Electron: ソースはElectronでアプリを構築することで本当に保護されていますか？

いいえ、ソースコードをasarアーカイブにパッケージ化した場合でも、ソースコードを取得するのは非常に簡単です。V8JavaScriptエンジンは、ソースコードを非表示にするようには設計されていません。 NW.jsは、ソースコードの1つのファイルを完全に非表示にすることに成功しますが、パフォーマンスが大幅に低下します。

したがって、本当にソースコードを保護したい場合は、C ++で記述し、ネイティブノードモジュールを作成する必要があります。

いくつかのオプションがありますが、それらが提供する保護のレベルは、 @ zcbenzが言及した理由によって制限されます。

• C ++ノードアドオンで独自に復号化ロジックを実装することもできますが、それでもおそらく壊れることがあります（たとえば、プログラムをデバッグし、復号化後、evalの前にソースをコピーします）。
• node.js / io.js用にコードをコンパイルすると主張するEncloseJSもある
• 同様のプロジェクトであるnw.jsは、ある種の保護を提供するv8スナップショットをサポートしています（詳細はこちらを参照）。

このすべての方法では、パフォーマンスが低下することに注意してください。

@etiktin私もこれに
node.jsコードをC ++アドオンに直接適用することは可能ですか？

@fritx 、ノードには、コードを評価できるvmというモジュールがあります。 それを呼び出す方法を見つけることができるか、アドオンからC ++ APIに下線を引いて、それを使用してコードをロードすることができると思います。
ユーザーは引き続き開発者ツールを開いて、ロードされたスクリプトを確認できることに注意してください。 カスタムElectronビルドを使用してそれをブロックし、アドオンがElectronビルドが改ざんされていないことを確認した場合でも、ユーザーはコードをメモリ内の文字列として表示できます。

ソースを保護するのは良いですね！ ：鍵：

次に、GitKraken、Whatsapp、Slackなどのクローズドコードの電子アプリがコードをどのように隠すことができるのかという質問があります。

@ alexis57同じ質問があります。 多分それは単にinspect要素が無効になっているということか何かです

あるいは、メインコードがC / C ++ライブラリからのものであり、GUIのためだけに電子を使用しているのかもしれません...

whatsappとslackがソースコードをどのように保護しているか知りたい

AFAIKそれは単に保護されていません。 app.asarを抽出して、ソースコードにアクセスできます。 アプリケーションの機密性の高い部分については、通常、上記で提案したように、C / C ++などのコンパイル言語でカスタムアドオンを作成します。

どうすればC ++コードをコンパイルできますか？

参照： https ：

@boeserwolfありがとう！ :)

購読済み

node-ffiでも可能です。 電子はUIにのみ使用する必要があります。

C / C ++でコードを記述し、 emscriptenなどのツールを使用してコードをWebアセンブリに変換することを検討する価値があるかもしれません。 これはChromiumでうまく機能するはずです

十分な努力を払えば、何でも分解/難読化できません。 JavaScriptでコードを記述し、それをASARに含めることで、大多数の人々を締め出すことができます。 著作権/ライセンスがカバーしていないコードを保護する理由はありますか？

ここで私の2セント、NWはv8スナップショットの問題を解決しているようです
https://nwjs.io/blog/js-src-protect-perf/

nwjsからこの記事に出くわしました。「コンパイルされたバイナリコードは、パフォーマンスのオーバーヘッドなしでJSソースコードと同じくらい高速に実行されるようになりました」。これは以前は30％でしたが、NWの今後のリリースでデフォルトでオンになります。

これに本当に興味があります。 @ craftpipが教えてくれた記事も赤くして、かなり面白いようです。 電子がコード保護を備えていれば（ユーザー側で遅くても）、これにより多くの開発者はアプリケーションを作成する際に安全で自信を持てるようになります。 チャンスを与える電子チーム;）

開発者にとっては不快すぎます。 あきらめて北西に切り替える...

非常にエレガントな方法でコード保護を使用する他のnode.jsプロジェクトを共有したいと思います： //github.com/zeit/pkg

たぶん、Electronのソース保護に希望はありますか？

一部の部分でC ++を使用することに加えて、JavaScriptソースを縮小して_obfuscate_することもできます（たとえば、 javascript- obfuscatorを使用）。

縮小化と難読化を組み合わせると、コードを「盗む」ために必要な労力（したがって_コスト_）が_劇的に_増加します。多くの場合、アプリケーション全体を最初からリバースエンジニアリングすることがはるかに実現可能になります。技術的には何もできません。フルネイティブになったとしても、リバースエンジニアリングについては何もしません（法律を求める以外に何もしません）。

ソースコードを隠すことを心配していないが、次のような秘密を隠したい場合は、次のようにします。

• OAuthクレデンシャル
• 一般に知られることを意図していないURL（つまりプライベートバックエンドAPIエンドポイント）
• RESTAPIクレデンシャル
• キーと秘密
• パスワード

この問題に対処するために無料のサービスを作成しました。 商用のElectronアプリを作成していて、クレデンシャルが盗まれるのではないかと心配していたので、作成する必要がありました。

これは、アプリケーションが改ざんされていない場合に実際の電子アプリケーションを起動するクロスプラットフォームヘルパーアプリケーションを作成することによって機能します。 アプリケーションを起動すると、環境変数を介してクレデンシャルが渡されます。

詳しくは：

序章：
https://medium.com/@rocketlaunchr.cloud/introducing -electron-vault-d09ade2c2020

ドキュメンテーション：
https://rocketlaunchr.github.io/electron-vault-docs/

@JohnWeisz

If the data is indeed sensitive, I think it should be handled by a remote server.

リモートサーバーサーバーは、クライアントが実際に変更されていないElectronアプリであることをどのようにして本当に認識しますか？
それが私が解決しようとしていた問題です。

Client Credentials付与タイプでOAuthを使用する場合、 client_secretは引き続きアプリケーションに組み込まれ、理論的には誰でも読み取ることができます。 Electronソースコードが100％オープンで利用可能であるため、「興味深い」と思われる文字列を簡単に検索できます。

問題を解決するための100％確実な方法はありませんが、私の解決策は確実な改善であると私は信じています。

これは、angular2 / 4/6やvuejs2などのwebpackまたはSPAフレームワークを使用してJSアプリを構築することで可能になると思います。 これにより、コードが縮小され、asarファイルを抽出しても、コードを読み取るのが難しい場合があります。

問題は実際の暗号化だけに焦点を当てるべきではないと思います。 しかし実際には、他のアプリケーション/ユーザーがクライアントのソースコードを改ざんしていないということです。

ソースコードがロードされる署名されたasarアーカイブまたは同様のバイナリを使用することにより、electronはファイルの整合性をチェックできます。 整合性チェックは電子バイナリ自体に統合できるため、JavaScriptコードに過負荷が発生することはありません。 基本的に、ビルド時に電子はフラグ--include-integrity-checkを取得する可能性があります。そうでない場合、通常の方法でコンパイルされます。

@tulpn

整合性チェックは電子バイナリ自体に統合できるため、...はありません。

-それなら、Electronが行う整合性チェックまたは暗号化/復号化のいずれかを抽出するだけで、ソースコードを入手できます。 ここで採用できるアプローチは、難読化だけだと確信しています（ミニファイ、ミニファイ+難読化、ネイティブコードのコンパイルなど）。

または、アプリコードの一部をリモートサービスに移動します（セキュリティが必要な場合は認証を使用）。

データを暗号化して実行時に復号化し、トークンやあらゆる種類の機密データなどの変数に直接ロードできますが、JavaScriptファイル全体の暗号化について話している場合は、パフォーマンスが低下します。 あなたはノードC ++アドオンにショットを与えることができます

nodejsが言うように：

Node.jsアドオンは、C ++で記述された動的にリンクされた共有オブジェクトであり、require（）関数を使用してNode.jsにロードでき、通常のNode.jsモジュールであるかのように使用できます。 これらは主に、Node.jsで実行されているJavaScriptとC / C ++ライブラリ間のインターフェイスを提供するために使用されます。

基本的に、コードをバイナリにコンパイルします。そうすることで、コードを抽象化でき、パフォーマンスが大幅に向上し、コードをある程度隠すことができます。

いいえ、ソースコードをasarアーカイブにパッケージ化した場合でも、ソースコードを取得するのは非常に簡単です。V8JavaScriptエンジンは、ソースコードを非表示にするようには設計されていません。 NW.jsは、ソースコードの1つのファイルを完全に非表示にすることに成功しますが、パフォーマンスが大幅に低下します。

したがって、本当にソースコードを保護したい場合は、C ++で記述し、ネイティブノードモジュールを作成する必要があります。

c ++アドオンからdevtoolsを無効にするにはどうすればよいですか？c ++アドオンからelectronのすべてのAPIにアクセスするにはどうすればよいですか？devtoolなしでアプリをパッケージ化する計画はありますか？これはハッキングを防ぎ、アプリケーションのサイズを小さくするのに役立ちます（ @ zcbenz ）

私たちは皆、ソースコードが公開されることにうんざりしています。 私はnwに移動しています

@ ahmtcn123あなたのコメントは、この問題の解決にどのように役立っていますか？

本質的にソースコードを公開しているWeb技術を使用してアプリを構築したいので、その態度でやめてください。

• この問題に対処するためにElectronに貢献することができます
• C ++モジュールを書く
• コードを縮小/難読化/マングルします（ソースマップを無効にすることを忘れないでください）
• 別の同様の技術（nw.jsなど）に移行することも、ネイティブに移行することもできます
• 他のいくつかのソリューションがここで共有されています。難読化をパフォーマンスと交換することができます（これは、Electronのパフォーマンス/リソース消費がすでにわかっている場合はそれほど明白な選択ではありません）

乾杯！

_編集：反対票を投じてください_🍿

なぜv8snapshotをサポートしないのですか？

ソースコードを完全に保護することはできないと理解しています。 しかし、別の方法は、ロジックコードを保護し、ローカルホストを介して電子UIから呼び出すために、ネイティブのコンパイル済みテクノロジ（golangなど）を使用してWebサービスを作成することです。

最後の言葉

NW

なぜこの問題は解決されたのですか？

ソースコードを隠すことは、隠すことによるセキュリティと見なされているため、常に物議を醸すトピックであるため、コードを保護するための非常に悪い方法です。

何らかの保護が必要な場合は、認証などのより標準的な方法を使用して、重要なアクションや暗号化などを実行します。

誠意をこめて、Cでアプリを作成し、バイナリを配布できます。とにかくソースコードを取得します。

PD：ビッグボーイのソースコード（whatsapp web、slack、teams、vscode）にアクセスできますが、誰も気にしません。何か間違ったことをしているのかもしれません。

"" "PD：ビッグボーイのソースコード（whatsapp web、slack、teams、vscode）にアクセスできますが、誰も気にしません。何か間違ったことをしているのかもしれません。" ""

愚かな議論をすることはほとんどできません。

リバースエンジニアリングを望まずにソフトウェアを販売し、想定外の方法で使用することは異常ではありません。実際、そのための法律があり、ユーザーがそれを実行することを妨げません。

@kidandcat

誠意をこめて、Cでアプリを作成し、バイナリを配布できます。とにかくソースコードを取得します。

続けて、Microsoft Word、Photoshop、さらには売れ筋のゲームなど、売れ筋のアプリすべてのソースを入手してください。 あなたは億万長者ですか、私はそれを知りませんか、それとも何ですか？

いいえ、私は億万長者ではありません。これらのプログラムのソースコードを持っているのは役に立たないからです。どうしますか？

皆さん、このスレッドにはコメントごとに通知を受け取る人がたくさんいます。建設的なものにしてください。

私の意見では、JavaScriptのソースコードの特性に対処しなければならないことが、多くの場合、大きな問題にはならない理由を要約すると、次のようになります。

• ここにリストされている多くのサンプルアプリ/サービスは、主にそれらの_traction_によって駆動されています。 Twitterを例にとると、内部でどのように機能するかは正確には謎ではありませんが、完全にコピーして全体を複製しても、トラフィック、広告、ブランド、バッキングインフラストラクチャがなければどこにも行きません。 NS。
• 適切な難読化により、意味のある方法でソースコードにアクセスすることが非常に困難になり、元のコードに依存することなく、アプリケーション自体の動作を観察し、それに基づいてリバースエンジニアリングすることがはるかに可能になります。ソースコード-たとえばC ++の場合とよく似ています
• 著作権法で保護されているアプリケーションからアイデアやソリューションを盗むことは、技術的な問題ではなく法的な問題であり、そのため、実装されている保護のレベルに関係なく、実装を保護することは法的な問題です。 怪しげな中国の会社は、JavaScriptで書かれたものかアセンブリで書かれたものかに関係なく、問題なくロゴとアプリを盗みます。
• さらに、難読化について確信が持てない場合は、アプリケーションにC ++コードを含めることができます。または、他のすべて（C ++を含む）とは異なり、（リバースエンジニアリングからではなく）直接検査から完全に保護されているリモートサービスにコードを移動できます。けれど）

@JohnWeiszは本当に賢明なことをたくさん言った。 また、それだけでは不十分な場合は、今日WebAssemblyを使用できることも付け加えておきます。 ソースコードを保護するという点では、それはかなり良いはずです。

https://developer.mozilla.org/en-US/docs/WebAssembly

@kidandcat本当ですか？「

グーグルで検索しましたが、C / C ++からコンパイルされたバイナリからソースコードを取得することは不可能のようです。 せいぜい、アセンブリステートメントを取得できます。

私は商用のWindowsデスクトップソフトウェアを開発しています。 コードロジックは重要な能力です。 これらのロジックはクライアント側で実行する必要がありますが、競合他社に取得させたくありません。 したがって、私の場合、コード保護は取引を妨げるものです。

@ z1988hf

C / C ++からコンパイルされたバイナリからソースコードを取得することは不可能のようです。 せいぜい、アセンブリステートメントを取得できます

つまり、元のソースコード、または同等のものをほぼリバースエンジニアリングできるということですが、通常は非常に難しく、したがって高価です。 難読化されたコードについても同じことが言えます。

@kidandcat本当ですか？「

グーグルで検索しましたが、C / C ++からコンパイルされたバイナリからソースコードを取得することは不可能のようです。 せいぜい、アセンブリステートメントを取得できます。

私は商用のWindowsデスクトップソフトウェアを開発しています。 コードロジックは重要な能力です。 これらのロジックはクライアント側で実行する必要がありますが、競合他社に取得させたくありません。 したがって、私の場合、コード保護は取引を妨げるものです。

また、アセンブリはコードメイトであり、ロジックはそこにあります。 コードをコンパイルするだけでなく、コードを保護するためにさらに多くのことを行う必要があります。 （しかし、 @ JohnWeiszが言ったように、リバースエンジニアリングソフトウェアは非常に高価なので、競合他社がそれを試すためだけに数千ドルを投じることに興味がなくても心配する必要はありません）

Slackのようなアプリをソースコード保護を気にしないと言及している人にとって、それはすべてのアプリにとって最良の比較ではありません。 Slackはオンラインで動作するサービスであり、彼らの電子アプリはWebアプリを表示するための単なるシェルです。 Slackなどのアプリの秘密のソースの大部分はWebサーバー上にあります。

Slackのようなアプリをソースコード保護を気にしないと言及している人にとって、それはすべてのアプリにとって最良の比較ではありません。 Slackはオンラインで動作するサービスであり、彼らの電子アプリはWebアプリを表示するための単なるシェルです。 Slackなどのアプリの秘密のソースの大部分はWebサーバー上にあります。

@yourfavorite
Spotifyはどうですか!!!、私たちはあなたが何を意味するのか知っていますが、オフラインアプリはどうですか？

@annymosseSpotifyの秘密のソースは彼らのアプリではありません。 誰かがSpotifyアプリのソースを盗んだとしても、それは問題ではありません。 アプリは十分に良いです。 人々がSpotifyを使用して料金を支払う本当の理由は、コンテンツの提供とストリーミング音楽の利便性のためです。 Spotifyの顧客の多くが代替案よりもおそらく好むUXの詳細がいくつかありますが、競合他社はそれをコピーするためにソースコードを実際に必要としません。 さらに、私はSpotifyのソースコードを見ようとはしていませんが、アプリのどこかに何らかの保護が組み込まれていると思います。 いくつかの確実な難読化とネイティブCアドオンの可能性があります。 これはDRMのために彼らの要件になると思います。

@yourfavoriteはそれらのソースを見てください、時々私たちは商用アプリのソースを隠していないことを覚えておいてください、私たちは彼らがいくつかの弱点を得るハッカーよりもはるかに私たちのサービスを防ぐためにそれをします、とにかく私たちはこの機能が必要な場合それを行う機能があります。少なくとも、 asar filesとpackage.jsonと*.jsを渡すためのいくつかの方法がありasar files

私はソースコードの保護に反対しているわけではありませんが、SlackとSpotifyは、ほとんどの人が電子を使って行っていることの最良の比較ではない可能性があります。 さらに、ソースコードの保護が製品にとって重要である場合は、現時点では電子が最適ではない可能性があります。

そして明確にするために、私は電子に来るある種のソースコード保護に賛成です。

ソースコード保護が必要です。 ここでユースケースを提供しましょう：

Google TranslateAPIに基づいて翻訳ソフトウェアを構築しようとしています

ユーザーが.srt / .ass字幕ファイルをソフトウェアにドラッグすると、ソフトウェアはGoogle TranslateAPIを使用してすべての行を翻訳します。

例

ユーザーが1本のビデオと1本の英語字幕をダウンロードしました。
今、彼らはこのソフトウェアを使用してこの英語の字幕を翻訳することができます
中国語または他の言語に。
だから彼らは内容を理解することができます。

問題

ソースコードが簡単に入手できる場合。
どうやら攻撃者は私のAPIキーと秘密を取得する可能性があります。 そしてそれを乱用します。
そして私はグーグルから多額の請求書を受け取るだろう（500ドル？1000ドル？もっと？）

クイックアップデート（2020年3月29日）

Electron.jsでVue.js + Webpackを使用しています
すべてのコードが縮小されるので、もう問題ではありません

@ 1c7

まあ、おそらくあなたはこれを達成するためにいくつかの外部保護を使用する必要があります。 C ++ソフトウェアからもAPIキーを簡単に取得できます。問題ありません。 したがって、これは実際には電子固有の問題ではありません。

@lvkinsああなるほど。 私はC ++ソフトウェアにもこの問題があることを知りませんでした。 私はこの言語に精通していません。
ヒントをありがとう！

基本的に、すべてのプログラミング言語はリバースエンジニアリングできます。 それは常に大きな関心事でした。 確かに、保護は保護なしよりも優れていますが、それでもなおです。 どのプログラミング言語に関係なく、機密データを保護するために特別な努力を払う必要があります。 あなたの場合、おそらくC ++ライブラリに行き、それに余分なソルトを入れて、それをnode.jsにリンクする必要があります。それでうまくいくはずです。

@lvkinsあなたは私に返信していますよね？
提案をありがとう。 私はこれを調査します。

この翻訳ソフトウェアをMacとWindowsの両方で実行できるようにしたいので、Electron.jsを使用したいと思います。

Electron.js +一部のC ++が私のAPIキーとシークレットを保護できるようです

ありがとう@lvkins

@ 1c7確かに😃

ここから開始： https ：

電子のセキュリティの完全な欠如が懸念される場合は、NW.jsを試してみることもできます。

幸運を！

@ 1c7そしてなぜLinuxではないのですか？!! すべてのプラットフォームで同じコードベースだと思いますよね??！

@annymosse Linuxについて言及するのを忘れただけで、Linuxに対しては何もありません。

ご参考までに：

• Macbook Pro 2017 15インチ（Mac）を使用しています
• 私のユーザーのほとんどはWindowsを使用しています（Windows）
• Linux（Linux）でソフトウェアユーザーが使用しているのを見たことがありません

https://github.com/1c7/Translate-Subtitle-Fileを回すことを考えていました
このプロジェクトを本格的なプロジェクトに（料金を請求し、品質を高める（より多くの時間を費やす））
だから私は今自分の研究をしています

このツールは、今のところ主に中国市場をターゲットにしています。 （すべてのボタンとテキストは中国語になります）
i18nは地図上にありますが、すぐには表示されません

私はi18nとYandexトランスレータAPIを作成する計画を立てていましたが、同じ問題のcozでプロジェクトをキャンセルしました。その後、Linuxでは、ほとんどの新しいユーザーは、Linuxには存在しない、または代替手段がないと考えるプログラムに自信がありません。したがって、そのプロジェクトを作成し、ユーザーターゲットが任意のLinuxディストリビューションまたは私の好みのディストリビューションdeepin（Chinese Linuxディストリビューション）を使用できるメディアのみを翻訳する場合は、あなたとすべてのLinuxユーザーに最善を尽くしてください。

APIキーとシークレットを公開アプリに含めることはできません。 代わりに持っている
あなたのAPI /バックエンドでそれらを、abdはある種のタイプでそれらを保護します
認証/スロットル。 次に、アプリにAPIを使用させます。

エムDOM、2019・デ・10時22分うち20デ、チェン鄭[email protected]
escreveu：

@annymosse https://github.com/annymosse Linuxについて言及するのを忘れただけですが、
Linuxに対して何も

—
このスレッドにサブスクライブしているため、これを受け取っています。
このメールに直接返信し、GitHubで表示してください
https://github.com/electron/electron/issues/2570?email_source=notifications&email_token=ADCOXMFCSHRX3PZTE7GHKDTQPRLQRA5CNFSM4BODX2F2YY3PNVWWK3TUL52HS4DFVREXG43VMVBW63LNMVXHJKTDN5WW2ZLO
または購読を解除する
https://github.com/notifications/unsubscribe-auth/ADCOXMCKPUOMQPM3JKZP5J3QPRLQRANCNFSM4BODX2FQ
。

誰も読めないようにJavascriptファイルをバイナリファイルに変換できるbytenodeと呼ばれるライブラリがあります。

まず、サーバーとフォルダーにbytenodeをインストールします。

>npm i -g bytenode
>npm i bytenode

次のコードを含む通常のnodeJSファイルを作成します。 次のコードに名前を付けたとしましょう：ok.js

>console.log('bytenode works!);
次に、JavaScriptコードをコンパイルします。 このコマンドは、ファイルと同じ名前の.JSCファイルを作成します。

user<strong i="15">@machine</strong>:~$ bytenode -c ok.js
次に、メインのelectron JSファイルで、バイナリを呼び出します。test.jsと呼びましょう。

const bytenode = require('bytenode'); 
const myFile=require('./ok.jsc'); 
myFile;

それを保存。

次に、test.js：nodetest.jsを呼び出してテストします。 「catok.jsc」を実行して、それが実際にはバイナリであり、誰もあなたのコードを見ることができないことを確認します。 元のプレーンテストjsファイルを別の場所に移動できます。
私は電子からそれをテストしませんでした、しかし私はそれがうまくいくと思いますね？