Discussion :

[zecreator]

Faudrait que tu m'explique ton raisonnement là car je ne vois pas... Il y a toujours un client-side et un server side... ce n'est pas parce que j'appelle mon fichier PHP depuis mon objet HTTPRequest d'AJAX plutot que par l'url du navigateur qu'il est moins sécurisé...

En fait, ce que n'importe quel hacker, même sans avoir forcément de grosse compétence de hacking comprendra assez vite, ce sont le paramètrage que l'on passe à travers nos appels de script serveur.

Exemple :
Dans mon JS j'ai une fonction qui retourne des infos sur un compte situé sur ma base MySQL.

Pour cela, il faut bien que j'indique dans ma requête quelques paramètres de façon à ce que le script puisse me retourner les infos demandées. Comme tous cela s'effectue du coté client (en Javascript/XML), n'importe qui ayant quelques compétences en développement peut récupérer ces infos et s'en servir pour se faire un log sur un compte du site, et de modifier les infos à son avantage.

Bref, Ajax me semble pas très sécurisé dans ce contexte...

[MicaelFelix]

Bref, Ajax me semble pas très sécurisé dans ce contexte...

Exemple avec PHP, tu dois forcément passer par un formulaire ou bien avec des paramètres dans l'URL pour faire le dialogue, ok? Alors même avec PHP, si tu ne contrôle pas ton entrée, c'est hackable!

Bref ce n'est pas AJAX qui est le problème, vu que même si tu n'utilises pas AJAX tu peux effectuer les mêmes intrusions avec ton PHP.

Dans tous les cas tu dois forcément filtrer les données arrivant des paramètres de PHP, donc c'est pas la faute à JS (ou les méthodes Ajax, c'est la même chose).

Là je prend un exemple avec PHP mais c'est pareil pour les autres languages qui permettent le dialogue client->serveur, dans tous les cas tu dois contrôler les données en entrées sur ta page qui est sur le serveur.

D'autant plus qu'AJAX n'a (à ce que j'en sais) pas la vocation de te macher le travail de sécurité (d'ailleurs il ne peut pas vu que c'est du Javascript il me semble), mais ça sert juste à ne pas réactualiser toute la page donc limiter les requêtes au niveau du serveur (ce qui équivaut à un gain de temps pour le poste client, qui doit transférer moins de données).

[Marc Lussac]

Article Obfuscation : protection du code source contre le reverse engineering, par Hugo Etiévant

[sroux]

Bonjour,

Qu'en est-il de JAVA? En effet le code semi-compilé peut être facilement décompilé (via DJ JAVA Decompiler par ex.).
Existe t-il une classe/appli particulière pour crypter un JAR?

Concernant PERL, qui est un langage interprété, je n'ai rien trouvé de consistant quant aux possiblités d'obfuscation à part brouiller les pistes en maquillant les variables etc... Il est néanmoins possible de compiler un script PERL en utlisant le module CPAN PERL PAR (PERL Archive).

SR

[_solo]

Bonjour,

Existe t-il une classe/appli particulière pour crypter un JAR?

Le probleme du cryptage c'est le temps qu'il mettra ensuite pour decrypter et d'ailleurs tout programme pour s'executer devra passer par la ram donc il est possible d'avoir le code ou une partie du code decrypter dans la memoire et avec cette partie brute forcer le reste voir decrypter le reste puisque l'algo de decryptage est aussi dans un des packages du binaire.

Proteger un code contre le reverse engineering est tout simplement impossible* les techniques utiliser doivent juste ralentir et/ou decourager les moins agerris des RCE.

*cf l'affaire de dvd john (entre autre ) contre le DECSS (cryptage des lecteurs DVD )

[Marc Lussac]

Bonjour,

Qu'en est-il de JAVA? En effet le code semi-compilé peut être facilement décompilé (via DJ JAVA Decompiler par ex.).

Ca existe des obfuscateurs java
http://java.developpez.com/outils/developpeur/#deployer

[2Eurocents]

Concernant PERL, qui est un langage interprété, je n'ai rien trouvé de consistant quant aux possiblités d'obfuscation à part brouiller les pistes en maquillant les variables etc... Il est néanmoins possible de compiler un script PERL en utlisant le module CPAN PERL PAR (PERL Archive).

Perl est pourtant réputé être un langage dont les possibilités d'obfuscation sont parmi les plus élevées. L'article sur l'obfuscation de Wikipedia (Eng) le place même au niveau de C/C++ sur ce point.

Il existe des modules du CPAN pour réaliser l'obfuscation. Cela va de Acme::Morse, Acme::Palindrome au très fort Acme::Bleach.

Sinon, concernant les outils permettant de compiler du Perl, il y a une discussion en cours dans le forum Perl. Il y est discuté des mérites et lacunes de PAR comme de perlcc.

[RaphAstronome]

Le C/C++ est compilé les noms de variables et de fonctions ne sont pas remplacées par des adresses mémoires ?

Les noms des variables et des fonctions ne se retrouvent pas dans le code il me semble (a part pour les librairies).

[Interruption13h]

Salut !


Il n'existe pas un system de protection 100% sûre !



La meilleur solution à mon avis est de compresser ou crypter les exécutables (exe, dll...) afin de brouiller le cracker et lui casser ... la tête, et empêcher les newbies du cracck d'y penser rien en voyant les ressources de ces exécutables cryptées

Il en existe pas mal de compresseur d'exe dont y a pas leur décompresseur sur le NET, donc faudrait bien connaître l'assembleur, la structure des PE (côté Windows), le loader et un écran 17pouce ou plus ...pour les contourné d'une façon manuelle (manual unpacking).


Reste une autre solution, est d'avoir une licence, comme ça le cracker le payera très chère rien qu'on ayant le debogger SoftIce









(On tout les cas ça risque pas d'arriver chez moi, enfin mon pays quoi )


A+

[etranger]

OU sinon, codez en perl est compilez avec perl2exe (avec quelques protection, genre anti-debug), c'est tellement moche a l'interieure que sa decouragerait les meillieures

PS : je ne plesante pas.

[_solo]

OU sinon, codez en perl est compilez avec perl2exe (avec quelques protection, genre anti-debug)

Il existe dans certaines version de perl2exe une possibilite de retrouver le script original

La Protection la plus efficace et le plus difficilement atteignable ( pour les debutants ) reste le driver en ring 0.

Mais il arrive que les pirates ne sont pas toujours ceux qu'on croit
http://www.ratiatum.com/news2934_Sta...zations_2.html

[Rits]

vous raisoner beaucoup au niveau fichier!
faut pas oublier les dumps de RAM....

[RaphAstronome]

reste le driver en ring 0

Ouch, si on commance a faire des drivers ring 0 pour proteger son programme où va t'on ! En plus il est possible pour le pirate de faire un autre driver ring 0 pour espionner le premier. En tout cas je dit pas l'état du système après ça.

faut pas oublier les dumps de RAM....

D'ailleurs comment on fait pour faire une vérification de license qui ne renvoie pas toujours la même valeur pour dire que ça va ?

Sinon je suis déjà au courant pour starforce et franchement je suis dégouté. En plus il y a certins PC qui plantent à cause de ça (lu sur des forums).

[_solo]

Ouch, si on commance a faire des drivers ring 0 pour proteger son programme où va t'on !

C'est deja le cas de la plupart des protections des jeux avec notament le celebri(c|s)isme StarForce

En plus il est possible pour le pirate de faire un autre driver ring 0 pour espionner le premier

il existe deja des debuggeurs ring 0 :: Softice(plus du tout maintenue ) , Windbg ( seul a fonctionner sous vista normal c'est kro$ qui le fait ) etc...

note VirtualPC utilise un driver en r0 pour ce 'proteger' et d'ailleurs cette pratique se generalise deja .

[cjacquel]

Pour protéger son code et ne pas se faire copier son soft, il ne faut pas diffuser son logiciel. Il faut exploiter le logiciel en local, et les utilisateurs n'ont accès qu'au résultats issus du logiciel.

Christophe,

[vladvad]

Moi j'utilise {smartassembly} ...

C'est un obfuscateur de code C# super simple à utiliser avec plein de fonctionnalités différentes et à choisir ...

Ce soft est d'après les tests très efficace (mais bon là je ne peux que les croire sur parole ...)

[Garulfo]

La meilleure technique est de faire du libre...

Dès lors, personne ne sera assez idiot pour tenter de déssassembler ton code... enfin j'ose le croire

(juste au cas où : c'est une boutade bien sûr -_-)

[GnuVince]

Et ça sert à quoi de faire des pieds et des mains pour empêcher quelqu'un de voir le code de votre application? S'il est vraiment motivé, il va y arriver.

Personnellement, j'ai toujours trouvé que si du code était caché, c'était pour trois raisons:

1. Le code est tellement mauvais que personne voudrait jamais utiliser une application si mal codée
2. Le programmeur pense qu'en cachant le code, son application est plus sécure
3. Le programmeur pense qu'il est le plus brillant programmeur au monde et que personne ne serait jamais capable de faire une fonctionnalité comme il l'a fait

Dans le premier cas, c'est presque légitime (presque.) Mais la meilleure solution serait de réviser le code et de voir comment l'améliorer (à faire que le code soit disponible où non aux usagers.)

Dans le second cas, c'est ce que les gens en sécurité appelle "security through obscurity." Une personne pense qu'en cachant un secret, elle rend son application plus sécure. À voir le nombre de failles qui sont trouvées dans des logiciels à code fermé, on voit que c'est pas vraiment une assurance.

Et finalement, l'égo du programmeur. Oui il existe des programmeurs qui sont excellents et qui peuvent créer des choses que peu de gens pourraient, mais quel est le but de cacher ce code aux autres programmeurs? Dans les domaines scientifiques, l'information est partagée pour faire bénificier toute la communauté. Einstein aurait bien pu garder pour lui sa théorie de la relativité. Ça prouve selon moi que le monde informatique est encore bien jeune et bien immature.

Je mentionne que je ne crois pas que tous les logiciels devraient être gratuits; il faut bien manger! Par contre, pourquoi ne pas vendre le code source avec son logiciel? Si l'utilisateur rencontre un bug, a besoin d'une nouvelle fonctionnalité, etc. il peut la coder lui-même s'il en a besoin. Il existe des applications web payantes, mais comme elles sont codées en PHP, le code source est fourni (pas le choix.) L'utilisateur peut donc arranger des choses selon ses besoins. Évidemment, si les mises à jour de l'éditeur du logiciel ne fonctionnent pas correctement à cause de ses changements, c'est son problème. Comme c'est écrit sur les ordinateurs "Void if seal is broken"

[Médinoc]

Le problème, c'est que si le code source est vendu avec, un client peu scrupuleux peut diffuser sur internet le code de vérification de la clé de license (point 2) ou tout simplement supprimer ce code pour permettre au programme de tourner sans license.

C'est d'ailleurs la principale motivation de la Security Through Obscurity: Ce n'est pas pour protéger le client des hackers, mais pour protéger l'éditeur des clients...

[vladvad]

Dans les domaines scientifiques, l'information est partagée pour faire bénificier toute la communauté. Einstein aurait bien pu garder pour lui sa théorie de la relativité. Ça prouve selon moi que le monde informatique est encore bien jeune et bien immature.

Je ne suis pas tout à fait d'accord sur la comparaison ...

Einstein est un scientifique pur (et dur ?) pour qui la consécration est généralement la reconnaissance de ses pairs et ... le Prix Nobel. Cette communauté fonctionne sur le principe des publications et des conférences.

Quand on parle de masquer du code, il s'agit là de protection de la propriété intellectuelle d'un outil commercial. Si Einstein avait eu une société de fabrication de bombes A, je ne suis pas sûr qu'il aurait publié ...