那些遇到过的问题

protobuf 取出部分数据的安全性如何?

5ar*_*gon 7 protocol-buffers

  1. 在没有任何加密的情况下,如果接收者拥有序列化的 Protobuf 文件,但没有生成的 Protobuf 类(他们无权访问定义其结构的 .proto 文件),他们是否有可能获取 Protobuf 中的任何数据来自二进制文件?

  2. 如果他们有权访问 .proto 文件的一部分(例如,仅message文件中相关的一个),他们是否可以从整个文件中获取该数据的一部分,同时跳过其他未知部分?

Mar*_*ell 6

  1. 是的,一点没错; 该protoc工具可以帮助解决这个问题(请参阅:https://protogen.marcgravell.com/decode--decode_raw),因此它根本不应该被视为“安全”
  2. 是的,绝对 - 这是协议中内置的关键部分,它允许消息可扩展,以便它们可以解码它们理解的位,并忽略或仅存储(对于往返或“扩展”字段)它们不理解的位理解

protobuf 不是安全设备;对于拥有正确工具的人来说,它与 xml 或 json 一样可读,但有一个小问题,即可能不确定如何解释某些值;但是:你可以推断、猜测和逆向工程

归档时间:

查看次数:

6290 次

最近记录:

8 年,6 月 前
相关归档
谷歌协议缓冲区在序列化之前是否支持大小计算? 13
如何确定protobuf中的消息类型,以便我可以使用该类型.parsefrom(byte []) 12
使用Google协议生成C#文件失败 6
使用qmake链接.proto文件 5
使用具有protobuf-net异常的代理序列化List <T> 5
如何将Java无符号整数转换为Java中的协议缓冲区uint32s? 5
无法从 AutoTokenizer.from_pretrained 加载 - TypeError:重复的文件名 (sentencepiece_model.proto) 4
Dropwizard和协议缓冲区示例 3
Apache Thrift 未安装在 Mac 上 2
如何使用Python字典创建Protobuf结构? 1
难疑归档
是否有唯一的Android设备ID? 2645
在jQuery中检测移动设备的最佳方法是什么? 1564
var关键字的目的是什么?我何时应该使用它(或省略它)? 1508
如何离开/退出/停用python virtualenv? 1461
如何删除文本/输入框周围的边框(轮廓)?(铬) 1208
如何撤消'git reset'? 1172
type()和isinstance()之间有什么区别? 1163
如何通过对象中的属性对List <T>进行排序 1146
如何在JavaScript中将浮点数转换为整数? 1043
如何旋转Android模拟器显示? 1031