Esta es una de mis respuestas favoritas del grupo de Google PhoneGap por Kerri Shotts. Me gusta porque encapsula mis pensamientos sobre el tema, pero lo hace de manera más elocuente de lo que pude:
Realmente no. Sí, puedes ofuscarlo, pero podría descifrarlo. Puede encriptarlo, pero eso significa que la clave está en su código en alguna parte, que significa que también puedo descifrarlo. Una vez que tenga el dispositivo y sus bits, I puedo hacer lo que quiera con ellos.
Recuerde: el dispositivo y el sistema operativo no están ahí para proteger la aplicación de sus usuarios . Está ahí para proteger a tus usuarios de tu aplicación. Totalmente lado diferente a la seguridad.
Tenga en cuenta que esto es en gran parte cierto para las aplicaciones nativas. Dame un programa ObjC de Java o y también puedo resolver lo que hace con la suficiente facilidad. Además, en la mayoría de las plataformas, todos los recursos gráficos son solo archivos regulares, lo que significa que se copian fácilmente.
Es por eso que hay tantas aplicaciones pirateadas/clonadas por ahí. Y finalmente, mientras tenga los bits para su software, hay nada que pueda hacer al respecto. Todo lo que puede hacer es "hacerlo más difícil" para el usuario y ese nivel de "dureza" es proporcional (si no es exponencial) al esfuerzo requerido para hacerlo "más difícil" para el usuario. Es decir, si lo hace para que el 90% de los usuarios no puedan descifrar el sistema, tiene un nivel de dificultad para reforzar la aplicación; para luego hacerlo para que el 99% no pueda crackear, requiere un salto significativo en la dificultad de programación .
Puede, por supuesto, crear rutinas de desencriptación sobre la marcha en el código nativo que lee una carpeta www/encriptada. Si desea hacer eso, vaya al adelante. (Un hacker aún puede evitarlo. Hay/siempre/un camino.) ¿Estoy dispuesto a llegar tan lejos? Nop.No vale la pena mi tiempo o esfuerzo, especialmente cuando no me protegerá de los que realmente están interesados en castigarme. [Otro problema: ¿PG debería hacer esto? NO. Solo un experto en seguridad, y la mayoría de los desarrolladores no.]
¿Tengo una opinión pesimista sobre la seguridad? Sí. Si distribuye los bits , pierde la seguridad. Por lo tanto, si necesita que el funcionamiento de la aplicación sea muy seguro, esos dispositivos deberían estar fuera del dispositivo en un servidor muy seguro en algún lugar detrás de varios cortafuegos muy seguros con bondad-sabe cuánta seguridad hay para asegurarse de que nadie podría adivinar cómo la aplicación incluso se está autenticando en este servidor.
Digo todo esto simplemente porque no creo que valga la pena el esfuerzo para la mayoría de las aplicaciones para preocuparse por el hecho de que la carpeta www/es visible y expuesta. Me atrevería a decir que en el 99,99% de las aplicaciones esto es cierto. A menos que esté trabajando en el cuidado de la salud (y registrando información confidencial de ) o en el gobierno o la banca (con bancos reales), no necesita preocuparse por el . Y si lo es, ¿debería usar PG? Además, ¿debería incluso estar en el dispositivo móvil? Mejor en mi opinión es que es una aplicación web que tiene muy poco código de cliente y es esencialmente una caja negra.
En esta aplicación, creo que el html es la parte más importante. Es una serie de ejercicios de lenguaje, donde las preguntas, las respuestas correctas y los comentarios se almacenan dentro del html, y la funcionalidad es bastante simple. Y tienes razón, no quisiera hacer mi vida más difícil que la de ellos. Como soy nuevo en este tipo de problemas, me preguntaba si se podría hacer algo sin demasiada molestia. Pareces sugerir que la "molestia" en mi solución se escribiría con una H mayúscula ... Pero cuidado, no estoy buscando una solución segura definitiva. – Kanarie
Tal vez haga algo como tener las respuestas correctas en el javascript como '" \ u0041 \ u0042 \ u0043 "' en lugar de '" ABC "' o en el HTML como '" A B C "'. Eso solo retrasaría a una persona con conocimientos de código por menos de un minuto, pero detendría a un chico con menos conocimiento del código que trata de escabullirse "al final del libro", por así decirlo. –
Gracias Jon, eso sería bueno si estuviera interesado en dificultar que alguien obtenga las respuestas correctas. Sin embargo, mi interés principal es encontrar la manera de dificultar que otra persona simplemente copie el contenido html/js/css en otra aplicación phonegap. Cuanto más leo sobre él, más parece que la mejor solución es no hacer nada o hacer todo y configurar una base de datos y cargar datos cifrados desde allí. – Kanarie