[Magnus_A]

Ajax är en rolig teknik som möjliggör spännande lösningar.
Men när man flyttar ut en del av affärslogik till webbläsarlagret och låter delar av dataflödet den vägen uppstår problem med att hantera data säkert och undvika obehörigt utnyttjande.
Dels finns risken för att personuppgifter skickas i klartext (json, xml) fram och tillbaka i större utsträckning och därmed öppnar för sniffning i till exempel trådlösa nätverk.
Dels öppnar man upp för obehörigt utnyttjande genom att botar kan utnyttja ajax-anropen för att komma åt data i trevligt formaterad form.


Jag förstår att det i princip är omöjligt att skydda sig med någon form av kryptering, eftersom javascriptet ligger vidöppet i browsern för analys. Https är naturligtvis den bombsäkra lösningen.

Men kan man göra det svårare att utnyttja ajaxanropen för obehöriga utan att behöva ta till https?