我担心 Java 可执行文件的安全性。它们几乎没有提供反编译保护。使用 Java Decompiler 之类的工具,即使是孩子也可以反编译类文件以获取原始代码。
除了代码混淆之外,还可以做些什么来保护类文件?加密类加载器仍然是一个神话吗?
【问题讨论】:
标签: java obfuscation classloader protection decompiling
您可以使用native 编写所有代码。无论如何都可以进行逆向工程。但更难。
好的,这不是一个严格的 java 解决方案。
正如 nfechner 在评论中所说,编写开源应用程序。
【讨论】:
在以前的公司中,我们遇到过这样的问题,主要是由于管理偏执。
首先,您必须了解绝对安全只是一个神话:只要您的程序在不受信任的硬件上运行,它可以被反编译,无论您使用什么语言。您唯一可以改变的是攻击者了解您的软件/算法/数据的成本。
关于混淆:它可以被认为是第一级保护,因为它使 Java 代码完全不可读。像ProGuard 这样好的混淆器在变量/方法名称中使用禁止字符,防止执行反编译代码。现在,人们可以认为这是一种足够好的安全措施,因为反编译代码不像像运行 Jad 或其他反编译器并拥有完美运行的 Java 代码那样简单。但是,可以理解此类代码中公开的大多数算法(因为可读代码与可编译代码有很大不同)。
其他安全措施包括:
从这两个安全措施中,老实说,我会选择第一个。事实上,第二个可以被典型的 HTTPS 攻击(中间人、日志代理等)破坏,并且将代码放在不受信任的硬件上会带来主要不便,这使它可能从那里借来。
【讨论】:
基本上,您可以对字节码做四件事来保护它免受 Java 反编译器的攻击:
所有内容都在我的文章Protect Your Java Code - Through Obfuscators And Beyond
【讨论】: