phonegap版权保护

Question

我正在开发一个Android/iOS版的phonegap应用程序。

如果我理解正确的话，如果有人打开一个phonegap-app包，他可以直接将html/js/css复制到他们自己的phonegap-app中。这是我想让事情变得更困难的事情。

我的应用程序在不需要活跃的互联网连接的情况下就能工作，我想保持这种方式。

我能想到的最好的解决方案是将(40)个HTML文件的(部分)存储在本地Java/ObjectiveC变量中，并使用javascript和自定义Phonegap插件检索它们。这样，HTML在创建应用程序时也会被加密。

这是一个可行的解决方案还是浪费时间？

Answer 1

如果一些有价值的东西也值得保护人们的访问(例如身份验证细节)，那么将其放入他们拥有的一些编译代码中是不够安全的。

否则，你在HTML、Javascript和CSS中有什么是如此有价值的呢？它不能是代码本身，因为如果他们不能复制它，他们可以只看着它，说“哦，这是一个好主意”，复制想法而不看代码。好的想法比代码行更有价值，你不能用这种方式隐藏它们。在这种情况下，你让你的生活变得比你让他们更难。

Answer 2

这是Kerri Shotts的PhoneGap谷歌小组给出的我最喜欢的答案之一。我喜欢它，因为她封装了我对这件事的想法，但比我更有说服力：

并非如此。是的，你可以混淆它，但我可以解码它。你可以加密它，但这意味着密钥就在你的代码中的某个地方，这意味着我也可以解密它。一旦我拿到了设备和你的数据，我就可以用它们做任何我想做的事情。

请记住:设备和操作系统并不是用来保护应用程序不被用户访问的。它的存在是为了保护你的用户免受你的应用程序的攻击。与安全完全不同的一面。

请记住，这在很大程度上适用于本机应用程序。给我一个Java或ObjC程序，我也可以很容易地搞清楚它是做什么的。此外，在大多数平台中，所有的图形资产都是常规文件，这意味着它们很容易被复制。

这就是为什么有这么多盗版/克隆应用程序的原因。最后，只要我掌握了你的软件，你就无能为力了。您所能做的就是让它对用户来说“更难”--这种“硬度”水平与使它对用户“更难”所需的努力成比例(如果不是指数级的话)。也就是说，如果你让90%的用户无法破解系统，这是强化应用程序的一个难度级别；要想让99%的用户无法破解它，需要在编程难度上有很大的飞跃。

当然，您可以在读取加密的www/文件夹的本机代码中创建动态解密例程。如果你想这样做，那就去吧。(黑客仍然可以绕过它。有/总是/有一种方法。)我愿意走那么远吗？不是的。这不值得我花时间和精力，特别是当它不能保护我免受那些真正有兴趣打击我的人的时候。另一个问题: PG应该这样做吗？不是的。只有一个安全专家，而大多数开发人员都不是。

我是否对安全持悲观态度？是。如果你分发比特，你就会失去安全性。因此，如果你需要应用程序的工作非常安全，这些工作应该在设备外的一个非常安全的服务器上，在几个非常安全的防火墙后面的某个地方-知道在这两者之间有多安全，以确保没有人能猜到应用程序是如何向该服务器进行身份验证的。

我之所以这么说，只是因为我认为大多数应用程序不值得去担心www/文件夹是可见和公开的这一事实。我要说的是，99.99%的应用程序都是如此。除非您在医疗保健(记录敏感信息)或政府或银行(与实际的银行)工作，否则您不需要担心它。如果你是，你应该使用PG吗？此外，你甚至应该使用移动设备吗？在我看来，最好是一个客户端代码很少的webapp，本质上是一个黑盒。

Answer 3

这是Cordova/PhoneGap应用程序源代码安全的最佳插件。试试这个插件：cordova plugin add https://github.com/tkyaji/cordova-plugin-crypt-file.git