Im Vergleich zu serverseitigen Skripten wie PHP birgt die Programmierung client-basierter Lösungen zusätzliche Sicherheitprobleme. Man darf nicht übersehen, dass Javascript vollständig an den Browser des Users übermittelt wird und damit auch vollständig einsehbar ist. Es kommt jedoch vor, dass bestimmte Informationen aus einem Skript Rückschlüsse auf die weitere Verarbeitung erlauben, z. Bsp. weil bei Datenbank-Operationen mit den korrekten Spaltennamen weitergearbeitet wurde.

Es ist daher eine gute Idee den eigenen Quellcode so durcheinander zu wirbeln, dass ihn nur noch der Browser versteht. Ich arbeite seit langer Zeit mit dem Javascript Obfuscator von dieser Webseite http://www.javascript-source.com/. Die Software ist nicht teuer, funktioniert bislang fehlerfrei und sei daher empfohlen.

Die Verschleierung des Quelltextes ist allerdings nur der erste Schritt. Ausgeführte Ajax-Requests übermitteln natürlich weiterhin lesbare Daten, die mit Tools wie Firebug für den User lesbar bleiben. Der zweite Schritt besteht daher in der Verschlüsselung der Daten, die zwischen Server und Client ausgetauscht werden. Ich belasse es hier jedoch zunächst bei dem Tip, sich dabei nicht auf eine einfache base64-Codierung zu stürzen, denn die kann ja auch jeder. Base64 kann aber eine gute Grundlage sein um sich selbst einen Algorithmus auszudenken, der Zeichen verschiebt und/oder verändert.