1

webOS内またはwebOS用のプライベートAPIキーを非表示にするにはどうすればよいですか?Enyoベースのアプリですか?

この問題のため、私の開発は基本的に停止しました。

webOS Enyo(およびMojo)はJavascriptでコーディングされているため、すべてのユーザーがデバイスを接続して、私のソースコードを簡単に表示できます。だから明らかに私はそこに自分の鍵を突き刺すことはできません。それらが暗号化されている場合でも、私のアプリには、それらを使用するためにそれらを復号化するためのメカニズムを含める必要があります。プライベートウェブサービスAPIキー(主にOAuth Twitter、Facebook、Googleなど)とAWSプライベートキーを非表示にしたいと考えています。

これまでのところ、私が見つけた答えは、Javascriptの秘密APIキーのようなものを保護することはできないと述べています。しかし、これらの議論はすべて、Javascriptを使用する代わりの簡単な方法があるWebアプリケーションを扱ってきました。webOSアプリには、Javascriptで単純なアプリをコーディングする代わりの方法はありません。

私が考えている唯一の方法は、すべてのAPI呼び出しが通過するプロキシを作成することです。それが唯一の実行可能または理想的なオプションですか?もしそうなら、node.jsはここで私のためにトリックをしますか?

リード、リソース、例、ヒントなどをいただければ幸いです。最近は多くのアプリがこれらのサービスに接続しているので、答えは私を正面から見ているは​​ずだと思いますが、私にはリードがありませんでした。ありがとう。

4

3 に答える 3

2

このようなクライアント側の秘密鍵を持つアプリケーション(完全にサーバー全体のものを除く)は、詮索好きな目から安全ではありません。これは、Windows用にコンパイルされたC++アプリにも当てはまります。アプリケーションが秘密鍵を直接使用する場合、それらはコード内にあるか、コードで使用できます。詮索好きな目はそれらを見つけることができます。はい、Javascriptを使用するとコードが少しアクセスしやすくなる可能性がありますが、これはwebOSまたはJavascriptアプリにとって新しい問題ではありません。EnyoがPC/Macクロスプラットフォームツールだったとしたら、Twitterキーでも同じ問題が発生しませんか?

通常、行われるのは、インストール時にキーが何らかのストレージメカニズムに配置されることです。PCの場合、それはレジストリまたはいくつかの構成ファイルである可能性があります。webOSにはインストールメカニズムがありますか?HTML5タイプのストレージがあるようです。インストール時にそこに保存できますか。それらはハッキングプルーフではありません(他のプラットフォームにもありません)が、Javascriptコードにも存在しません。

これに対するもう1つの解決策は、開発者が自分のキーを使用するのではなく、Twitterなどの公共サービスへの独自のキーを取得するように要求することです。これにより、悪い顧客が1人いるときに、プラットフォーム全体を危険にさらすことを防ぐことができます。

私があなたの状況を誤解した場合は、遠慮なく明確にして、私がよりよく理解するのを手伝ってください。

于 2011-07-16T08:55:28.697 に答える
1

キーマネージャーサービスをご覧ください。このサービスを使用すると、キーをJSファイルにコーディングしなくてもキーを保存できます。

于 2011-07-21T17:21:03.517 に答える
1

私の感じでは、プロキシを持つことは素晴らしいアイデアです。プロキシには、クライアント側を変更せずにユーザー認証やその他の機能を追加できるという追加の利点があります。

于 2011-07-16T07:44:18.967 に答える