Javascript, Sicherheit

[crazy_chicken]

Hallo Zusammen,

weiß jemand vielleicht eine Antwort auf diese Frage?

Also:

ich erstelle mit JS ein Angebot, Der Benutzer sucht sich was aus, dann wird ein Angebot erstellt dazu natürlich der dazugehörigen Gesamtbetrag und am Ende über Ajax gesendet.

-->Problem:

Jemand der sich mit JS, HTML etc. auskennt , erstellt selber ein formular gibt genau die gleichen Eingaben wie im Angebot und ändert in dem GesamtbetragFeld den eigentlich berechneten Gesamtbetrag und schickt ab. Das Angebot wird akzeptiert, da ja "Der dumme Programmierer" daran nicht gedacht hat.

Wie kann man sowas verhindern?


Es ist mir klar, das ich zusätzlich mit PHP serverseitig das Angebot untersuche und dann entscheide,ob alles stimmt oder nicht.


Gibt es denn eine andere Lösung irgendwie****?



Danke euch allen im Voraus!

 

[Parantatatam]

Du kannst das dadurch verhindern, dass du einmal die Seiten clientseitig speicherst, um sie anzuzeigen, andererseits aber auch noch einmal die Daten serverseitig verarbeitest und dort validierst. Diese Daten speicherst du als Session serverseitig und speicherst sie endgültig, wenn das Angebot abgeschickt wurde. Somit musst du in diesem Schritt nicht mehr darauf achten, welche Daten enthalten sind, sondern nur, ob das Angebot abgeschickt wurde oder eben nicht.

 

[Andreas Dunstheimer]

Nein, es gibt keine andere Möglichkeit, als das Ganze nochmal Serverseitig zu überprüfen!

Egal, was Du im JavaScript machst (Werte verschlüsseln, weiteren Kontrollwert senden, etc.), es kann immer kompromittiert werden, da dann natürlich auch diese "Sicherungen" in JavaScript geschrieben wären, und entsprechend analysiert und imitiert werden können.

Ich habe mal eine Methode gesehen, wie man JavaScript an sich verschlüsseln kann, aber alles, was an den Browser gesendet wird kann mit mehr oder weniger großem Aufwand auch wieder entschlüsselt werden. Diese Methoden dienen eigentlich nur dazu, einem potentiellen Angreifer das Leben ein wenig schwerer zu machen - wirklich 100%ig sicher ist aber keine dieser Methoden.

Prinzipiell sollte man immer alles nochmal Serverseitig absichern.

Gruß, Dunsti

 

[crazy_chicken]

So, vielen Dank. Das hat sich dann erledigt.

Noch eine Frage und zwar:

<select onchage="methode()">
<option>A</option>
<option>B</option>
<option>C</option>

</select>

ich rufe onchange eine metode auf, kann ich das auch irgendwie onclick machen? (aber nicht select.onchenge da, dann die methode 2 mal ufgerufen wird).
Ich will, dass wenn auch bereits A gewählt ist und dann noch mal A gewählt wird, die methode aufrufen.

Wäre sehr dankbar.

Gruß!

 

[Anna Bolika]

Ich würde dir sogar dringend raten, es "onclick" zu machen, weil onchange bei einigen Browsern nur bei verlassen der Select-Box funktioniert. Warum schreibst du nicht einfach onclick="methode()"? Hab ich was an deiner Frage übersehen?

 

[crazy_chicken]

Das problem ist, wenn ich onclick benutze, so wird die methode 2 mal aufgerufen, oder liege ich falsch.****
Ich probiere es spaeter noch mal