大家认为浏览器会加入一些新特性防止前端代码被逆向吗

2021-06-06 16:04:38 +08:00
 godblessumilk
前端代码毫无安全性可言,打开浏览器开发者工具,什么底裤都能看到。即使是压缩混淆过的前端线上代码,也可以通过逆向后审计,找出可利用的业务逻辑漏洞,这导致 http/https/websocket 应用的安全性几乎完全依赖于后端。

新版本安卓的 apk 打包发版时可以开启防抓包,大大提高了安卓应用被逆向破解的难度。

大家认为未来的浏览器会加入 [生产环境代码不可见] 这个新特性吗?线上环境光明正大地让前端代码裸奔,除了能方便复现线上 bug,我想不到有什么好处
10059 次点击
所在节点    浏览器
82 条回复
815979670
2021-06-06 16:09:54 +08:00
我觉得不可能 前端目前的机制就是明文的脚本代码 浏览器 就算屏蔽了开发者工具 也会有其他工具、插件来提供这个功能的
VDimos
2021-06-06 16:14:17 +08:00
防君子防不了小人,真想逆向你,二进制分发也能行。无非就是增加了难度而已。浏览器加上生产环境代码不可见,还不如期待全用 web assembly 开发,历史包袱太重了,不可行
Rheinmetal
2021-06-06 16:15:28 +08:00
@815979670 wasm 没有 dom api 吧 不过可以像 react server components 那样喂 virtual dom 类似物过来 js 只有 vdom2dom
shyling
2021-06-06 16:19:39 +08:00
> 新版本安卓的 apk 打包发版时可以开启防抓包,大大提高了安卓应用被逆向破解的难度。
和前端混淆有本质区别吗。

另外个人理解前端主要还是在于展示,ui 有什么值得逆向的,想抄看着样子就能抄了吧。
dingwen07
2021-06-06 16:20:39 +08:00
Firefox 这种开源浏览器怎么办?
echo1937
2021-06-06 16:31:35 +08:00
一般来说,涉及安全的方面肯定是要做双端验证,如果前端代码涉及部分业务逻辑,一般也是经过后端适当抽象以后的调用,我不太清楚 WebAssembly 在防逆向方面有没有什么比较大的优势。
nieyujiang
2021-06-06 16:34:28 +08:00
他要是想搞你,你就是用 01 写他也会一个字符一个字符的看,无非就是加大一点阅读的难度
Jirajine
2021-06-06 16:40:22 +08:00
恰恰相反,浏览器只会不断加入一些新特性来让前端代码更透明。
janxin
2021-06-06 16:42:22 +08:00
感觉你操作反了…开放透明才是前端未来
godblessumilk
2021-06-06 16:42:30 +08:00
@shyling 最主要是能抓包出所有 http 请求的请求路径鸭
ysc3839
2021-06-06 16:44:40 +08:00
我认为不会。
类似各个操作系统也没有加入什么防止逆向的技术,都是第三方自己为不同系统研发相关技术。
我认为 Web 也类似,也会是第三方推出防止逆向的技术出来。
janxin
2021-06-06 16:46:29 +08:00
@ysc3839 你记得一种东西叫做网银安全控件嘛
ysc3839
2021-06-06 16:48:15 +08:00
@janxin 但这也不是操作系统或者浏览器提供的呀?也是第三方推出的。
3dwelcome
2021-06-06 17:21:10 +08:00
后端安全性实在太过无敌,相比之下,前端就显得没那么必要。

比如你几乎无法通过穷举,来破解一个网站用户名的登录密码。

任何技术推进,还是要有需求才行,没强需求啊。
crazytec
2021-06-06 17:21:29 +08:00
建议设计代码 DRM 系统(
wellsc
2021-06-06 17:30:02 +08:00
明文有逆向的概念吗
godblessumilk
2021-06-06 17:35:06 +08:00
@wellsc 现在很多前端代码上线前会用 webpack 的代码丑化插件来压缩混淆的(话说我头像的涩图是被举报了么)
morize
2021-06-06 17:45:16 +08:00
还是要后端挡啊哈哈。不就是怕接口被看到嘛,看到就看到咯。抓包一下,再 Mitm 一下啥都能知道了,脚本 boy 就出动了。关键是一般人无缘无故谁有这耐心去分析啊?
wellsc
2021-06-06 17:47:13 +08:00
@godblessumilk 混淆和逆向不是一回事
charlie21
2021-06-06 17:47:58 +08:00
如果是客户端渲染
网络传输量 and 客户端负载,这两个都是最好不要增加的。那么肯定就是压缩之后的明文传输

如果是服务端渲染
......

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/781702

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX