让我们假设一个创建者创建一个Web应用程序并提供其源代码,以保证透明度。假设所有使用的数据都向公众开放,客户怎么知道远程服务器上正在执行的代码(数据的出现)与他提供的代码相同。有没有办法比较和验证提供的脚本,执行脚本?更好的是客户端有一种方法可以查看所有服务器端代码但是只读模式而不会影响安全性吗?我对使用面向Web的语言(如php,ror,nodejs,python等)的合理性感兴趣
答案 0 :(得分:0)
我不太明白为什么你会这样做,但如果你用PHP做,你可以强迫例如apache将* .php文件解析为简单的文本文件。这通常发生在某人在服务器上有PHP代码并且实际上没有运行PHP时,使Apache只显示代码。
这实际上取决于您尝试使用的系统。将代码解析为文本并不困难。您可以在php,ror,nodejs,python等中编写脚本,将源代码作为字符串读取,然后输出该字符串。 PHP中的示例是编写一个使用PHP fopen的快速脚本。
事情是,如果服务器显示某些代码并且说“这完全是我正在执行的内容”,它就不能证明任何内容。
另一种选择可能是使用校验和做一些事情,但是再一次是服务器声称它正在正确执行代码,在你的用例中我觉得你不信任服务器。
构建安全服务器,使用HTTPS传输数据,您应该能够信任服务器。