Angenommen, ich möchte eine App erstellen, die vertrauliche Benutzerdaten verarbeitet, und Benutzer würden ihr möglicherweise nicht vertrauen, wenn sie nicht selbst überprüfen könnten, dass die iOS/Android-App mit der Quelle im GitHub-Repository identisch ist.Möglich, eine Self-Hash-App in Native React zu machen?
Gibt es eine Möglichkeit in React Native, dass ich meine App einen MD5-Hash in der Datei mainjs.bundle
ausführen lassen und diese in der App anzeigen könnte? Dann könnte ein technisch versierter Benutzer theoretisch das GitHub-Repo klonen, es erstellen und seinen eigenen MD5-Hash unter mainjs.bundle
ausführen und sehen, dass es übereinstimmt.
Zugegeben, das wäre nicht absolut narrensicher. Ein böswilliger Entwickler könnte einfach ein privates Repo haben, in dem er den Hash fest codiert und bösartigen Code einfügt, um ihn dann im AppStore zu veröffentlichen. Aber das könnte ein guter Ausgangspunkt sein. Ich bin auch offen für andere/bessere Ideen!
Dies ist eigentlich ein schwieriges Problem. Abgesehen von der Bereitstellung von APK-Dateien außerhalb des App Stores und der digitalen Signierung von Dateien mit bekannten GPG-Schlüsseln gibt es nicht viel, was Sie tun können. Jeder Hash, den Sie aus einem Build generieren können, kann trivial reproduziert und fest codiert werden. –