因为反编译工具的存在，安卓 APP 理论上是不是代码相当于裸奔？

yankebupt

2017-04-06 10:38:06 +08:00

楼主估计想说，只有在线热补丁 hotfix 的代码比较安全......没运行过的都不下载，还能怎么安全
不过 hotfix 差点被各家(目前好像只有苹果)市场禁掉，因为反过来对用户不够安全......

Pastsong

2017-04-06 10:39:05 +08:00

写前端从来都是裸奔...

fuxkcsdn

2017-04-06 10:50:56 +08:00

@ovear 所以 3 年过去了，还不打算填坑吗

est

2017-04-06 10:53:14 +08:00

webpack 出来一个 10M 的 .min.js 去分析吧。

yushiro

2017-04-06 11:14:04 +08:00

@est 先找一个实际生产环境中，有 10M 大小的单个 js 文件的网站来。这种大小的 js 部署上线不会被领导骂？

maomaomao001

2017-04-06 11:20:23 +08:00

混淆过的 js 代码扔给你你也不想看了～～～(虽然它也是源代码，但是， 1 不能二次开发， 2 不能学习(除非是算法类),不然没多少意义)

UnixCRoot

2017-04-06 11:25:32 +08:00

你得看他会不会用……

humgy

2017-04-06 11:53:37 +08:00

成本，一切都是成本问题

humgy

2017-04-06 11:54:00 +08:00

就像黑客一样

Chrisplus

2017-04-06 12:18:12 +08:00

理论上来说是裸的……
混淆加固加壳各类工具本质上只是增加了反向的成本

但是裸奔也不一定意味着非安全，比如核心秘密关键操作依赖于网络可信第三方或者本机专用安全硬件等……

phithon

2017-04-06 12:50:56 +08:00

网上那些使用开源程序的网站和服务，不能算裸奔吧，关键还是代码质量和通信过程的安全。

hhh

2017-04-06 13:02:12 +08:00

360 加固好像会夹带私货？

debye

2017-04-06 13:07:59 +08:00

裸奔就裸奔也无所谓啊
大部分业务逻辑基本都在 server 端，客户端只是少量的体验性功能，有的 app 甚至是空壳

cwek

2017-04-06 16:35:04 +08:00

简单可以用混淆和加壳。
复杂就是将业务代码全部放在服务端处理，客户端就是收发界面。

jccg90

2017-04-06 17:05:21 +08:00

是的。。。只要有足够的利益，客户端都是可以破的，参考腾讯的微信，安全算是顶级的了，也照样搞出各种插件和修改版来。。。

changwei

2017-04-06 17:07:16 +08:00

@yushiro 大项目多页面路由的情况下，在没做异步模块，懒加载之前有 10m 一点也不夸张，毕竟图片， css 都打包进了 js 里面呢。

kenX

2017-04-06 18:14:54 +08:00

@yushiro

https://www.v2ex.com/t/311441
https://kyfw.12306.cn/otn/resources/js/query/train_list.js

Lostars

2017-04-06 18:33:12 +08:00

http://www.mottoin.com/89035.html
再怎么加固， dex 还是要加载到内存中运行的，可以通过各种手段 dump 出内存中的 dex 。
其实苹果的 app 才是裸奔的，它只有 appStore 一层弱弱的保护。

zongren

2017-04-06 18:47:01 +08:00

混淆就可以了，还想咋的

zhihaofans

2017-04-06 18:50:52 +08:00

@yankebupt 谷歌好像也是

因为反编译工具的存在， 安卓 APP 理论上是不是代码相当于裸奔？

因为反编译工具的存在，安卓 APP 理论上是不是代码相当于裸奔？