Данные от БД и Electron

@N3stY · Регистрация: 05.06.2014

Студворк — интернет-сервис помощи студентам

Собственно не только в Electron, а и в общем в ноде, как спрятать от пользователя данные от бд (хост, пароль и тд.)?

Например в render.js даже после компиляции доступны все данные

JavaScript
1
2
3
4
5
6
7
mysql = require('mysql');
connection = mysql.createConnection({
    host: 'localhost',
    user: 'root',
    password: '',
    database: 'example'
});

@BANO · 26.01.2017, 20:30

N3stY, никак. Пользователь получил данные, теперь он их владелец, а не вы. Вы можете только усложнить получение этих данных, но вам они нужны всё равно в конечном виде, так что и пользователю, а хакеру тем более, не составит труда эти данные получить.

@N3stY · 29.01.2017, 16:00 **[ТС]**

BANO, Спасибо. Жаль, придется использовать api

@Alessa321 · 03.02.2017, 11:41

А в чем смысл? БД на компе у пользователя? Тогда он имеет к ней полный доступ и может как угодно просматривать и модифицировать.

Если БД где-то на вашем сервере и вы боитесь что он начнет сам туда лезть в обход приложения и пакостить - тогда логика работы с данными должна быть вынесена с клиента на сервер.

@BANO · 03.02.2017, 23:43

Сообщение от Alessa321

тогда логика работы с данными должна быть вынесена с клиента на сервер.

Сообщение от N3stY

Жаль, придется использовать api

Alessa321, вы читаете что-либо кроме топика?

@Alessa321 · 04.02.2017, 09:16

BANO, я не обладаю даром телепатии и не могу знать что имел ввиду автор под api. И говорю об общем подходе.

Судя по тому что у него пользователи лезут через интернет в общую БД, то автор только-только задумался о безопасности и большой вопрос поможет ли ему создание api, или там будут те же самые дыры.

@BANO · 04.02.2017, 14:44

Alessa321, не надо говорить о человеке, пока не узнаешь его в живую. Ну это я вам на будущее. Пока api не реализовано, нельзя даже предполагать о наличии в нём каких-либо дыр.
А вообще, бывают такие приложения, которым нужен именно доступ к бд, например бухгалтерские.
Так что без полной картины говорить смысла нету.

@N3stY · 08.02.2017, 01:41 **[ТС]**

Не по теме:

Alessa321, кхм кхм...

BANO, api реализовано, имхо с бд работать куда быстрее, тк. нужна только сама БД с данными и клиент, а с api еще и сервер(в случаи если api на ноде)/скрипт если api на php + задержки увеличиваются (клиент -> (скрипт -> бд) -> клиент).

@Randen · 08.02.2017, 11:30

N3stY, и как же, интересно, клиент может общаться с бд без API? Раз уж так быстрее...

@BANO · 08.02.2017, 18:55

Randen, так же как api общается с бд. Как бы проблем то нету. Есть только проблемы, когда бд не предоставляет например того уровня безопасности, которое может предоставить api. Ну или например если метод api чисто вычеслительный, но тогда почему бы его не реализовать на клиенте? Вообще разделение само произошло из-за недоверия к клиентам. Были придуманы разные хаки с правами, а потом начали придумывать свои велосипеды, которые реализуют доступ только к нужному функционалу. А потом за api стали прятать ещё и большие вычислительные операции, а так же функционал, который требует большого количества действий на сервере. В этом то и прикол, что люди тупо не доверяют клиенту, потому что над ним власти после релиза по факту нету, а если там ещё и ключи какие, то и над ключами нету. Так что именно недоверие заставило делать прослойку в виде api-сервера, а не какие-то удобства использования api. На самом деле легче писать эти действия в одном месте, чему думать как к этим действиям реализовать интерфейс. То есть api-сервер всегда является вынужденной мерой. Не более.

@N3stY · 08.02.2017, 23:45 **[ТС]**

Randen, кхм кхм mysql. Не знакомы с npm?
BANO, Не только потому, что клиенту не доверяют, а потому, что это в прямом смысле дыра в безопасности если клиент может получить полный доступ к БД (даже если у пользователя бд права только на чтение). Если приложение имеет возможность логина/регистрации, и все данные хранятся в БД, то получив креды от БД любой кто скачал приложение может получить пароли, мыла, и прочие данные всех пользователей включая администрацию, даже если пароли кодированы и тд. остальные данные же лежат как есть.

И как бы довольно печально что спрятать в ноде ничего нельзя (только хардкоддинг, и то с прямыми руками всё находиться). Хотя когда рылся в мессенджере от вк, не смог найти даже обращения к API. Видимо есть какой-то способ

@BANO · 09.02.2017, 00:04

N3stY, под "недоверие клиенту" я и говорил, что ему нельзя давать полный доступ ни к чему, если это конечно не пульт управления.
Вы видно просто не всё прочитали, либо я слишком мудрёно свои мысли излагаю.

@N3stY · 09.02.2017, 00:25 **[ТС]**

Не по теме:

BANO, нет, я просто решил уточнить для тех кто задаёт такие вот вопросы

и как же, интересно, клиент может общаться с бд без API?

@N3stY · 28.02.2017, 18:33 **[ТС]**

На данный момент есть вот такой вот способ защиты исходного кода для Node JS / Electron

Новые блоги и статьи Все статьи Все блоги /
Изучаю kubernetes lagorue 13.01.2026 А пригодятся-ли мне знания kubernetes в России?	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .
Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .

@BANO Ренегат 1740 / 1085 / 386 Регистрация: 06.08.2014 Сообщений: 5,203 Записей в блоге: 1
	26.01.2017, 20:30
	Сообщение было отмечено N3stY как решение Решение N3stY, никак. Пользователь получил данные, теперь он их владелец, а не вы. Вы можете только усложнить получение этих данных, но вам они нужны всё равно в конечном виде, так что и пользователю, а хакеру тем более, не составит труда эти данные получить. 1

@N3stY (ノಠ益ಠ)ノ彡┻━┻ 152 / 152 / 78 Регистрация: 05.06.2014 Сообщений: 710 Записей в блоге: 2
	29.01.2017, 16:00 [ТС]
	BANO, Спасибо. Жаль, придется использовать api 0

@Alessa321 1 / 1 / 0 Регистрация: 03.02.2017 Сообщений: 5
	03.02.2017, 11:41
	А в чем смысл? БД на компе у пользователя? Тогда он имеет к ней полный доступ и может как угодно просматривать и модифицировать. Если БД где-то на вашем сервере и вы боитесь что он начнет сам туда лезть в обход приложения и пакостить - тогда логика работы с данными должна быть вынесена с клиента на сервер. 0

@Alessa321 1 / 1 / 0 Регистрация: 03.02.2017 Сообщений: 5
	04.02.2017, 09:16
	BANO, я не обладаю даром телепатии и не могу знать что имел ввиду автор под api. И говорю об общем подходе. Судя по тому что у него пользователи лезут через интернет в общую БД, то автор только-только задумался о безопасности и большой вопрос поможет ли ему создание api, или там будут те же самые дыры. 0

@BANO Ренегат 1740 / 1085 / 386 Регистрация: 06.08.2014 Сообщений: 5,203 Записей в блоге: 1
	04.02.2017, 14:44
	Alessa321, не надо говорить о человеке, пока не узнаешь его в живую. Ну это я вам на будущее. Пока api не реализовано, нельзя даже предполагать о наличии в нём каких-либо дыр. А вообще, бывают такие приложения, которым нужен именно доступ к бд, например бухгалтерские. Так что без полной картины говорить смысла нету. 0

@N3stY (ノಠ益ಠ)ノ彡┻━┻ 152 / 152 / 78 Регистрация: 05.06.2014 Сообщений: 710 Записей в блоге: 2
	08.02.2017, 01:41 [ТС]
	Не по теме: Alessa321, кхм кхм... BANO, api реализовано, имхо с бд работать куда быстрее, тк. нужна только сама БД с данными и клиент, а с api еще и сервер(в случаи если api на ноде)/скрипт если api на php + задержки увеличиваются (клиент -> (скрипт -> бд) -> клиент). 0

@Randen 35 / 35 / 15 Регистрация: 06.01.2014 Сообщений: 707
	08.02.2017, 11:30
	N3stY, и как же, интересно, клиент может общаться с бд без API? Раз уж так быстрее... 0

@BANO Ренегат 1740 / 1085 / 386 Регистрация: 06.08.2014 Сообщений: 5,203 Записей в блоге: 1
	08.02.2017, 18:55
	Randen, так же как api общается с бд. Как бы проблем то нету. Есть только проблемы, когда бд не предоставляет например того уровня безопасности, которое может предоставить api. Ну или например если метод api чисто вычеслительный, но тогда почему бы его не реализовать на клиенте? Вообще разделение само произошло из-за недоверия к клиентам. Были придуманы разные хаки с правами, а потом начали придумывать свои велосипеды, которые реализуют доступ только к нужному функционалу. А потом за api стали прятать ещё и большие вычислительные операции, а так же функционал, который требует большого количества действий на сервере. В этом то и прикол, что люди тупо не доверяют клиенту, потому что над ним власти после релиза по факту нету, а если там ещё и ключи какие, то и над ключами нету. Так что именно недоверие заставило делать прослойку в виде api-сервера, а не какие-то удобства использования api. На самом деле легче писать эти действия в одном месте, чему думать как к этим действиям реализовать интерфейс. То есть api-сервер всегда является вынужденной мерой. Не более. 0

@N3stY (ノಠ益ಠ)ノ彡┻━┻ 152 / 152 / 78 Регистрация: 05.06.2014 Сообщений: 710 Записей в блоге: 2
	08.02.2017, 23:45 [ТС]
	Randen, кхм кхм mysql. Не знакомы с npm? BANO, Не только потому, что клиенту не доверяют, а потому, что это в прямом смысле дыра в безопасности если клиент может получить полный доступ к БД (даже если у пользователя бд права только на чтение). Если приложение имеет возможность логина/регистрации, и все данные хранятся в БД, то получив креды от БД любой кто скачал приложение может получить пароли, мыла, и прочие данные всех пользователей включая администрацию, даже если пароли кодированы и тд. остальные данные же лежат как есть. И как бы довольно печально что спрятать в ноде ничего нельзя (только хардкоддинг, и то с прямыми руками всё находиться). Хотя когда рылся в мессенджере от вк, не смог найти даже обращения к API. Видимо есть какой-то способ 0

@BANO Ренегат 1740 / 1085 / 386 Регистрация: 06.08.2014 Сообщений: 5,203 Записей в блоге: 1
	09.02.2017, 00:04
	N3stY, под "недоверие клиенту" я и говорил, что ему нельзя давать полный доступ ни к чему, если это конечно не пульт управления. Вы видно просто не всё прочитали, либо я слишком мудрёно свои мысли излагаю. 0

@N3stY (ノಠ益ಠ)ノ彡┻━┻ 152 / 152 / 78 Регистрация: 05.06.2014 Сообщений: 710 Записей в блоге: 2
	28.02.2017, 18:33 [ТС]
	На данный момент есть вот такой вот способ защиты исходного кода для Node JS / Electron 0

Данные от БД и Electron

Решение