Protéger une application php

**lhaj-boolean** · 10/07/2012, 17h58

Bonjours a tous le monde
J’ai développé une application web pour des intérêts commercial avec le langage PHP, cette application sera installer en local. Mais j’ai des soucis de sécurité.
Ma question est ce qu’il y a des solutions pour empêchera le client de revendre l’application, ou bien le réinstaller dans un autre serveur par exemple :
• Fixation de l’adresse mac du serveur ; c’est à dire que par exemple cette application ne sera pas exécutée que sur un ordinateur avec une adresse mac sera fixer sur le script PHP.
• Utiliser des numéros des séries
• Etc ………
Merci d'avance

**Benjamin Delespierre** · 11/07/2012, 02h21

Ma question est ce qu’il y a des solutions pour empêchera le client de revendre l’application, ou bien le réinstaller dans un autre serveur

Oui, un avocat.

Fixation de l’adresse mac du serveur ; c’est à dire que par exemple cette application ne sera pas exécutée que sur un ordinateur avec une adresse mac sera fixer sur le script PHP

On peut toujours spoofer une adresse MAC.

Utiliser des numéros des séries

Vu que le code pour décripter ta license sera en PHP, même un singe pourra le cracker.

Etc ………

Bah, en fait c'est très simple: le problème de sécurité avec les langage de script c'est qu'il sont décrits par des fichier plain text donc par nature, non sécurisé et facilement exploitables si quelqu'un arrive à accéder au système de fichier. C'est déjà un poil plus corsé avec des langages compilés mais franchement, on y arrive (y'a qu'a voir tous les jeux et logiciels qui sortent avec toujours plus de mesures de sécurités et qui sont crackés dans la semaine).
Cependant, il existe effectivement un moyen (en fait deux mais la deuxième solution je l'aime pas beaucoup): crypter le fichier PHP avec Zend Encoder (mais c'est pas le seul). Il faut au passage une extension spécifique capable de décrypter les fichiers PHP.
La deuxième solution, franchement plus bidouille, est d'obfusquer son code PHP. Il existe des services en ligne pour faire ça mais la logique de base est tout simplement de rendre le code incompréhensible à grand renforts de suppression d'indentation et de remplacement des noms de variables et de fonctions. De mémoire Code Eclipse fait ça pas trop mal.

Mais d'une manière ou d'une autre, le seul moyen réel d'empêcher qu'un de tes clients te "vole" l'application reste d'être le seul à savoir la maintenir, ce qui rends le client totalement dépendant de toi.

**grunk** · 11/07/2012, 08h44

Avec Zend_guard tu peux protéger ton code et lui associer une licence d'utilisation.
En revanche c'est payant.

**lhaj-boolean** · 12/07/2012, 00h58

Merci pour vos réponses.
mais est ce q'il y des outils qui sont gratuits ?

**CBresso** · 12/07/2012, 12h12

Une idée qui est peut être une bêtise... Mais en faisant en sorte que l'application inclue un fichier de configuration qui ne soit pas installé en local et de vérifier à chaque lancement si la licence est valide ou pas.

**Benjamin Delespierre** · 12/07/2012, 12h17

Cette solution n'est pas idiote mais tant qu'on a pas encrypté le script, c'est très facile de contourner la validation de la licence tout simplement en commentant l'inclusion du script distant.

**CBresso** · 12/07/2012, 12h32

Oui, mais si le fichier n'est pas inclus alors l'application n'est pas configurée et ne fonctionnera pas. On peut par exemple bloquer l'accès à la base de donnée. Non?

**Doksuri** · 12/07/2012, 12h40

tu regardes quelles sont les donnees du fichier inclut...
tu les recopies dans un fichier a toi, tu commente l'inclusion du fichier distant.

**CBresso** · 12/07/2012, 12h52

En local il y a une clé. L'application envoie cette clé. Tu compares cette clé avec celle que tu as stockée si c'est OK tu renvoies une nouvelle clé que tu stockes en local. À partir de cette clé tu dois pouvoir générer un mot de passe aussi pour rendre la connexion à la base de donnée en locale possible.
Mais enfin vive le libre ! C'est la meilleure protection...

**Benjamin Delespierre** · 12/07/2012, 14h03

Il est facile de déterminer le mot de passe de connexion à la base une fois la nouvelle clé reçue. Je me répète mais à moins d'être maître soit des données - base de données protégé et hébergé sur un autre serveur que celui du client - ou des traitements - l'application se résumant au client d'un web service distant et protégé - tu ne peux pas obtenir un quelconque niveau de sécurité avec du PHP brut à moins de l'encrypter car il serait aisé de comprendre et contourner les mécanismes de sécurité.

**ovh** · 13/07/2012, 12h50

Le seul moyen d'être sûr que le client n'aura pas accès à ton code source c'est... de ne pas lui donner accès

C'est-à-dire ne pas faire tourner l'appli chez le client, mais chez toi, donc en mode SaaS...

**Marc3001** · 13/07/2012, 17h19

Envoyé par ovh

Le seul moyen d'être sûr que le client n'aura pas accès à ton code source c'est... de ne pas lui donner accès

C'est-à-dire ne pas faire tourner l'appli chez le client, mais chez toi, donc en mode SaaS...

Surtout qu'on parle d'appli web dont la nature même est d'être disponible à distance...

**gene69** · 13/07/2012, 17h32

et ça ? j'ai vu alcatel ne fournir que du bitcode sur une appli php.

http://us2.php.net/manual/en/intro.bcompiler.php

Protéger une application php

Langage PHP

Discussions similaires

Partager

Partager