Solución:
Creo que la palabra clave en la pregunta aquí es “miedo”. La aversión se basa en el miedo, no en los hechos. La realidad es que el modelo de amenazas no es particularmente realista. Las empresas de desarrollo de software web comercial usan JavaScript casi universalmente en estos días, ofuscado o no, y lo desafío a que me encuentre incluso un solo ejemplo de uno al que un competidor le robó JS y luego lo expulsó del negocio debido a eso. Estoy bastante seguro de que no ha sucedido, y tampoco es probable.
También su segunda pregunta, ¿empresas como Google ofuscan su JavaScript? Sí, pero no ¡por seguridad! Se ofuscan para minimizar el tamaño del código, con el fin de reducir el tamaño de descarga y minimizar los tiempos de carga de la página. (Consulte el compilador de cierre de Google). No es necesariamente así como se ofuscaría por seguridad porque el único objetivo es minimizar la cantidad de bytes que deben entregarse al cliente. Esto es en lo que debe concentrarse con JavaScript, sin preocuparse de si alguien podrá leerlo o no.
No. Ofuscar Javascript por lo general no tiene ningún sentido. Asuma siempre que cualquier lógica que coloque en el lado del cliente puede obtenerse fácilmente mediante un ataque lo suficientemente determinado, sin importar cómo lo ofusque.
Su lógica “importante” debe almacenarse en el lado del servidor.
Parece que ya sabes que la ofuscación no es una protección real, así que no te voy a sermonear sobre seguridad por oscuridad.
Lo que tiene sentido es esto: coloque su código competitivo en el servidor para protegerlo, luego ofusque el código del lado del cliente tanto como desee. Por supuesto, no le dará mucha seguridad, pero definitivamente disuadirá a los niños que husmean y creará una impresión de mayor seguridad como parte del teatro de seguridad. Google lo está haciendo con GMail, Facebook lo está haciendo.
Teniendo en cuenta que su código voluntad ser desofuscado, aún puede ofuscarlo como parte de su proceso de compilación para hacer más felices a sus clientes y usuarios.
Hay muchas herramientas que puede usar para lograrlo: Free Javascript Obfuscator y JScrambler (comercial) son dos herramientas que he usado antes.
Actualizar: Después de una discusión sobre la DMZ, llegamos a la conclusión de que sí, Google y Facebook lo están haciendo, pero probablemente solo por el tamaño y el rendimiento del archivo y no parece haber nada que sugiera que es parte del teatro de seguridad.