我将一个 Electron 应用程序打包到一个 asar 文件中。但是,几乎到处都提到该格式根本没有安全性。每个人都可以使用 npx asar extract app.asar destfolder
解压并访问源代码和资源文件(证书、图像、音频等所有内容)。
这意味着从技术上讲,人们可以随心所欲地篡改代码和资源文件,并使用不需要的代码创建虚假构建。
那么检查您的应用程序未被篡改的最佳做法是什么?另外,你认为我应该在哪里存储私钥和公共证书(我需要它们连接到我的 nodejs 服务器)。
谢谢你:)
最佳答案
答案是代码签名。有关代码签名的定义,请查看维基百科 ( https://en.wikipedia.org/wiki/Code_signing )。有关 Electron 中代码签名的文档,请查看此链接 https://www.electronjs.org/docs/latest/tutorial/code-signing .
第二,补充问题,私钥的用途是什么,公证是谁的?为什么需要这些东西来连接 nodejs 服务器?
如果要保护应用程序和服务器之间的通信 channel ,请使用 HTTPS。
关于javascript - 保护 Electron 应用程序的最佳实践,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62163991/