如何在 Flash 或 Java 中隐藏 salt 代码？

Question

我需要能够将数据从 Flash 浏览器应用程序传输到 Web 服务器上的 PHP 文件，保护和验证数据，同时尝试防止未经授权创建消息。 （我想尝试确保消息来自应用程序，而不是用户通过其他方式发送消息）。

在 C++ 应用程序中，我会对数据加盐，并随其发送数据的哈希值，然后根据数据验证哈希值以确保完整性和来源。

然而，在Flash（和Java）中，应用程序可以被反编译，以便可以查看源代码。因此，如果我使用这种方法，有人可以（相对）轻松地找到盐，然后创建自己的“有效”消息以发送到应用程序外部。

有什么方法可以“隐藏”这个盐代码以帮助保护传输？是的，我知道有代码混淆器，但它们并没有完全隐藏代码，只是添加另一层。

或者是否有另一种完全可以用来传输数据并验证源和数据的方法？ PHP 端的内容？

Answer 1

无论你做什么，执行它的代码都会在客户端中，你所能做的就是混淆。正如 Tomasz 所说，如果您要让客户端通过服务器进行身份验证，然后接收盐（或来自非对称密钥对的密钥），您仍然需要在客户端中拥有连接到该服务器所需的所有代码。因此，根据设计，无论您做什么，执行此操作的所有要素都必须位于客户端中，因此也位于您的“黑客”计算机上。这只是黑客理解它的难度要大得多的问题。

对于所有类型的客户端来说都是一样的，无论它们是用什么语言编写的。如果 DVD 播放器可以在电视上显示解密的 DVD 光盘，则它必须在内存中拥有解密密钥，您可以找到该密钥。这就是为什么没有人做出完美的复制保护:)

编辑：
正如其他人所说。现成的混淆器可能是最好的方法，你也可以让客户端先跳过一些额外的障碍。

编辑2：
事实证明我没有正确理解托马斯。如果用户本身拥有向服务器进行身份验证以获取哈希值的密钥，那么确实会验证该消息是从用户发送的，但仍然不是从应用程序发送的。如果这是为了避免作弊，那么黑客可能已经是客户（购买产品或创建帐户）。如果您想要的是对用户进行身份验证，那么这是完全不同的事情，而且这是很有可能的。 （当然也有它自己的问题）

Answer 2

没有真正安全的方法来保护在客户端上运行的程序。 （顺便说一下，C++ 也可以反编译。）用户总是有可能运行被黑客攻击的客户端，并且任何加密密钥都必须以某种形式出现在代码中。您也许可以让普通黑客变得更加困难，但仅此而已。无论你实施什么，都会造成另一种形式的混淆；你也可以看看现成的混淆器。

Answer 3

也许首先与服务器进行身份验证，从服务器获取盐密钥，然后使用它？这样，即使能够反编译应用程序，想要伪造消息的用户也必须进行身份验证。

除此之外 - 有时您总是需要应用程序可用的密码、哈希值、密钥（或加密或验证数据所需的任何内容），您可以先从服务器获取它，也可以嵌入到应用程序中，这将是可识别的通过反编译。

编辑

正如其他人指出的那样，没有 100% 的安全性，一切都可能被黑客攻击，关键是要让它不那么容易，防止偶然的黑客，仅此而已。因此，正如吉姆所说，现成的混淆器可能是最好的折衷方案。