用户名*
邮箱*
密码*
确认密码*
验证码* 点击图片更换验证码
找回密码
忘记密码了?输入你的注册邮箱,并点击重置,稍后,你将会收到一封密码重置邮件。
bangchen自己有写:
从我的理解看,所谓『JSPatch的安全漏洞』主要从两方面来说:
第一, 一般来说,为了实现动态打 Patch 的能力,JS 脚本一般会在需要的时候从服务端下载,而这个过程中存在被中间人拦截的可能性,中间人把下载内容替换为他自己的脚本,从而控制 App。当然这一切建立在你并没有实现 JS 脚本加密的基础上(传输上https,脚本本身RSA等),这不是 JSPatch 的锅;
第二,App Store 以其审核严格著称,使用私有 API 等是被严格禁止的,动态能力也相对较弱,JSPatch 无疑为实现动态能力提供了一个途径,尤其是 Apple 并没有禁止动态加载 js 脚本的功能。那么意味着,App 的厂商是有能力动态地执行一些不可靠人的后门程序或者执行私有 API 之类的,但是没有 JSPatch 也可以实现这个功能,只不过 JSPatch 提供了更大的灵活性。当然,这也不是 JSPatch 的锅。
昵称*
E-Mail*
回复内容*
回复 ( 2 )
bangchen自己有写:
从我的理解看,所谓『JSPatch的安全漏洞』主要从两方面来说:
第一, 一般来说,为了实现动态打 Patch 的能力,JS 脚本一般会在需要的时候从服务端下载,而这个过程中存在被中间人拦截的可能性,中间人把下载内容替换为他自己的脚本,从而控制 App。当然这一切建立在你并没有实现 JS 脚本加密的基础上(传输上https,脚本本身RSA等),这不是 JSPatch 的锅;
第二,App Store 以其审核严格著称,使用私有 API 等是被严格禁止的,动态能力也相对较弱,JSPatch 无疑为实现动态能力提供了一个途径,尤其是 Apple 并没有禁止动态加载 js 脚本的功能。那么意味着,App 的厂商是有能力动态地执行一些不可靠人的后门程序或者执行私有 API 之类的,但是没有 JSPatch 也可以实现这个功能,只不过 JSPatch 提供了更大的灵活性。当然,这也不是 JSPatch 的锅。