この数日の間に、ある考えが頭をよぎりました。
モバイル アプリケーションのプラットフォームとして trigger.io を使用しています。また、REST API のスクリプト言語として JavaScript を使用しています。
Javascript を使用しているため、誰かがアプリを逆コンパイルしてソース コードを表示すると、すべてのコード、特にアカウント資格情報 (Api キー、秘密キーなど) が表示されます。
trigger.io の誰かが答え、明確にし、悪意のある攻撃 (リプレイ攻撃、サイドジャッキングなど) やアカウントの悪用からアプリケーションを保護する方法の具体的な例を教えてくれるかどうか疑問に思っています。
ありがとう!
キーのセキュリティは、ユーザーのデバイスで実行されるすべてのアプリにとって間違いなく大きな懸念事項です。
JavaScript はコンパイル済みコードよりも難読化されていない可能性が高いため、Trigger.io アプリからキーを引き出すことは、コンパイルされたネイティブ アプリからキーを引き出すよりもわずかに簡単です。コンパイルされたコードでキーを保持したい場合は、キーを JS にリリースするだけのネイティブ プラグインを検討できます - http://docs.trigger.io/en/v1.4/modules/native/。
ただし、コンパイルされたコードから秘密鍵を引き出すことはまだ可能であるため、お勧めしません。
私たちが知っているこの問題を回避する唯一の方法は、アプリ自体に秘密鍵を含めずに、ユーザーにインタラクティブな認証手順を実行させることです。それが発生し、誰と話しているかがわかれば、サーバーは必要なキーをアプリに解放できます。