可信前端之路-代码保护

摘要： 可信前端之路-代码保护       0x00 前言 在信息安全领域，可信系统（Trusted system）是一个让人心动的目标，它指的是一个通过实施特定的安全策略而达到一定可信程度的系统。 在计算机中，可信平台模块（Trusted Platform Module，TPM）已经投入使用，它符合可信赖计算组织（Trusted Computing Group，TCG）制定的TPM规范，是为了实现可信系统目标的而打造的一款安全芯片。

可信前端之路-代码保护







0x00 前言

在信息安全领域，可信系统（Trusted system）是一个让人心动的目标，它指的是一个通过实施特定的安全策略而达到一定可信程度的系统。

在计算机中，可信平台模块（Trusted Platform Module，TPM）已经投入使用，它符合可信赖计算组织（Trusted Computing Group，TCG）制定的TPM规范，是为了实现可信系统目标的而打造的一款安全芯片。作为可信系统的信任根，TPM是可信计算的核心模块，为计算机安全提供了强有力的保障。







而在我们的web系统中，想打造一个可信系统似乎是个伪命题，"永远不要相信客户端的输入"是基本的安全准则。实际上，在可信系统中的可信也并不是说真的是绝对安全，维基上对其的解释为：“可信的”（Trusted）未必意味着对用户而言是“值得信赖的”（Trustworthy）。确切而言，它意味着可以充分相信其行为会更全面地遵循设计，而执行设计者和软件编写者所禁止的行为的概率很低。



从这个角度讲，我们把其当做一个美好的愿景，我们希望能够构造一个web系统中的TPM，可以把恶意行为控制在一定的概率之内，从而实现一个相对可信的web系统。



0x01 可信前端

在可信系统中，TPM的一个重要作用就是鉴别消息来源的真实性，保障终端的可信。在web系统中，我们的消息来源就是用户。随着撞库、恶意注册、薅羊毛等产业的蓬勃发展，在越来越多的场景我们需要鉴别请求数据是否来自真实的用户，保护真实用户的数据安全。



所以想要构造一个web系统中的TPM，首要问题就是需要保证输入数据安全，打造一个相对可信的前端环境。但是由于web的开放特性，前端作为数据采集的最前线，js代码始终暴露在外，在这种情况下，防止恶意伪造请求变得非常困难，可信前端也就成了无稽之谈。



在反复对抗中，代码保护也就是通常意义上的js代码混淆的重要性逐渐彰显出来。今天我就想和大家聊一聊js混淆的问题。
http://click.aliyun.com/m/23223/