保护 Electron 应用程序的最佳实践
Best practice to secure an Electron application
我将一个 Electron 应用程序打包到一个 asar 文件中。但是,几乎到处都提到该格式根本没有安全性。每个人都可以用 npx asar extract app.asar destfolder 解压并访问源代码和资源文件(证书、图像、音频、所有内容)。
这意味着从技术上讲,一个人可以随心所欲地篡改代码和资源文件,并使用不需要的代码创建虚假构建。
那么检查您的应用程序未被篡改的最佳做法是什么?另外,你认为我应该在哪里存储私钥和 public 证书(我需要它们连接到我的 nodejs 服务器)。
谢谢:)
答案是代码签名。有关代码签名的定义,请查看维基百科 (https://en.wikipedia.org/wiki/Code_signing). For the documentation of the code signing in Electron, check this link https://www.electronjs.org/docs/tutorial/code-signing.
第二,追加问题,私钥的用途是什么,public是谁的证书?为什么你需要这些东西来连接 nodejs 服务器?
如果要保护应用程序和服务器之间的通信通道,请使用 HTTPS。
我将一个 Electron 应用程序打包到一个 asar 文件中。但是,几乎到处都提到该格式根本没有安全性。每个人都可以用 npx asar extract app.asar destfolder 解压并访问源代码和资源文件(证书、图像、音频、所有内容)。
这意味着从技术上讲,一个人可以随心所欲地篡改代码和资源文件,并使用不需要的代码创建虚假构建。
那么检查您的应用程序未被篡改的最佳做法是什么?另外,你认为我应该在哪里存储私钥和 public 证书(我需要它们连接到我的 nodejs 服务器)。
谢谢:)
答案是代码签名。有关代码签名的定义,请查看维基百科 (https://en.wikipedia.org/wiki/Code_signing). For the documentation of the code signing in Electron, check this link https://www.electronjs.org/docs/tutorial/code-signing.
第二,追加问题,私钥的用途是什么,public是谁的证书?为什么你需要这些东西来连接 nodejs 服务器?
如果要保护应用程序和服务器之间的通信通道,请使用 HTTPS。