我有一个电子应用程序打包成一个asar文件。然而,几乎所有地方都提到,这种格式根本没有安全性。每个人都可以用npx asar extract app.asar destfolder打开它,访问源代码+资源文件(证书,图像,音频,一切)。
这意味着从技术上讲,一个人可以随意篡改代码和资源文件,并使用不需要的代码创建假版本。
那么,检查应用程序是否被篡改的最佳实践是什么呢?另外,你认为我应该在哪里存储私钥和公共证书(我需要它们来连接到我的nodejs服务器)。
感谢您发送编修。
我有一个电子应用程序打包成一个asar文件。然而,几乎所有地方都提到,这种格式根本没有安全性。每个人都可以用npx asar extract app.asar destfolder打开它,访问源代码+资源文件(证书,图像,音频,一切)。
这意味着从技术上讲,一个人可以随意篡改代码和资源文件,并使用不需要的代码创建假版本。
那么,检查应用程序是否被篡改的最佳实践是什么呢?另外,你认为我应该在哪里存储私钥和公共证书(我需要它们来连接到我的nodejs服务器)。
感谢您发送编修。
1条答案
按热度按时间eblbsuwk1#
答案是代码签名。有关代码签名的定义,请查看Wikipedia(https://en.wikipedia.org/wiki/Code_signing)。有关Electron中的代码签名文档,请查看此链接https://www.electronjs.org/docs/latest/tutorial/code-signing。
第二,对于附加的问题,私钥的用途是什么,以及谁的公钥证书?以及为什么需要那些东西来连接nodejs服务器?
如果要保护应用程序和服务器之间的通信通道,请使用HTTPS。