我将一个Electron应用程序打包到一个asar文件中。但是,几乎到处都提到该格式根本没有安全性。每个人都可以用npx asar extract app.asar destfolder解压缩文件,并访问源代码+资源文件(证书,图像,音频,所有内容)。
[从技术上讲,这意味着一个人可以随意篡改代码和资源文件,并使用不需要的代码来创建伪造的版本。
那么,检查您的应用程序是否被篡改的最佳实践是什么?另外,您认为我应该在哪里存储私钥和公共证书(我需要它们连接到我的nodejs服务器)。
谢谢:)
答案是代码签名。有关代码签名的定义,请查看Wikipedia(https://en.wikipedia.org/wiki/Code_signing)。有关Electron中代码签名的文档,请检查此链接https://www.electronjs.org/docs/tutorial/code-signing。
其次,对于另一个问题,私钥的目的是什么,以及谁的公共证书?以及为什么需要那些东西来连接nodejs服务器?
如果要保护应用程序和服务器之间的通信通道,请使用HTTPS。