最近安全性问题层出不穷,例如最近的百度WormHole事件。
用HB提供的这个平台进行开发,不管是什么方式打的包,无可避免的都会用到5+的SDK和相关框架。
相信不止我一个人有这个担忧,用5+的SDK和相关框架,会不会也存在类似WormHole这样的后门?
或者存在其他类似的,不为开发者所知的,对外提供接口,对内收集用户相关信息等行为的隐患?
希望官方能详细说明,打消开发者的顾虑。
zs49
- 发布:2015-11-16 13:44
- 更新:2016-08-30 13:26
- 阅读:5449
4 个回复
云海帆 - 咨询问题请+Q1395641578
开源就好了,要不总有人说这说那的,哈哈 :D
DCloud_heavensoft
5+runtime大部分是开源的,可以在github上看。
不管是HBuilder里云打包,还是离线打包,我们没有任何采集用户信息的代码。
如果你使用三方sdk,比如个推和友盟,是会连接他们的服务器的。
至于安全漏洞,我们肯定不会人为设计安全漏洞,也很注意这个问题,服务器端所有编译工具都是官方来源,前端时间虽然爆发iOS的XcodeGhost问题,但HBuilder打的包没有此问题。
在华为Android6上,os有一个权限叫访问本机应用列表。使用HBuilder调试基座时,手机会弹出此询问授权是否给予。但这个问题是友盟和个推sdk造成的,因为调试基座需要保持全功能可调试,所以这些sdk都默认集成到调试基座里了。
打包时不要选择友盟、个推,最终包就不会弹这个框。
绝大多数原生三方sdk都有各种内部操作代码,建议开发者减少使用原生的三方sdk。
zs49 (作者)
谢谢你的回答。不管怎么样,希望HB能保障APP的安全性。
自然,开发者应用本身的安全性,由开发者来解决,
但是H5+ SDK,底层框架等的安全性,开发者无能为力,还是得靠官方来提供有力的保障。
ywg369
代码安装运行后,在手机上能看到网站的js和相关的html代码,这点安全性如果处理?
DCloud_heavensoft
在论坛里搜加密
2016-03-25 17:54