我们正在考虑在将某些代码发布给客户之前对其进行模糊处理。我们想知道它对技术支持的影响。客户可以为我们提供有意义的堆栈跟踪,还是会对它们进行模糊处理?
我期待听到您的经历。提前致谢。
我们正在考虑在将某些代码发布给客户之前对其进行模糊处理。我们想知道它对技术支持的影响。客户可以为我们提供有意义的堆栈跟踪,还是会对它们进行模糊处理?
我期待听到您的经历。提前致谢。
你将得到混淆的堆栈跟踪。但是混淆器可以生成将模糊名称映射到实名的映射文件。您必须将这些映射文件保存在安全的地方,并且可以使用它们在需要时再次“反混淆”堆栈跟踪。
在技术支持的情况下 - 您可以创建一个简单的Web界面,技术支持人员可以粘贴堆栈跟踪。这样只有Web服务器才需要访问映射文件,以便它可以恢复原始堆栈跟踪。
这里有两个链接用dotfuscator混淆器解释过程:
http://www.preemptive.com/images/stories/dotfuscator_documentation/Dotfuscator/The_Map_File.html
你将得到混淆的堆栈跟踪。但是混淆器可以生成将模糊名称映射到实名的映射文件。您必须将这些映射文件保存在安全的地方,并且可以使用它们在需要时再次“反混淆”堆栈跟踪。
在技术支持的情况下 - 您可以创建一个简单的Web界面,技术支持人员可以粘贴堆栈跟踪。这样只有Web服务器才需要访问映射文件,以便它可以恢复原始堆栈跟踪。
这里有两个链接用dotfuscator混淆器解释过程:
http://www.preemptive.com/images/stories/dotfuscator_documentation/Dotfuscator/The_Map_File.html
如果在您的发行版中对堆栈上的方法进行了模糊处理,您将在任何堆栈跟踪中获得模糊的方法名称。
如果您在代码中添加任何内容以帮助您确定涉及哪些方法,潜在的黑客可以使用该信息来更好地理解您的代码。
一种常见的策略是仅混淆部分代码,包括(但不限于)执行许可检查的部分。如果您对许可证检查进行模糊处理,则很容易将需要黑客注意的部分归零。
这通常不是问题,因为大多数混淆器都能够将堆栈跟踪去混淆回原始跟踪。
我们用 BitHelmet。问题是,当使用最强混淆技术时,堆栈跟踪不能被反混淆。 BitHelmet使用完全签名重命名(某种过载感应,只有更好)。会发生什么,很多方法最终都使用相同的名称,但返回类型不同(这不能在C#中完成,但对CLR来说是可以的)。堆栈跟踪中不显示返回类型!因此,实际上不可能使用最强混淆来反转混淆堆栈跟踪。
我们问了与你相同的问题,我们讨论了它,我们得出结论,实际上我们更喜欢更好的混淆。在提供技术支持时,堆栈跟踪实际上并不那么有用,因为只有最终用户才能提供其他数据。 “请告诉我你到底在做什么?” :)