V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
huruwo
V2EX  ›  互联网

推荐大家使用 Flutter 一大原因--安全性

  •  
  •   huruwo · 2021-12-13 10:24:08 +08:00 · 3471 次点击
    这是一个创建于 1102 天前的主题,其中的信息可能已经有所发展或是发生改变。

    大家使用 flutter 的大部分原因应该是跨平台,但是我认为 flutter 还有一个大的优点就是安全性。

    根据本人分析 relese 版本(debug 版本比较简单,自带源码)的 apk 文件

    单是还原出具体的类文件都难以做到,而且由于 dart vm 的存在,等于自带 apk VMP 。

    这让什么 hook 动态调试甚至抓包都有点难以做到。(当然我不是说 flutter 不能分析,只是没有现成的通用工具去分析,如果硬要看只能人肉汇编器了。)

    为了提高安全性我们可以自行编译 flutter 引擎做到

    • 去掉魔数,避免别人知道你的编译版本
    • 更换类文件 数据 function code 的解析顺序,让别人无法通过通用引擎源码反解析你的工程
    • 混淆掉快照数据和快照文件的导出函数名字
    • 添加 ollvm 等技术让工程变得更加花里胡哨难以反编译

    因为发现相当一部分黑灰黄软件已经使用上了这种技术,导致我们日常的安全工作有点难以开展。反过来说,如果你们想保护自己的工程源码,可以选择 flutter 这项技术。

    16 条回复    2022-04-27 14:06:52 +08:00
    huruwo
        1
    huruwo  
    OP
       2021-12-13 10:27:02 +08:00
    这些都是我个人分析得出的,如果有不同意见可以发出来讨论。
    huruwo
        2
    huruwo  
    OP
       2021-12-13 11:10:16 +08:00
    大家不要光收藏,来点观点讨论。我个人认为 flutter 的安全性至少在目前是没问题的。
    MonkeyD1
        3
    MonkeyD1  
       2021-12-13 11:46:28 +08:00
    意思谁不安全?
    murmur
        4
    murmur  
       2021-12-13 11:49:05 +08:00
    用的人少当然安全,不就是自己编虚拟机执行代码么,这 app 都玩出花的,业务代码落到 c 和 jni 都是多早的设计了
    murmur
        5
    murmur  
       2021-12-13 11:50:16 +08:00
    而且你以为你的技术很重要,别人看一眼找个团队就扒过来,然后大厂用更多的资源和推广干掉你的市场

    目前来看单从前端来看,还没有那种求之不得的技术,真的是牛逼的技术都落在后端了

    最近看个新闻,很多人吹什么技术牛逼的抖音,图形算法居然是抄的
    murmur
        6
    murmur  
       2021-12-13 11:51:20 +08:00
    顺便提一嘴,自编虚拟机这玩法在 lua 年代就有了
    huruwo
        7
    huruwo  
    OP
       2021-12-13 13:07:15 +08:00
    @murmur 是的 java2c vmp 都是很早的技术,但是使用起来有点门槛。flutter 封装好的技术可以直接用,而且他还可以跨平台。我觉得比起 uni-app 那种跨平台方案要好一点。
    huruwo
        8
    huruwo  
    OP
       2021-12-13 13:08:59 +08:00   ❤️ 1
    @murmur 我这里只单纯从技术来讲这个东西的安全性,你要落实到市场行为那就没法讨论了。但是我个人认为软件的安全性是一个值得考虑的东西。
    你这里完全否定掉技术的意义我觉得有点过分
    huruwo
        9
    huruwo  
    OP
       2021-12-13 13:13:44 +08:00
    @murmur 当然 安全性后端才是重中之重,比如最近的 log4j2 这种漏洞出现也是麻烦的事情。被大厂抄袭被垄断这些都是后面的事情了。况且腾讯微视对标字节抖音也没赢吧
    lap510200
        10
    lap510200  
       2021-12-13 14:58:36 +08:00
    都跨平台了 说明公司不愿花钱或者是外包 Flutter 难用 uniapp 有点 vue 水平就足够了 ,要安全性不如招人原生开发,流畅性和兼容性还更好
    sunbreak
        11
    sunbreak  
       2021-12-13 15:28:06 +08:00
    Flutter 逆向资料不多,还是有一些,不是专业做安全的,不好评价
    huruwo
        13
    huruwo  
    OP
       2021-12-13 15:54:24 +08:00
    @sunbreak 前面三篇都是偏理论的,最后一个工具还不完善。没有能够读出 function code 这些东西。
    letitbesqzr
        14
    letitbesqzr  
       2021-12-15 09:16:58 +08:00
    感觉和 wasm 一样... 前几年很多在前端使用 wasm 来进行加密,非常难破解。但这两年来,破解的案例和文章就多很多了,还是因为调试工具多了,更好用了。。
    huruwo
        15
    huruwo  
    OP
       2021-12-15 09:40:04 +08:00
    @letitbesqzr 是的,时间到了利益关系肯定会出现工具的。至少目前不用担心安全问题
    2384036992
        16
    2384036992  
       2022-04-27 14:06:52 +08:00
    说的不错啊,有没有具体的实操教程啊,谢谢你
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1040 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 20:26 · PVG 04:26 · LAX 12:26 · JFK 15:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.