我正在创建一个 Flex 4 项目,并希望使用加密进行基于动作脚本的登录,但我显然不希望它被轻易反编译。如果我动态链接到“非浏览”目录中的 swf 文件,基本应用程序 actionscript 文件的反编译器是否也会给出链接文件的代码?
例如
[基本目录] 索引.html 应用程序.swf [模块] --此目录不可浏览-- login.swf
app.swf 在加载时导入 login.swf。
【问题讨论】:
标签: flash apache-flex security actionscript
您所说的不可浏览是什么意思?如果在用户机器上运行的 app.swf 可以在运行时加载 login.swf,那么 login.swf 是公开可读的。如果它是公开可读的,则可以轻松下载和反编译。
您永远无法安全地将“秘密”嵌入到 SWF 中,也永远无法安全地验证客户端(仅限用户)。也许更重要的是,安全登录不应该首先要求您实施加密。一般来说,最好的做法是通过 HTTPS 发送登录信息,让浏览器的传输层为您处理加密。它应该对您的 Flex 应用程序是透明的。
【讨论】:
反编译器会给你的是你正在反编译的 swf 的代码和资产。
同样,根据我从当前可用的反编译器中看到的情况,您将看不到您的主要父 swf 加载的子 swf 中的代码和资产,除非您复制它并反编译该 swf;但是,这非常容易做到,因为您可以简单地从缓存中复制它。
您应该习惯这样的想法,即每个人都可以看到您的代码,即使您对其进行了混淆,并且您应该将驻留在客户端的演示代码与后端分开以确保安全在服务器端。
设计你的逻辑就像它是一个 HTML 登录表单一样,出于安全原因,因为用户可以轻松查看源代码,你总是需要依赖服务器端进行身份验证和验证,而不是将驻留在客户端并在客户端运行的代码。
如果代码在客户端,那么用户可以随心所欲地使用该代码,并且如果用户足够熟练,那么您真的无法阻止他或她免得惹它。
【讨论】: