Criptografar o token do baserow e firebase

fhelipe

Olá Deivid, muito importante aqui seria criar uma forma de criptografar o token para evitar percas de dados ou roubos ´por invasores da internet. Certo que nenhum sistema é 100% seguro mas para evitar muito estrago, seria bom criar uma forma de segurança para o token

lcmatosj

fhelipe

Mesmo que você utilize uma criptografia simples, como o Base64, será necessário descriptografar no servidor de banco de dados, e acredito que isso não seja possível no firebase ou baserow. Como mencionei no link abaixo, é crucial verificar se o BaseRow possui restrições de acesso, pois isso pode ser determinante para a segurança dos dados e a viabilidade da solução no frontend.

E lhe afirmo, isso não é um problema do bootsblocks !!

https://comunidade.bootblocks.com.br/d/653-api-e-tokens-expostos/2

dvdrothen

fhelipe
De qual token você fala?
se for usar firebase pode definir regras de acesso a usuários:
https://firebase.google.com/docs/rules?hl=pt-br
Se for token do google maps, pode definir quais domínios terão acesso, limitando apenas ao seu site ou ao bootblocks.
Se for token do baserow, pode criar um token com permissões apenas de leitura para seu app para o público e criar uma cópia do app com acesso privado apenas para quem insere, edita e deleta os dados.

fhelipe

lcmatosj enquanto não tiver uma solução, pelo menos para dificultar a visualização do token, ainda continua sendo um problema, pois qualquer pessoa sem conhecimento profundo consegue identificar o token e usar a seu prazer ou modificar dados. Não é que seja um problema do Bootblocks mas é um problema que requer uma solução, concorda, e o mais rápido possível porque tem dados de clientes sendo vazados através de aplicativos criados pelos bootblocks no qual os criadores não sabiam disso

lcmatosj

Entendi, mas friso que a solução deve partir da base de dados. No BootsBlock, tem o frontend, HTML, CSS e JS, e tudo está exposto. Portanto, a solução segura precisa estar na API; se ela não oferece essa segurança, então não é uma opção segura.

Amigo, todo código que vc faz no bootsblock esta no lado cliente!

Eu faria da seguinte forma: analisaria o código fonte gerado pelo BootsBlock para identificar a variável que recebe o token. Em seguida, criaria em javascript uma requisição AJAX para um servidor em PHP, por exemplo, e atribuiria o valor a essa variável. Dessa forma, em vez do código mostrar diretamente o token, exibiria apenas o nome da variável, tornando a solução mais segura.

Como havia dito! Precisa de um servidor!

Da uma olha da nesse post da comunidade baserow , está em ingles, só traduzir!
mesmo problema, nada resolvido!!!
https://community.baserow.io/t/security-concern-about-exposed-token/486/9

fhelipe

dvdrothen Tem como criar um tutorial de como criar um app usando o token do baserow privado( inserir, editar e deletar e pubico( leitura) para mesma tabela

lcmatosj

dvdrothen
Como havia dito!!!!

samuel

dvdrothen mais isso não mudaria a parte de especionamento da tela ou seja daria do mesmo jeito para eles pegarem o token usando o app web teria que colocar para bloquear o botão do lado direito do mouse e também o f12 iguam tem em sites que o pessoal faz assim eles teriam mais dificuldade para verificar os dados

samuel

dvdrothen ou seja mesmo que seja leitura os dados iram vim se ele pegar uma lista de clientes com dados nome telefone pronto o cliente pega esses dados dele especionando a tela entende por isso tendo a opção de bloquear o f12 e botão direito do mouse na tela do app ajudaria bastante a não ver o token como já mandei em outros posts

samuel

dvdrothen irei testar david

lcmatosj

samuel
Vai ter que bloquear o menu e todas as teclas de atalhos de todos o navagadores! Ai resolve!!

dvdrothen

samuel tendo a opção de bloquear o f12 e botão direito do mouse na tela do app ajudaria bastante a não ver o token como já mandei em outros posts

Pode usar este código:
window.addEventListener('keydown', function(event) { if (event.keyCode === 123) { // 123 é o código da tecla F12 event.preventDefault(); // Impede o comportamento padrão da tecla F12 alert('O acesso às ferramentas de desenvolvedor foi bloqueado.'); } }); window.addEventListener('contextmenu', function(event) { event.preventDefault(); // Impede o menu de contexto de aparecer alert('O botão direito do mouse foi bloqueado.'); });
Pode remover os alerta se quiser.
OBS: Isso provavelmente viola as políticas de segurança dos navegadores, então use por sua conta e risco.

lcmatosj

Ai vc pode criar uma session_start() no php quando a pessoa logar no sistema, se tiver logado acessa api!
Ta tudo na documentação do baserow, eu nunca usei, só li a documentação e fiz esse codigo em 15min, muito simples e bem documentado, até mudei minha opnião a respeito!!!!

Assim niguém nunca vai ver seu token!!!
Pelo meu link vc pode acessar os dados, não o token, mas é porque não fiz o sistema de login!

Neste exemplo não usei nehum bloco baserow, porque eu não acho seguro trabalhar com token em frontend. Se vc não se sente seguro com baserow no seu projeto, surgiro que mude para firebase, por exemplo!

lcmatosj

dvdrothen
Sim. já havia dado esse exemplo de uso no outro post! São dois post com mesmo assunto!
Devemos entender que as soluções fornecidas pela plataforma são exemplos de uso, não necessariamente a melhor escolha para cada caso específico. Como responsáveis pelos dados de terceiros ao cadastrá-los, é essencial termos a habilidade de identificar a solução mais adequada, levando em consideração aspectos como segurança e conformidade legal. Por exemplo, a LGPD é uma lei específica que garante os direitos de informação dos usuários, e devemos respeitá-la em nossas implementações.

Além disso, é importante considerar que a maioria dos usuários comuns não tem o hábito de acessar o console do navegador (F12) ou realizar outras análises técnicas avançadas. No entanto, usuários mais experientes podem identificar restrições ou falhas de segurança, mesmo que não existam, e isso pode impactar a percepção sobre a confiabilidade da página

dvdrothen

lcmatosj
Não tinha visto a sua resposta no outro post.
Concordo. Acredito que essa segurança deveria ser incluída no baserow. Afinal, a ideia deles é fazer o backend da aplicação e facilitar o front end. Não faz muito sentido usar baserow se vc precisa ter um backend mesmo assim.
Se eles seguissem o estilo de segurança do firebase seria bem melhor.

lcmatosj

dvdrothen
Pronto, Fecha o post, RESOLVIDO!!!!!! kakakakakak

samuel

dvdrothen pronto david resolvido era só isso agora agente ja esta bem melhorado gratidao