我希望保护我的 Firefox 扩展程序的代码,因为它有服务器调用,如果有人可以将它们放在扩展程序之外,则不会有安全风险。关于如何加密它的任何建议?
Eiso
问问题
306 次
3 回答
6
这基本上是不可能的。您想将可执行代码提供给其中包含“秘密”调用的不受信任的客户端,但不让客户端知道秘密?那么,它将如何执行代码?
在某些时候,它必须被解密。这意味着客户端拥有执行解密所需的一切,这意味着用户可以这样做,并构建扩展的恶意版本。
您唯一的选择是重新设计,使易受攻击的服务不公开。
于 2008-11-11T14:23:48.200 回答
1
如果它要在客户端执行,没有可靠的秘密,那么基本上你肯定有一个安全漏洞。
在不了解您的扩展程序的情况下,很难提出解决此问题的方法。一个明显的建议是请求用户名/密码,向服务器进行身份验证(通过 HTTPS)并接收限时令牌,然后将该令牌与“狡猾”的请求一起呈现。不过,这不会阻止任何拥有正确用户名和密码的人......
于 2008-11-11T14:16:26.403 回答
0
您可以使用 xauth,它是 OAuth 的一种变体,旨在解决此类问题。Twitter 使用 xauth:http ://dev.twitter.com/pages/xauth
此外,您可以混淆您的 Javascript 代码,甚至用 C 语言编写(作为 NPAPI 插件)。
于 2011-06-13T20:05:05.173 回答