这是一个创建于 1069 天前的主题,其中的信息可能已经有所发展或是发生改变。
大家使用 flutter 的大部分原因应该是跨平台,但是我认为 flutter 还有一个大的优点就是安全性。
根据本人分析 relese 版本(debug 版本比较简单,自带源码)的 apk 文件
单是还原出具体的类文件都难以做到,而且由于 dart vm 的存在,等于自带 apk VMP 。
这让什么 hook 动态调试甚至抓包都有点难以做到。(当然我不是说 flutter 不能分析,只是没有现成的通用工具去分析,如果硬要看只能人肉汇编器了。)
为了提高安全性我们可以自行编译 flutter 引擎做到
- 去掉魔数,避免别人知道你的编译版本
- 更换类文件 数据 function code 的解析顺序,让别人无法通过通用引擎源码反解析你的工程
- 混淆掉快照数据和快照文件的导出函数名字
- 添加 ollvm 等技术让工程变得更加花里胡哨难以反编译
因为发现相当一部分黑灰黄软件已经使用上了这种技术,导致我们日常的安全工作有点难以开展。反过来说,如果你们想保护自己的工程源码,可以选择 flutter 这项技术。
 |
1
huruwo OP 这些都是我个人分析得出的,如果有不同意见可以发出来讨论。
|
|
2
huruwo OP 大家不要光收藏,来点观点讨论。我个人认为 flutter 的安全性至少在目前是没问题的。
|
 |
3
MonkeyD1 2021-12-13 11:46:28 +08:00
意思谁不安全?
|
 |
4
murmur 2021-12-13 11:49:05 +08:00
用的人少当然安全,不就是自己编虚拟机执行代码么,这 app 都玩出花的,业务代码落到 c 和 jni 都是多早的设计了
|
|
5
murmur 2021-12-13 11:50:16 +08:00
而且你以为你的技术很重要,别人看一眼找个团队就扒过来,然后大厂用更多的资源和推广干掉你的市场
目前来看单从前端来看,还没有那种求之不得的技术,真的是牛逼的技术都落在后端了 最近看个新闻,很多人吹什么技术牛逼的抖音,图形算法居然是抄的 |
|
6
murmur 2021-12-13 11:51:20 +08:00
顺便提一嘴,自编虚拟机这玩法在 lua 年代就有了
|
|
7
huruwo OP @murmur 是的 java2c vmp 都是很早的技术,但是使用起来有点门槛。flutter 封装好的技术可以直接用,而且他还可以跨平台。我觉得比起 uni-app 那种跨平台方案要好一点。
|
|
8
huruwo OP  1
@murmur 我这里只单纯从技术来讲这个东西的安全性,你要落实到市场行为那就没法讨论了。但是我个人认为软件的安全性是一个值得考虑的东西。
你这里完全否定掉技术的意义我觉得有点过分 |
|
9
huruwo OP @murmur 当然 安全性后端才是重中之重,比如最近的 log4j2 这种漏洞出现也是麻烦的事情。被大厂抄袭被垄断这些都是后面的事情了。况且腾讯微视对标字节抖音也没赢吧
|
 |
10
lap510200 2021-12-13 14:58:36 +08:00
都跨平台了 说明公司不愿花钱或者是外包 Flutter 难用 uniapp 有点 vue 水平就足够了 ,要安全性不如招人原生开发,流畅性和兼容性还更好
|
 |
11
sunbreak 2021-12-13 15:28:06 +08:00
Flutter 逆向资料不多,还是有一些,不是专业做安全的,不好评价
|
|
12
sunbreak 2021-12-13 15:28:13 +08:00
|
 |
14
letitbesqzr 2021-12-15 09:16:58 +08:00
感觉和 wasm 一样... 前几年很多在前端使用 wasm 来进行加密,非常难破解。但这两年来,破解的案例和文章就多很多了,还是因为调试工具多了,更好用了。。
|
|
15
huruwo OP @letitbesqzr 是的,时间到了利益关系肯定会出现工具的。至少目前不用担心安全问题
|
 |
16
2384036992 2022-04-27 14:06:52 +08:00
说的不错啊,有没有具体的实操教程啊,谢谢你
|
Select Language