Discussion :

[dutty_pi]

Bonjour tout le monde.
Je voudrais trouver le moyen de sécuriser mon application pour sa distribution.Je veux connaitre le moyen par lequel on peut générer des codes d'activation pour une application java; je ne veux pas que ce soit une clé activable via internet mais une clé que j'enverrai moi même aux utilisateurs et que l'application reconnaitrait immédiatement comme étant valide.
Merci d'avance!!!

[Népomucène]

Comment ton application est-elle distribuée ?

[dutty_pi]

Népomucène, je ne vois pas exactement ce que tu veux dire par comment l'application est distribuée. En plus je ne l'ai pas encore remis au client. Est ce que tu parle en terme d’architecture? Si c'est le cas c'est du 2-tiers (client et serveurs de base de données)

[OButterlin]

c'est difficile de sécuriser une application client lourd, dans la mesure où on peut désassembler facilement le code.
maintenant, si ton client fait appel à du code remote (rmi ou ejb), ce sera plus facile. tu n'auras qu'à envoyer un code d'activation (qui peut être mis dans un fichier properties par exemple) depuis le client et le serveur saura déterminer s'il est valide ou non et fera ou non le travail. Impossible de voir l'implémentation puisqu'elle sera distante.

mais si ton client fait de l'accès db via jdbc par exemple, je ne vois pas trop comment empêcher quelqu'un de chercher et trouver l'endroit où tu fais le test

[tchize_]

au dela de ça, en activation sans connexion internet, tu peux difficilement empêcher le client de mettre la même clé partout...

[Népomucène]

Comment le logiciel est distribué = comment le logiciel est livré et installé chez les clients.
tu dis :

En plus je ne l'ai pas encore remis au client

donc en fait, tu n'as qu'un seul client.
S'il s'agit d'une entreprise de la taille d'une PME (300 salariés max) sans informaticiens spécialistes java en interne
alors elle n'aura pas les moyens économiques de craquer le code (sauf à trouver une boîte off shore pour faire ça)

si c'est le cas, tu peux te contenter d'une petite solution relativement simple basée sur une clé placée dans le registre (ou ailleurs) :
1) au premier lancement de l'application, l'application récupère le nom du poste et demande à l'utilisateur de te l'envoyer
2) tu crypte ce nom de poste avec un algorithme propre à ton application
3) tu renvoies la chaîne cryptée à l'utilisateur
4) l'utilisateur relance ton application qui doit lui proposer de saisir la clé dans l'application
5) l'application enregistre cette clé (dans la base registres ou ailleurs)
6) chaque fois que l'application est lancée, elle décrypte la clé et vérifie qu'elle correspond au poste en cours

si tu crains la décompilation de l'application, alors la distribution par JavaWeb start est une bonne solution
(le jar est emiété dans le cache java ce qui complique sérieusement la tâche et donc les coûts de craquage !)

[tchize_]

300 utilisateurs, une réinstallation de machine tous les 5 ans dans le pire des cas, ça t'engage à fournir en maintenance une réinitialisation de clé 60 fois par an, est-ce vraiment le but?

Si tu n'a qu'un seul client, travaille au forfait et c'est bon Qu'il la mette sur 5 poste ou 300, ça change quoi à ta charge de travail?

[Népomucène]

Bonjour Tchize_

300 utilisateurs

Ma proposition est envisageable sur une boîte de 300 salariés ce qui ferait
probablement 20 utilisateurs max
Et puis, on ne sais rien de la portée de son application.
Je suis en train d'installer une application pour une administration qui compte 120.000 personnes mais mon application ne concerne que ... 3 utilisateurs !

Il faudrait que dutty_pi nous indique le nombre probable d'utilisateurs pour les deux ans à venir.