大家认为浏览器会加入一些新特性防止前端代码被逆向吗

前端代码毫无安全性可言，打开浏览器开发者工具，什么底裤都能看到。即使是压缩混淆过的前端线上代码，也可以通过逆向后审计，找出可利用的业务逻辑漏洞，这导致 http/https/websocket 应用的安全性几乎完全依赖于后端。

新版本安卓的 apk 打包发版时可以开启防抓包，大大提高了安卓应用被逆向破解的难度。

大家认为未来的浏览器会加入 [生产环境代码不可见] 这个新特性吗？线上环境光明正大地让前端代码裸奔，除了能方便复现线上 bug，我想不到有什么好处

codehz

2021-06-06 17:50:11 +08:00

（其实已经有了，只是使用成本比较高）
DRM 技术就是干这个的。。。

BeautifulSoap

2021-06-06 18:06:26 +08:00

WebAssembly 不就行么，虽说它不是拿来防止逆向的，但你用其他语言编译出来的 wsm 文件的确没有一定的技术和相当的耐心不好逆向。而且有了 wsm 的话，加壳之类的操作也可以上了，让逆向程度从原本的谁都可以试试，提升到类似二进制可执行程序逆向的的难度

546L5LiK6ZOt

2021-06-06 18:35:19 +08:00

要保证代码安全性，感觉只能用远程桌面的思路，浏览器只接收图形渲染信息

janxin

2021-06-06 18:44:34 +08:00

@ysc3839 我的意思是这种特定运行时依赖的东西注定会被扫进历史的垃圾堆…

cyrbuzz

2021-06-06 19:46:21 +08:00

@love https 的请求只认打包 apk 时一起打包的证书，其他证书都不认可(fiddler, burp 等)。

KINGOD

2021-06-06 20:26:33 +08:00

>新版本安卓的 apk 打包发版时可以开启防抓包
请问这个指的是什么？是说 Android P 里的 “只允许 HTTPS 协议，不允许 HTTP” 吗？还是其他的什么额外配置？

Maskeney

2021-06-06 20:34:22 +08:00

敏感内容加密❎️
固定证书防抓包✅️

喜闻乐见又一个把 https 当防客户端加密用的

learningman

2021-06-06 20:51:40 +08:00

@love 不能，他说的是证书装订，可以杜绝 MITM 。
可是人家抓不了你的包，直接 hook 应用还是能拿到信息啊。。。感觉用处不大。

iceheart

2021-06-06 20:52:46 +08:00

browser 端代码必须得暴露在阳光下，不然的话如何能得到用户的信任，有程序干坏事了，咋定位是谁干的？
想隐藏代码就去搞 c/s 的好了

yitingbai

2021-06-06 21:52:59 +08:00

永远不可能的, 就拿你的例子安卓 apk 来说, 我自己 clone 安卓源码, 自己编译系统, 再运行你的加密 apk, 你能防得住? 所以这就是无意义的事情, 还不如让前端代码更透明, 开发更方便

geekvcn

2021-06-06 22:27:36 +08:00

Adobe，微软，苹果算不算大厂，算不算牛逼，他们的软件和系统都被破解，所以现在都搞订阅制和云端化了，让部分功能依赖云端

CrazyRundong

2021-06-06 22:34:26 +08:00

@dingwen07 #5 浏览器开源反而是最不用担心的问题，现代加密算法的安全性来自于密钥而不隐藏算法本身。openssl 不也是开源的嘛

abc612008

2021-06-06 22:37:33 +08:00

"这导致 http/https/websocket 应用的安全性几乎完全依赖于后端"这不是常识吗？你安全机制都部署在前端？
永远假设前端是不可信的。Security through obscurity 不可取

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/781702

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.