Source cartes fichiers en production - Est-il sûr?
Je suis en utilisant UglifyJS minifier et uglify mes sources, et Sentry pour signaler les erreurs de mon environnement de production.
Afin d'obtenir des erreurs de Sentinelle, d'une manière lisible, j'ai besoin d'ajouter de la source de la carte
Est-il sécuritaire de le faire dans les serveurs de production, ou de la source-les cartes des fichiers ne doit exister sur l'environnement de test?
Est-il un moyen de les fixer sur l'environnement de production?
- Je ne suis pas sûr de ce que tu veux dire par "sans danger". Existe-il des informations sensibles qui pourraient être codées dans la source des cartes? Le code a la même sécurité que ce soit uglified ou pas.
- C'est vrai, mais je préfère que la source ne sera pas facile à voir, en fait, je préférerais que seulement getsentry, sera en mesure d'utiliser la carte source, je sais que ça ne rajoute pas vraiment de la sécurité, mais encore, je voudrais que mes sources, api, et la logique interne serait caché de l'utilisateur normal ...
- L'utilisateur normal n'a généralement pas creuser dans le code source, et les gens qui pensent à creuser dans le code source afin de vous exploiter en quelque sorte ne seront pas particulièrement découragé par l'obscurcissement.
- Le numéro 1 pourquoi les programmeurs ne veux pas que les autres à regarder dans leur code est un manque de confiance en soi. Être fier de ce que vous créez! Comme @PeterOlson dit; les utilisateurs normaux ne pas creuser à travers, et si ils le faisaient, ils seraient comprendre la logique de Spaghetti de mieux que de votre code. Et d'autres développeurs ont obscurci votre code en quelques secondes...
- Super, merci à vous deux
- J'ai quelques années de retard à cette discussion, mais j'ai pensé que je devais partager un post que j'ai écrit il y a un moment sur l'utilisation de la source des cartes en toute sécurité dans un environnement de production. Dans mon exemple, je suis en utilisant .NET Core, mais le même principe peut être appliqué à n'importe quelle plateforme: davidomid.com/...
Vous devez vous connecter pour publier un commentaire.
Recherche d'une solution possible à ce, et si quelqu'un n'est pas précisément à l'aide de la Sentinelle, je suis arrivé à ce blog (ironiquement, une Sentinelle blog):
https://blog.sentry.io/2015/10/29/debuggable-javascript-with-source-maps.html
Où il y a une idée intéressante: "source privée des cartes". Elle implique la génération de la carte source dans un endroit qui n'est pas accessible à partir de l'internet (tels que votre entreprise VPN), alors que vous ou votre équipe peut accéder à la carte source des fichiers.
Citant le "Source Privée des Cartes" section de la poste:
Semble être une bonne idée pour moi!
Vos principales préoccupations sera "est-ce ok si l'utilisateur a mon code source?" Habituellement, il est très bien, que les utilisateurs peuvent deobfuscate choses de toute façon.
Cela dit, si vous êtes à l'aide de la Sentinelle, vous pouvez réellement utiliser le versions de l'API pour éviter ce problème. Vous aurez toujours besoin pour générer les artefacts, et de définir des Url (ou quelque chose que l'API peut gérer), mais vous n'avez pas à les exposer à l'internet.