V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
huruwo
V2EX  ›  互联网

推荐大家使用 Flutter 一大原因--安全性

  •  
  •   huruwo · 166 天前 · 2053 次点击
    这是一个创建于 166 天前的主题,其中的信息可能已经有所发展或是发生改变。

    大家使用 flutter 的大部分原因应该是跨平台,但是我认为 flutter 还有一个大的优点就是安全性。

    根据本人分析 relese 版本(debug 版本比较简单,自带源码)的 apk 文件

    单是还原出具体的类文件都难以做到,而且由于 dart vm 的存在,等于自带 apk VMP 。

    这让什么 hook 动态调试甚至抓包都有点难以做到。(当然我不是说 flutter 不能分析,只是没有现成的通用工具去分析,如果硬要看只能人肉汇编器了。)

    为了提高安全性我们可以自行编译 flutter 引擎做到

    • 去掉魔数,避免别人知道你的编译版本
    • 更换类文件 数据 function code 的解析顺序,让别人无法通过通用引擎源码反解析你的工程
    • 混淆掉快照数据和快照文件的导出函数名字
    • 添加 ollvm 等技术让工程变得更加花里胡哨难以反编译

    因为发现相当一部分黑灰黄软件已经使用上了这种技术,导致我们日常的安全工作有点难以开展。反过来说,如果你们想保护自己的工程源码,可以选择 flutter 这项技术。

    16 条回复    2022-04-27 14:06:52 +08:00
    huruwo
        1
    huruwo  
    OP
       166 天前
    这些都是我个人分析得出的,如果有不同意见可以发出来讨论。
    huruwo
        2
    huruwo  
    OP
       166 天前
    大家不要光收藏,来点观点讨论。我个人认为 flutter 的安全性至少在目前是没问题的。
    MonkeyD1
        3
    MonkeyD1  
       166 天前
    意思谁不安全?
    murmur
        4
    murmur  
       166 天前
    用的人少当然安全,不就是自己编虚拟机执行代码么,这 app 都玩出花的,业务代码落到 c 和 jni 都是多早的设计了
    murmur
        5
    murmur  
       166 天前
    而且你以为你的技术很重要,别人看一眼找个团队就扒过来,然后大厂用更多的资源和推广干掉你的市场

    目前来看单从前端来看,还没有那种求之不得的技术,真的是牛逼的技术都落在后端了

    最近看个新闻,很多人吹什么技术牛逼的抖音,图形算法居然是抄的
    murmur
        6
    murmur  
       166 天前
    顺便提一嘴,自编虚拟机这玩法在 lua 年代就有了
    huruwo
        7
    huruwo  
    OP
       166 天前
    @murmur 是的 java2c vmp 都是很早的技术,但是使用起来有点门槛。flutter 封装好的技术可以直接用,而且他还可以跨平台。我觉得比起 uni-app 那种跨平台方案要好一点。
    huruwo
        8
    huruwo  
    OP
       166 天前   ❤️ 1
    @murmur 我这里只单纯从技术来讲这个东西的安全性,你要落实到市场行为那就没法讨论了。但是我个人认为软件的安全性是一个值得考虑的东西。
    你这里完全否定掉技术的意义我觉得有点过分
    huruwo
        9
    huruwo  
    OP
       166 天前
    @murmur 当然 安全性后端才是重中之重,比如最近的 log4j2 这种漏洞出现也是麻烦的事情。被大厂抄袭被垄断这些都是后面的事情了。况且腾讯微视对标字节抖音也没赢吧
    lap510200
        10
    lap510200  
       166 天前
    都跨平台了 说明公司不愿花钱或者是外包 Flutter 难用 uniapp 有点 vue 水平就足够了 ,要安全性不如招人原生开发,流畅性和兼容性还更好
    sunbreak
        11
    sunbreak  
       166 天前
    Flutter 逆向资料不多,还是有一些,不是专业做安全的,不好评价
    huruwo
        13
    huruwo  
    OP
       166 天前
    @sunbreak 前面三篇都是偏理论的,最后一个工具还不完善。没有能够读出 function code 这些东西。
    letitbesqzr
        14
    letitbesqzr  
       164 天前
    感觉和 wasm 一样... 前几年很多在前端使用 wasm 来进行加密,非常难破解。但这两年来,破解的案例和文章就多很多了,还是因为调试工具多了,更好用了。。
    huruwo
        15
    huruwo  
    OP
       164 天前
    @letitbesqzr 是的,时间到了利益关系肯定会出现工具的。至少目前不用担心安全问题
    2384036992
        16
    2384036992  
       31 天前
    说的不错啊,有没有具体的实操教程啊,谢谢你
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2469 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 11:08 · PVG 19:08 · LAX 04:08 · JFK 07:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.