最新更新

[ahutsunshine]

在@czqcs 提醒下看到一哥们实现了基于NodeJs在IOS端的抢菜，今天会实现此更新。

[dreamparis]

非常期待

[Runc2333]

你好，如果逆向成功也请不要直接公开源代码，谢谢配合。

[IMLR]

你好，node版的签名算法是我提供的，经过和node版作者讨论我们认为直接公开签名算法可能并不合适，所以如果您参考node版本实现了签名算法，请用可控方式调用签名模块😂

[ahutsunshine]

@Runc2333 @IMLR 参考了你们的算法，可惜你们是nodejs的，Go没法直接调用。我只能暂时将算法摘取下来，今天先用这个算法试试明天怎么样，如果okay的话，明天想个办法隐藏。

[Runc2333]

@ahutsunshine 不只是隐藏，如果要用，就请做到随时能控制这个算法失效。

[ahutsunshine]

@ahutsunshine 不只是隐藏，如果要用，就请做到随时能控制这个算法失效。

1. 怎么隐藏得思考下，你们有什么好的方案嘛？
2. 就请做到随时能控制这个算法失效: 是说即使算法失效还可以动态更新算法？还是说开关控制算法开or关？

• 动态更新算法需要有一个稳定的api来源才行
• 控制算法开关没意义

[IMLR]

@ahutsunshine 不只是隐藏，如果要用，就请做到随时能控制这个算法失效。

1. 怎么隐藏得思考下，你们有什么好的方案嘛？
2. 就请做到随时能控制这个算法失效: 是说即使算法失效还可以动态更新算法？还是说开关控制算法开or关？

• 动态更新算法需要有一个稳定的api来源才行
• 控制算法开关没意义

毕竟是人家的签名算法，大家只是为了买菜，直接给人家暴露出来不太好，具体你们怎么操作我就不懂了😂我只是把算法逆向出来了

[musicx]

会报错？
sign.go:60] unexpected end of JSON input

[1448399491]

为什么报错E0502 01:27:37.791905 2928 sign.go:55] exec: "node": executable file not found in %PATH%
I0502 01:27:37.806876 2928 config.go:247] exec: "node": executable file not found in %PATH%

[ahutsunshine]

@musicx @1448399491 需要安装node.js环境，因为签名是nodejs下发的

[ahutsunshine]

会报错？ sign.go:60] unexpected end of JSON input

@musicx 重新拉下code

[Yimn]

今天更新完就抢到了，感谢你的工具，也感谢你在上海哈哈（狗头

[ahutsunshine]

今天更新完就抢到了，感谢你的工具，也感谢你在上海哈哈（狗头

👍可以share下log和订单截图嘛，我正好可以更新下状态

[Yimn]

今天更新完就抢到了，感谢你的工具，也感谢你在上海哈哈（狗头

👍可以share下log和订单截图嘛，我正好可以更新下状态

没存，希望明天早上可以再来一单，到时候我会记录下来。

[ahutsunshine]

@Yimn 没事，给个订单截图吧，我会at你下，得及时更新下状态，同时别人有问题也可以及时加强代码

[a180285]

我在想，如果是为了隐藏代码，也可以考虑将算法打包为 dll / lib ，只是工作量相对是会大一些，并且需要兼容各种系统，有条件的话，还可以对 dll 进行混淆，甚至在 dll 加时间戳限制。这样对具体代码的保护性，也可以有所提高。也不需要一定从服务器下载源码。

[ahutsunshine]

隐藏签名算法的目的不是为了真正隐藏，使用加密或者从服务器上下载算法都类似，换汤不换药，只要你想看肯定都可以看到。
优点:
这是为了统一管理，一旦遇到法律等风险，做到统一分发，统一关闭

缺点:
但这样缺点也很明显，抉择权完全依赖了第三方的服务器，而且风险也很大，你没法掌控里面下发的算法是合法的还是具有风险的，有可能是rm -rf /，项目代码并没有区分风险而是直接执行的。

[a180285]

是的，感觉这和安全领域没有绝对的安全一样，所谓魔高一尺道高一丈，只能说是提高了一些技术的门槛