我想在多个移动平台上创建一个网络应用程序;它不是免费的,而是商业的,因此用户将拥有一个解锁代码,可以(通过远程 PHP 代码)访问一个index.php页面。
此页面有一个清单文件,因此需要的所有文件都下载到设备的离线存储/缓存中。现在我的疑问是:用户是否有可能将我的所有 HTML/CSS/JS 文件复制到另一台设备,并在其他地方使用我的非免费离线应用程序?
我认为答案是肯定的,所以我想创建一个 JavaScript 安全系统来检查特定值是否等于从本地 SQL 或索引存储中获取的另一个值。
那么第二个问题是:如果用户因为做得好而无法破解 JavaScript 代码,用户是否也可以复制与 web 相关的本地存储,从而使我的安全检查无效?
如果是这样,那么在哪个设备上,在什么条件下?(各版本安卓、越狱iOS等)
感谢您的关注。
下载到客户端的所有内容都必须被认为是不安全的、可共享的和可审查的。
无法保护或保护 Javascript 源或下载的任何数据。只需设置诸如 Fiddler 之类的代理或直接从缓存中复制数据(或从浏览器中保存源文件)。
即使使用私钥-公钥方法也行不通,因为很容易跳转用于进行检查的函数。
所以是的,所有数据都可以复制和共享,并且不存在牢不可破的代码这样的东西:)
这是一个典型的情况——你需要计算出无论你做什么都会有一些非法使用你的软件——你可以让它变得更加困难,但不能阻止它(尤其是在下载 Javascript 的情况下)。
我的 2 美分:确保你制作了一个好的许可证,并相信大多数用户(?)会诚实并为许可证付费。也许您的许可证可以是面向用户的而不是面向设备的,如果用户想在他的另一台设备上使用它,则无需“破坏”安全性(法律案件通常允许用户这样做,这就是一件好事!)?
此外,根据您的目标群体是谁,大多数用户不具备“破坏”安全性的专业知识(除非您以开发人员为目标)。如前所述,您需要预先计算发生这种情况的一定风险。
经常更新、更改代码、重命名函数、更改服务器 API(强制更新) - 并不能防止安全漏洞,但会让“黑客”不断跟上更痛苦。
你会赢得一些,你会失去一些。就是这样……