请问如果避免别人下载webapp后直接查找到_www/下的项目原文件问题。
刚发现一个顶级Bug。事关项目安全问题。下载安装webapp后 直接在手机里就可以查找到项目原文件。发现这问题后 接口都没有安全可言了。要是一些搞破坏的人拿到这些接口。那可不是件好事。
请问下如何避免原文件暴露问题!!!
帅得被人砍
- 发布:2017-02-23 14:47
- 更新:2017-02-23 16:41
- 阅读:1747
把它当作浏览器来开发,就无需加密了.
接口安全不是在客户端来做的.
服务器开发有一条规则是不信任何输入源.
包括用户请求,服务器对自己的请求,开发人员的请求.
如果有人搞破坏,你就是放在银行的保险柜都防不了.
安全要求不高的手机客户端是可以被信任的,手机就相当于自已的钱包,钱包给它人,被它人偷走,这不是现金该考虑的事.
如果安全要高,就是银行卡机制,密码,人脸验证机制,钱包丢了,只要密码不丢,人不丢,你的钱就不会丢.
花钱的接口是对外开放的,不管你用真钱假钱真卡假卡.
所以说www浪费精力去加密,就算你加密,混淆,总会有方法破解,只看破解的成本值不值得.
DNA密码都被人类破解;如果别人愿意花1万块钱偷走你一块钱那就让他偷呗.
-
要是有人分析了你的代码,仿照你的数据格式提交非法数据了呢?你怎么去甄别提交的数据是来自你的app还是别人恶意构造的?甚至,有人就抄袭你的代码写了个山寨版的app呢
2017-02-23 18:16
-
互联网应该是OPEN,共享的.我们应该花精力去运营数据,把数据运营好,而不是防抓取,防盗版.
如果有人使用我的接口,我的数据,说明我的数据有价值,我应该开放出去,做好用户鉴权,保护用户权益.如果有大量第三方用户来使用,我会做成一个开放平台.数据不怕别人抓,只要证明数据源是你的即可,如果他做的比你大,那更好,法律制裁,而不是用技术制裁.
申请版权,申请著作权.
你会发现这几年互联网盗版视频,音乐越来越少了.很多软件不是破解不了,而是不敢破解,不敢分享破解软件.希望法律越来越完善.2017-02-23 23:01
amourz
用文中那个apk伪加密的方法,APP无法运行起来
2017-02-23 16:01