Beiträge von j0Shi

Hey,

ich hatte diese Frage schonmal in einem anderen Thread aufgenommen, allerdings würde ich diese Diskussion gerne nochmals in diesem Thread aufnehmen, da das ursprüngliche Problem des anderen Threads gelöst wurde und der Threadtitel nicht mehr passt

Ich habe eine Extension die unter anderem ein OnLoadEvent definiert, welches bei Aufruf bestimmter Seiten mittels AJAX die document.location.href der aufgerufenen Seite an ein php-script weitergibt und diese in eine Datenbank schreibt. Das Problem ist, dass man aus dem Quellcode der js-Dateien selbiges recht schnell entnehem kann. Mit geringem Aufwand ist es nun machbar, dass man statt document.location.href z.B. den String "http://www.anypage.de" übermittelt und somit in der Datenbank bei jedem Seitenaufruf statt der besuchten Seite "anypage" landet. Das ist natürlich nicht wünschenswert.

Es stellt sich daher die Frage, wie man sicherstellen kann, dass eine Manipulation dahingehend ausgeschlossen wird.
Eine Möglichkeit besteht mMn darin, nicht in der Extension zu coden, dass er document.location.href übertragen soll, sondern mit JSON in einer php-Datei eine funktion zu maskieren und diese mittels AJAX an die Extension zu übergeben. Diese dekodiert den JSON-String dann und hat eine js-funktion, an die beispielsweise als Übergabewert document übergeben wird, aus dem dann document.location.href gewonnen und weitergegeben wird.

Leider hapert es hier an meiner Kenntnis php-Variablen einer externen Seite an die Extension zu übergeben (geht das?).

lg
j0Shi

Hey,

dass das normalerweise nicht gewollt oder gewünscht ist, ist mir klar und wie gesagt wollte ich die Extension auch nur privat verwenden.
Das Problem ist, dass die Extension gewisse Daten an ein php-Script weitergibt, der selbige in eine Datenbank schreibt. Konkret handelt es sich dabei um Daten von Browsergames (welcher Art ist jetzt schwierig zu erläutern wenn man sich nicht mit BGs im Allgemeinen auskennt).

Wenn die Extension jetzt jemand anderem in die Hände fällt (warum auch immer) oder ich sie publizieren möchte, dann könnte jemand findiges aufgrund des Quelltextes relativ schnell herausfinden, welche Daten wie gesendet werden und im schlimmsten Fall die extension so modifizieren, dass falsche datensätze in die DB eingefügt werden. Das ist natürlich nicht gewollt. Z.B. wird bei der extension die URL der Seite ans php-Script gesendet und gewisse Informationen extrahiert. (z.B. .de .com usw.) Wenn man nun statt location.href einfach immer .com mitsendet werden die Daten in der DB falsch gespeichert, nämlich immer unter dem Label ".com" egal ob man nun von einer .de oder .org - Seite kommt.

Im schlimmsten Fall könnten innerhalb von Minuten hunderte falscher Datensätze eingefügt werden, was in keinem Fall wünschenswert ist.
Die gesendeten Daten vom php-Script überprüfen zu lassen ist leider unmöglich, das das php-Script zwar die URL überprüft, aber da sowohl .de als auch .com erlaubt ist natürlich fortfährt.

lg
j0Shi

Wow ... super Danke für die schnelle Antwort. Das wird helfen.

Was mich allerdings gleich zur nächsten Frage führt. Gibt es überhaupt eine Möglichkeit den Extension-Quelltext vor fremder Leuts Augen zu schützen? Eine *.xpi kann man downloaden und entpacken und, was mir ja jetzt sehr nützt ;), installierte Extension wieder extrahieren. Ist aber eher ein theoretisches Interesse, praktisch werde ich meine Extension warscheinlich nur selber benutzen, so dass ich mir um Sicherungsmaßnahmen keine Sorgen zu machen brauche.

lg
j0Shi

Hey,

bin auf dieses Forum gestoßen, da ich ein Problem mit einer selbstgecodeten Extension habe. Leider habe ich durch ein dummes Mißgeschick die neueste Version meiner Extension auf der Festplatte gelöscht und nur noch eine ältere Version behalten, die neuere Version ist aber als Extension im Firefox installiert. In der neueren Version stecken mittlerweile über eine Woche Arbeit, so dass ich gerne auch diese Version wiederhätte. Gibt es also eine Möglichkeit installierte Extensions aus dem Firefox wieder zu extrahieren (also die js, xul - Dateien usw. oder auch die komplette xpi) oder speichert der Firefox solche Dateien sogar irgendwo lokal ab? Wäre für jede Hilfe dankbar.

lg
j0Shi