我尝试开发应用程序,用户可以在其中下载加密媒体。用户必须先登录,然后他将收到解密媒体的密钥。基于 AMFPHP 和 SSL 证书的通信。问题是:
有人可以反编译 main .swf,获取解密密钥和算法(无法防止反编译)。解决方案可以是用户认证后发送类。我在某处读到可以从网络动态加载类(但找不到好的示例),并且只调用 main .swf 中的公共方法,因此算法将保持未知。
1. 这种方法安全吗?“坏人”是否可以模拟我的应用程序,即调用方法和抓取类?
提到的方法是基于从原始应用程序中抓取代码,并在通过 SSL 保护连接后对其进行模拟以捕获数据。每个 AIR 应用程序都需要使用证书导出。
2. 我可以在连接中使用应用证书吗?我的意思是,我可以使用此证书来确保调用方法的应用程序是由我生成的。如果可能的话,有人可以分享链接,或者编写代码如何做到这一点?
3. 如果有人试图用他的抓取版本手动覆盖设备上的 main .swf 怎么办。操作系统是否验证某些校验和并将阻止或接受错误的 .swf 作为原始文件?
4. 我找不到描述在 AIR 中使用应用程序证书的机制的文档(只有如何生成它,以及自签名和商业之间的差异)。有人发现文章女巫描述了有关在 iOS 或 Android 上使用证书的更多信息吗?
我很高兴了解如何保护 AIR 应用程序中的通信的其他信息。