W ramach tegorocznych obchodów Dnia Bezpiecznego Internetu (10 lutego 2026), uczniowie kształcący się w zawodzie technik informatyk (klasa IV Tc), postanowili odejść od podstawowych zagadnień, takich jak ochrona danych logowania czy zarządzanie poświadczeniami użytkowników, i zająć się bardziej złożonymi aspektami bezpieczeństwa aplikacji webowych. Na lekcjach przedmiotu Witryny i aplikacje internetowe skupili się na tym, co dzieje się po stronie klienta – a konkretnie na zabezpieczaniu kodu JavaScript przed nadużyciami.
Podczas zajęć uczniowie zapoznali się z różnymi metodami ochrony kodu przed niepowołanym dostępem i analizą (tzw. Inżynierią Wsteczną). Omówiono trzy główne podejścia:
Minifikacja (Minification): Usuwanie zbędnych znaków (spacji, komentarzy) w celu zmniejszenia wagi pliku. Choć utrudnia czytanie, nie jest żadnym realnym zabezpieczeniem.
Obfuskacja (Obfuscation): Polega na zamianie nazw zmiennych i funkcji na niezrozumiałe ciągi znaków (np. var a = _0x4f12) oraz skomplikowaniu logiki programu. Utrudnia analizę, ale wprawny programista wciąż może ją złamać.
Walidacja i dezynfekcja (Sanitization): Oczyszczanie danych wejściowych od użytkownika, aby zapobiec wstrzykiwaniu złośliwego kodu (XSS).
Choć uczniowie eksperymentowali z obfuskacją, głównym wnioskiem z lekcji była brutalna prawda programistyczna: JavaScript jest językiem wykonywanym po stronie klienta, więc nigdy nie będzie w 100% bezpieczny przed odczytem.
Dlatego też, jako jedyną naprawdę skuteczną metodę zabezpieczenia logiki aplikacji, wskazano:
Przeniesienie krytycznych operacji na stronę serwera (Backend).
Tegoroczne DBI pokazało uczniom, że bezpieczeństwo w sieci zaczyna się już na etapie pisania pierwszej linii kodu. Świadomy programista to taki, który zakłada, że jego kod po stronie klienta zawsze zostanie przeczytany – i potrafi zaprojektować system tak, by mimo to pozostał on bezpieczny.
Info i foto: Bartłomiej Kusiak
