреннюю переменную «cookie» объекта «document», как элемент массива. Во-вторых, мы перевели ее имя в шестнадцатеричный формат. Если бы мы использовали переменную «cookie» через точку, то есть как document.cookie, то мы бы не смогли перевести обращение к ней в шестнадцатеричный формат, так как это относится только к строкам (в массиве ключ является строкой), а в document.cookie строк нет.
PHP-функция перевода в шестнадцатеричный формат:
Трюк с несуществующими функциями
Как мы уже знаем из прочитанного выше, в JavaScript можно вызывать методы, как элементы обьекта: document.getElementById и document[‘getElementById’]. Оба варианта фактически одинаковы, различие есть только в записи — во втором варианте мы используем строку.
Как-то вечером я придумал очень интересный способ получения подобных строк. Например, нам нужно зашифровать вышеупомянутый «getElementById». Отвлечемся на короткое объяснение данного способа с помощью такого примера:
Этот скрипт не будет работать, так как функции b, c и d не были ранее объявлены. Теперь попробуем сделать так, чтобы этот код заработал, для этого будем использовать «песочницу» конструкции try<>catch()<>:
После запуска мы увидим ошибку, а это значит, что, хоть код и не является рабочим, он не остановил выполнение оставшейся корректной части.
А вот теперь мы зададимся вопросом, как такая схема может быть связана с шифрованием строки «getElementById»? А вот так:
После выполнения этого кода у нас получится строка «getElementById», содержащаяся в переменной «x».
В чем соль этого метода? В том, что эвристический анализ антивирусов при нахождении функций будет ругаться на то, что они не существуют. Тем самым мы обфусцируем код не на уровне шифровки строк разными способами, а на уровне получения данных строк от самого JavaScript.
Числа с помощью оператора «
» (тильда) является битовым отрицанием и используется вот так: «alert(
13);». Этот код выведет нам «-14». Работает данный оператор по принципу «-(число+1)».
Представим, что мы хотим присвоить переменной «a» какое-нибудь число, причем нигде это число не писать: «a =
[]»;
Данный код присвоит переменной «a» число «-1». Почему? Потому что массив представляет собой нейтральный элемент с числовым значением «0», следовательно,
Буквы и строки без строковых данных
Иногда требуется получить букву/символ или какой-то текст без его явного написания. Сделать это позволяет одна особенность JavaScript. В этом языке существуют различные внутрисистемные сообщения, которые можно преобразовать в текст, а затем этот текст обработать.
Например, представим, что нам нужно получить текст «code». Эта строка содержится в именах таких методов, как charCodeAt(), fromCharCode() и других. Получить текст можно следующим образом:
В данном примере переменная «a» будет содержать текст «code». Разберем подробнее. Попробуй исполнить вот такой код: «alert(alert+»);». Ты увидишь что-то вроде «function alert() < [native code] >». Тем самым, использовав всего-навсего два раза функцию alert(), мы получили совершенно другие символы.
Теперь постараемся понять, как это все работает. Представим, что у каждого объекта, функции и всего остального в JavaScript есть некое «описание». Чтобы получить к нему доступ, нужно явно изменить тип данного объекта или функции на строковой, присоединив, например, пустую строку (+»»).
Шифровка строк
Для шифровки/расшифровки строк в JavaScript существуют несколько полезных функций. Разберем некоторые из них:
Также есть два метода объекта String, которые работают с преобразованием символа в ASCII-код и наоборот:
Преобразование объектов/переменных
Имена объектов и переменных можно также преобразовать в строку (например, чтобы потом эту строку зашифровать). Преобразование происходит по тому же принципу, что и преобразование имен методов, то есть с помощью перехода из формы «.метод» в форму «[метод]». Для корректного преобразования нужно найти еще более высокий в иерархии объектов элемент, который бы имел внутри себя слово «document». Имя ему this. Согласно стандартам JavaScript, this не является объектом, а является оператором, возвращающим ссылку на объект. В результате теперь мы можем безболезненно использовать getElementById таким образом: «this[«document»][«getElementById»]».
Привязка кода
Избегание подозрительных функций
Советую также избегать явное использование функций eval(), document.write() и других. При поиске настоящего кода люди часто используют метод подстановки alert() вместо данных функций, так как после этого код можно сразу прочитать таким, каким мы его начинали шифровать, следовательно, весь смысл обфускации пропадает. Как же выполнить код, не используя фунцкию eval()?
Вспомним про то, что во главе всего стоит оператор this. С помощью него функцию eval() можно превратить вот в такой код:
После такого преобразования мы спокойно сможем использовать «a()» вместо «eval()».
Изменение на нечитаемые строки
Шифрование кода
Способов шифровки текста существует неограниченное количество, хотя все они основаны на использовании каких-либо текстовых/числовых функций. Часто работает конструкция: eval() + функция_расшифровки() + шифрованная_строка. Попробую без лишней воды показать один из таких способов.
Допустим, нам нужно зашифровать строку «alert(1);». Мне пришло в голову брать по два символа из нее, переводить их в числа (ASCII код), считывать их и рядом ставить первый символ в чистой (без перевода) форме. Только стоит учесть, что, разделяя код на такие двухбуквенные части, мы получим код примерно в 2-2,5 раза больше оригинала, а также нельзя забывать, что такие блоки лучше как-то разделять (как элемент массива или через разделитель). За разделитель возьмем знак «%», так как он делает шифрованную строку похожей на URL-строку. Напишем простой PHP-скрипт:
Вот что у нас получилось: « %a205%e215%t156%190%;59 ».
А теперь напишем дешифровщик этого кода на JavaScript:
Вызов кода в таком случае будет выглядеть так: «eval(d(‘%a205%e215%t156%190%;59’));».
Теперь остается только немного обфусцировать весь этот скрипт. Мы не будем использовать все описанные методы, а затронем лишь некоторые из них:
Напоследок
Ну что ж, подведем итоги. При комбинации всех этих способов можно быть на 100% уверенным, что простой или даже средний пользователь не сможет прочитать или скопировать к себе твой код. Но так как специалисты по компьютерной безопасности прекрасно знают о большинстве данных трюков, а также потому что я выкладываю эту информацию на всеобщее обозрение, могу предположить, что данные методы станут более популярными и известными. Я надеюсь, что ты сможешь использовать представленную информацию в благих целях.
Делаем скрипт читаемым
Журнал Хакер, Сентябрь (09) 152
|qbz| (lopuxin.iv@yandex.ru, http://essenzo.net).