我尝试开发app,用户可以下载加密媒体。用户必须先登录,然后他才会收到解密媒体的密钥。 AMFPHP& amp; amp; amp; SSL证书。问题是:
有人可以反编译主.swf,抓取解密密钥和算法(这是不可能防止反编译)。解决方案coluld在用户身份验证后发送类。我已经读过某个地方,可以从web上加载动态类(但是找不到好的例子),并且只调用main .swf中的public方法,所以算法将保持不变。
这个方法安全吗? “坏人”可以模拟我的应用程序,即调用方法和抓取类吗?
提及基于来自原始应用程序的抓取代码的方法,并在通过SSL保护连接后将其模拟为捕获数据。每个AIR App都需要出口证书
2.我可以连接使用应用程序certyficate吗?我的意思是,我可以使用此证书来确保调用方法由我生成的应用程序。如果可能,有人可以分享链接,或编码如何做到这一点?
3.如果有人试图用他的抓取版本手动覆盖设备上的主.swf怎么办?操作系统是否验证了某些校验和并将阻止或接受假.swf为原始?
4.我找不到文档来描述在AIR中使用应用程序证书的机制(只有如何生成它,以及自签名和商业之间的差异)。是否有人发现文章女巫描述了在iOS或Android上使用cert的更多信息?
我很高兴其他信息如何保护AIR应用程序中的通信。
答案 0 :(得分:0)
从web加载类:阅读'运行时共享库'
1.为什么不为每个经过身份验证的用户生成唯一的“密钥”?不要回收同一个。
2. 3.和4.我认为'cert'用于安装而不是之后。如果您构建自己的密钥/证书流程,则可以忽略“假”应用程序。