Tizen中的HTML5资源加密措施

最新推荐文章于 2017-05-09 18:04:41 发布
最新推荐文章于 2017-05-09 18:04:41 发布
阅读量892 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woweiwokuang0000/article/details/44871007
版权

我们都知道HTML5应用都是开放源码的,也就是你的Web应用开发出来之后大家都是可以对其源码进行拷贝、改造的,至少到目前为止还没有什么通用的方法能够保护开发者的产权,尽管JS混淆或JS压缩在一定程度上给破解者带来的难度,但是并不能完全保证开发者的利益。正如前段时间火爆一时的2048游戏,自从其作者Gabriele Cirulli将其发布在github上之后,网上迅速出现了各种版本,并被移植到各种平台之上,某些甚至植入了各种广告;因此通过何种加密手段或其他手段来保护开发者的劳动成果和知识产权,甚至是保证数据的安全性也是在HTML5越来越火爆的大背景下需要解决的问题。

三星的Tizen系统从3.0开始使用Crosswalk作为其WebRuntime引擎,在分析其代码时看到了crosswalk对于Web应用的加密实现,下面就从应用安装和应用启动两个过程看其是如何实现的:

1、应用安装阶段(xwalk/application/tools/tizen/xwalk_package_installer.cc):

bool PackageInstaller::Install(const base::FilePath& path, std::string* id) {
  ......
  FileDeleter tmp_path(install_temp_dir.Append(path.BaseName()), false);
  if (!base::DirectoryExists(path)) {
    if (tmp_path.path() != path &&
        !base::CopyFile(path, tmp_path.path()))
      return false;
    package = Package::Create(tmp_path.path());
    if (!package || !package->IsValid())
      return false;
    package->ExtractToTemporaryDir(&unpacked_dir);
    app_id = package->Id();
  } else {
    unpacked_dir = path;
  }
  ......
  xwalk::application::TizenSettingInfo* info =
      static_cast<xwalk::application::TizenSettingInfo*>(
          app_data->GetManifestData(widget_keys::kTizenSettingKey));
  if (info && info->encryption_enabled()) {
    // Generate encryption key.
    scoped_ptr<crypto::SymmetricKey> key(
        crypto::SymmetricKey::GenerateRandomKey(
            crypto::SymmetricKey::AES, 256));

    std::string str_key;
    key->GetRawKey(&str_key);

    std::string appId = app_data->ID();
    std::transform(appId.begin(), appId.end(), appId.begin(), tolower);
    scoped_ptr<char[], base::FreeDeleter> buffer =
        scoped_ptr<char[], base::FreeDeleter>(strdup(str_key.c_str()));
    const char* filename = appId.c_str();
    int ret = ssm_write_buffer(
        buffer.get(), str_key.size(),
        filename,
        SSM_FLAG_SECRET_OPERATION,
        filename);
    // Encrypt the resources if needed.
    base::FileEnumerator iter(app_dir, true, base::FileEnumerator::FILES);
    for (base::FilePath file_path = iter.Next();
         !file_path.empty();
         file_path = iter.Next()) {
      if (!ret && xwalk::application::RequiresEncryption(file_path) &&
          base::PathIsWritable(file_path)) {
        std::string content;
        std::string encrypted;
        if (!base::ReadFileToString(file_path, &content)) {
          LOG(ERROR) << "Failed to read " << file_path.MaybeAsASCII();
          return false;
        }
        if (!xwalk::application::EncryptData(content.data(),
                                             content.size(),
                                             str_key,
                                             &encrypted)
            || !base::WriteFile(file_path,
                                encrypted.data(),
                                encrypted.size())) {
          LOG(ERROR) << "Failed to encrypt " << file_path.MaybeAsASCII();
          return false;
        }
      }
    }
  }
  ......
  return true;
}
上述代码中忽略其他应用安装的校验逻辑,从中可以看出,首先将Tizen的Web APP(xpk或wgt格式)解压至临时目录,然后根据当前应用的配置信息(是否需要加密)决定是否对其进行加密,如果需要,则遍历其资源文件目录,对*.html,*.htm,*.js和*.css文件的文件内容进行AES256加密方式加密,最后删除临时文件目录: 

bool RequiresEncryption(const base::FilePath& file_path) {
  return EndsWith(file_path.value(), kHTMLFormat, false) ||
    EndsWith(file_path.value(), kHTMFormat, false) ||
    EndsWith(file_path.value(), kJSFormat, false) ||
    EndsWith(file_path.value(), kCSSFormat, false);
}

2、应用启动的资源加载阶段(xwalk/application/browser/application_protocols.cc): 
#if defined(OS_TIZEN)
  void DidOpen(int result) {
    ......
    int rv = stream_->Read(
        cipher_buffer_.get(),
        cipher_buffer_->size(),
        base::Bind(&URLRequestApplicationJobTizen::DidReadEncryptedData,
            weak_ptr_factory_.GetWeakPtr(), cipher_buffer_));
    ......
  }

  void DidReadEncryptedData(scoped_refptr<net::IOBufferWithSize> buf,
      int result) {
    ......
    int ret = ssm_read(filename, data, sfi.originSize, &read_len,
        SSM_FLAG_SECRET_OPERATION, filename);
    std::string key_str(data, read_len);
    free(data);
    if (!ret && !DecryptData(buf->data(), buf->size(), key_str, &plain_text)) {
      ......
      return;
    }
	......
  }
#endif
这里从加密文件中中获取到资源数据之后,通过DecryptData()方法执行解密过程(解密后的资源数据片段通过plain_text字串的方式添加在plain_buffer_中),之后通过ReadRawData()方法返回解密后的资源数据。


不知道能不能利用类似chrome远程调试工具的手段通过动态方式看到其代码,不过不难想到,这种方式也还是不能从根本上解决问题。

最后在github上找到了这个解决方案的完整patch:https://github.com/crosswalk-project/crosswalk/commit/e549b51f284466f43928c9aa2bcb5bd8c401449d



shun_qizi_ran
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
JamendoFM:Jamendo Radio Client使用HTML5实现
05-24
在本文,我们将深入探讨HTML5在JamendoFM的应用,以及与JavaScript和Tizen操作系统的关系。 首先,HTML5是现代网页和应用程序开发的核心技术之一,它支持离线存储、多媒体播放、拖放功能和更多的API接口,使得...
Tizenhtml5(web)接口的实现及其添加一个新接口实例
12-27
本文说明了 tizen 是如何用间层实现的html5接口给js调用,并且自己添加了一个html5接口,测试好使,在以后的tizen的开发当,这些技术都是必不可少的;因为这些技术tizen没有相关的文档说明,自己查看代码研究的...
WRT之Crosswalk简介
cici_li的专栏
09-04 785
在介绍Crosswalk之前,我们来看下什么
HTML5三种对密码加密的方法
u010035154的专栏
01-10 1万+
1、base64加密:在页面引入base64.js文件,调用方法为: base64加密 var b = new Base64(); var str = b.encode("admin:admin"); alert("base64 encode:" + str);      //解密 str = b.d
Galaxy Gear车速表(基于Tizen
04-08
2. **Java、HTML、Javascript**:在Tizen环境,开发者可以选择使用Web应用开发,这通常涉及到HTML5、CSS3和JavaScript技术。HTML用于构建用户界面,CSS用于样式设计,JavaScript则用于实现交互逻辑和处理传感器...
video src地址加密
wangjienull的博客
05-09 1万+
BLOB对象加密 之前使用的是FLASH加密,用的是clplayer这个插件。但是体验并不是太好; 还是在慕课网上看视频时发现他们的视频的src是经过处理的 <!--HTML部分--> <video width="860" id="player" height="485" controls preload="auto" oncontextmenu="return false"
理解WebKit和Chromium: Web应用和Web运行环境
923723914
09-21 111
转载请注明原文地址:http://blog.csdn.net/milado_nju 注:鉴于这一领域非常热,自己也投身其,会单独开辟一个专题介绍Web应用和Web运行环境。 ## 概述 Web已经从web网页向web应用(web application)方向发展,这一推动需要加入大量现有操作系统提供的能力,例如各个传感器的功能已经通过JavaScript接口提供给了web应用,文件或者存储系统,...
一篇文章读懂开源web引擎Crosswalk
chenaini119的专栏
05-11 864
摘要:Crosswalk发布至今只有不到一年的时间,截止至2014年8月份仅在Google Play上已发现的基于Crosswalk的web应用数量已有380多款,其百万级下载量的应用有2款。本文将介绍Crosswalk的优势,与WebView的区别等特性。 Web技术的优势早已被广大应用开发者熟知,比如可与云服务轻松集成,基于响应式UI设计的精美布局,高度的开放性,跨平台能力, 高效的分发与
Tizen系统架构分析
weixin_34092455的博客
02-10 585
http://www.oscome.com/?p=1129 What is Tizen™? Tizen是一个跨平台,基于一个全面的基于标准的HTML5实现跨越多个设备平台,包括智能手机,平板电脑,IPTV,上网本和汽车信息娱乐系统。 Tizen联盟: 访问: http://www.tizen.org http://developer.tizen....
HTML5实现文件加密和打包
widekey的专栏
10-23 4042
注册CSDN账号很久了,一直都
html前端几种加密方式的整理
热门推荐
白叶的博客
07-20 3万+
最近在做几个项目和银行相关的,用的加密方式是Rsa,但是发现网上找的一些库都是没办法用,不然就是会报错,所以我这边特地整理一个完整的库以及加密的使用方式介绍一下。 Rsa的初始化以及使用方式首先是引入下面几个js,对应的文件路径自己改,文件下载的地址我会在底部给出链接。 <load href="/Public/js/pidcrypt.js" /> <load href="/Public/js/p
ACL for tizen
最新发布
09-12
通过ACL for Tizen,OEM厂商可以将ACL嵌入其设备,并提供一个完整的Android应用程序生态系统。此外,消费者也可以在市场上已有的支持设备上下载ACL的OTA版本。ACL for Tizen的特点是高度兼容,Android应用程序可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值