GuiRitter
2018-04-30 18:48:20 UTC
我正在開發一個通過REST(前端)(JavaScript)和後端(Java / Spring)之間的REST通信的系統,並且彈出此問題。
這是否使該系統更安全地命名變量,網址等不是英語的語言?
我想這可能是因為,因為最重要的編程語言是英語,所以大多數程序員可能至少知道其中的一點。用另一種語言來命名我們的內容可能會增加黑客攻擊的難度,因為攻擊者將很難理解其含義和作用。
我無法在Google上找到結果,因為“對”一種“語言”進行了編程在一起,就不可能找到有關“語言”其他含義的結果。
[相關](https://security.stackexchange.com/questions/35828/obfuscating-javascript-code)
由於大小/帶寬的使用,很多JavaScript已經被混淆/最小化。
@Joe或者,[相關](https://xkcd.com/257/)
如果您將時間視為安全性的一部分,那麼_是_,錯誤的代碼需要花費更長的時間才能被破解,從而使其更加安全。
任何好的編程工具都會允許某人在一定範圍內重命名變量,因此,即使您最初不確定變量`gezhundheit`是什麼意思,也可以將其重命名為`Thing1`以使其能夠以英語(或您選擇的語言)閱讀直到您解析了它,然後將其重命名為“ BlessYou”並從那裡繼續前進。
在世界各地,人們每天都在學習英語之前先學習如何編碼,因此從某種意義上講,他們主要使用概念而非有意義的可譯詞。
您是在建議俄語,普通話,廣東話還是北印度語?無論如何,如果該語言是在沒有符號調試信息的情況下編譯的,有什麼區別?即使您的代碼可讀性強,也應該保持安全,您希望對其進行獨立檢查,對嗎?
如果您想使代碼真的很難閱讀,請使用一種通用語言,但是將您的函數,類型和變量命名為錯誤的名稱,以提供可讀但錯誤的名稱。我的客戶一直在這樣做(笑話,請參閱前面的評論。)
這會使您和攻擊者一樣困難。為了使僅攻擊者更加困難,您可以使用工具(在構建中)將項目重命名為無意義的名稱。這樣,將無法使用語言翻譯器來翻譯名稱。那將是安全方面的小改進。當然,如果您認為代碼“需要”混淆是安全的,那麼它本質上是不安全的。
@dandavis我不同意該說法。錯誤代碼通常包含更多錯誤,因此更容易進行攻擊。如果您發現了一個易受攻擊的SQL注入點,那麼您就不再在乎代碼,而只是在利用它。與其他命令注入漏洞相同:一旦找到它們,利用漏洞就需要反複試驗。了解造成安全漏洞的代碼的有限部分,可以更輕鬆地理解如何利用它,但是只要嘗試一下就可以了。錯誤的代碼=更多的漏洞=更快地找到可利用的點。
@dandavis-除了自己的偏執之外,還有什麼理由認為使用非英語語言編寫的代碼不好?
@Davor:偏執是對某觀點的不容忍。OP並不建議使用另一種口頭語言進行編碼,如果保持一致,那就很好了,問題在於使用晦澀的變量名,也就是錯誤代碼。智慧:使用斯瓦希里語名稱的法語編碼員是錯誤的代碼。
@dandavis-您清楚地寫道,使用英語以外的其他語言會使代碼不好。如果您想說些不同的話,那您就失敗了。
Dein攻擊者savoirkażdy的用語。
作為必須閱讀帶有日語註釋的代碼的人,我發現日語註釋比它們的匈牙利符號和愚蠢的變量名的混合體更易於理解。如果變量名是日語的,我認為它會更容易閱讀,因為我可以在字典中查找名稱,而不必試圖從縮寫中猜測它們的意圖。