PhoneGapソースセキュリティ

Question

Platform Securityの最後のセクションで、PhoneGapアプリでソースコードを保護する方法について説明しました。

リバースエンジニアリングはPhoneGapを使用する多くの人々の関心事です。アプリケーションのバイナリを開き、アプリケーションのJavaScriptソースコードを参照するだけで済みます。悪質なJavaScriptコードを追加したり、アプリケーションを再パッケージしたり、アプリのフィッシング詐欺でアプリストア/マーケットに再提出したりすることさえできます。この方法は、JavaやObjective-Cのいずれかを逆コンパイルするのと同様の簡単な作業であるため、PhoneGapで書かれているかどうかにかかわらず、どのアプリケーションでも実行できます。

PhoneGapは、アプリケーション開発者が実行時にアプリケーションでJavaScriptをダウンロードし、そのJavaScriptを実行し、アプリケーションが終了したときに削除できるため、このセキュリティ上の懸念を実際に乗り越えることができます。このようにして、デバイスが休止状態にあるとき、ソースコードはデバイス上に決して存在しません。これは、Objective-Cコードを動的に実行するというApp Storeの制限に加えて、JavaやObjective-Cのはるかに難しい見通しです。

しかし、他の人が私のソースコードをサーバーにダウンロードしないようにするにはどうすればいいですか？

Answer 1

私はあなたのコードに注釈をつけてから、それを難読化して特定の最適化を実行するGoogleのClosure Compilerで実行することをお勧めします。これは、人々があなたのコードを読むことを非常に困難にしますが、それを超えてJSがクライアント側の言語であるという事実を生きなければならなくなります。

Answer 2

どのように次のパターンについて：

1. 埋め込みサーバーに対してユーザー/デバイス認証を可能にし、あなたのアプリとブートストラップのJavaScript。ブートストラップコードを難読化するためにできることをしてください。
2. は、アプリケーションが
を閉じたときにJavaScriptが、それを削除することを実行して、実行時にメインロジックJavaScriptをダウンロードし、認証後
3. （認証されたユーザがアクセスすることができる）サーバー上JavaScriptonなどのアプリのメインロジックをキープ

継続的なアップグレードは無駄なく続きます。

Answer 3

私は示唆している：

• 最も難読化/ JSコードのすべて。 GoogleのClosureコンパイラは良いオプションです。

アプリケーションが起動すると：

• は、動的なデータが
• は、アプリケーション起動時に、最初に押しフェッチのためのサーバーへの呼び出しを行う前に検証する必要があり、デバイスに保存されているいくつかのハッシュコードを持っていますアプリケーションのハッシュコードを確認するアプリケーションの真正性を確認するとサーバーがハッシュコードをチェックして、アプリケーションの正当性を確認します
• サーバーがアプリケーションを確認したらサーバーは別のハッシュコードを送信したり、同じハッシュコードを使用したりすることができます。プラスのサーバーもカスタムクッキーのパラメータを設定することができます...それはすべて、サーバーの通信&のアプリケーションのアーキテクチャに依存します。あなたのニーズに最も適したものを設定してください
• アプリの正当性が確認されたら、デバイスからサーバーへのすべてのコールに同じハッシュコードまたはクッキーが含まれている必要があります。

代わりに、新しいjsコードを送信すると、jsonの動的データをプッシュし、jsコードをデバイス上で難読化しておく方が効果的です。