注:原文---念茜的博客
我们把自己的程序发布到app store,但是不能保证每一个用户都是从app store下载官方app,也不能保证每一个用户都不越狱。
换句话说,我们无法保证程序运行环境在MAC管控策略下就绝对的安全。
所以,在有些情况下,尤其是和钱有关系的app,我们有必要在和服务器通信时,让服务器知道客户端到底是不是官方正版的app。
何以判断自己是不是正版app呢?hackers们破解你的app,无非就2个地方可以动,1个是二进制,1个是资源文件。
二进制都重新编译过了自然肯定是盗版……
有些低级的hackers喜欢修改人家的资源文件然后贴上自己的广告,或者给用户错误的指引……修改资源文件是不需要重新编译二进制的。
因此,我们有必要在敏感的请求报文中,增加正版应用的二进制和资源文件的标识,让服务器知道,此请求是否来自正版的未经修改的app。
在沙盒中,我们可以读到自己程序的二进制,也可以读到资源文件签名文件,这两个文件都不算大,我们可以对其取md5值然后以某种组合算法得到一个标记字符串,然后发给服务器。
我封装了相关文件的读取地址:
md5方法:
这样做就100%安全了吗?
答案是:不……
所谓魔高一尺,道高一丈,不过也能阻止一些低级的hack手段了~
