Discussion :

[sp2308]

Bonjour

J ai cherché une protection fiable et suis arrivé à cette conclusion.
J aimerais votre avis.

Postulat :
J ai une dll qui calcule une valeur Z.
J ai un fichier 'config' qui contient une chaine cryptée au moment de l install avec comme clef de cryptage adresse mac+numero de serie du disque où l exe est installé+le nom d utilisateur de la session windows + le login + le passe de l utilisateur.

Mon idée :
Tous les X appels à cette dll, elle integroge une bdd online qui retourne une valeur Y qui modifira la periodicité des appels (elle est aleatoire) et une valeur Alpha qui sera 1 si l identification est correcte et 0 si pas correcte.
Cette valeur alpha sera utilisée à toutes les etapes du calcul de Z pour multiplier le resultat.
Issue :si l identification est correcte le resultat est correct sinon le resultat est 0!
Dans un second temps je mets en place un leure, une fonction test_registered avec test à l issue du style if result =0 then -> Vous n etes pas enregistré !

Qu en pensez vous ?
Je sais qu il n existe pas de protection infaible et que les tests sont reperés mais considerant ce principe de variable Alpha, je pense que à moins de detailler l integralité du calcul (et chez moi il est assez complexe ), ce doit etre une bonne parade.

merci de vos remarques

[Rayek]

Et en cas de panne d'internet ?
est ce que ton logiciel va être déployé en masse ? Si non est ce bien nécessaire de perdre trop de temps sur de la sécurité ? (Alors que l'installation et le paramétrage de la base de données -s'il y en a une - limiteront l'installation pirate de l'application)

[sp2308]

Le soft necessitera internet donc de ce coté c est bon.

Diffusion en masse...j'espere ;-) enfin...je suis plein d espoir ...

Perdre mon temps sur la sécurité...Oui, indispensable en considerant ce type d application... (une appli interfacée avec mt4 (plateforme trading forex) qui permettra de calculer la force de chaque devise par rapport à une autre , une sorte de 'super indicateur')

Pour la bdd ok mais il faut tester l'enregistrement et le retour est de ce que j ai lu, aisement reperable, enfin son test d'où mon idée...

[Paul TOTH]

si l'application est en ligne, il me semble plus simple de gérer une session avec le serveur. A la rigueur peu importe si quelqu'un pirate le logiciel, une seule instance de la licence pourra tourner à un moment donné.

sinon je n'ai strictement rien compris à ta protection.

[sp2308]

il me semble plus simple de gérer une session avec le serveur

C est que je souhaite qu il ne puisse y avoir qu une seule installation pour un utilisateur. Il peut desinstaller et reinstaller ou il veut mais un seul à la fois peut se connecter et le suivant est shooté s il n a pas la meme install

sinon je n'ai strictement rien compris à ta protection.

C est pas une protection du logiciel à proprement parler. C est fait pour tourner meme si pas bon utilisateur ou autre mais ça affichera toujours une valeur nulle donc le soft sera inexploitable

[Paul TOTH]

C est que je souhaite qu il ne puisse y avoir qu une seule installation pour un utilisateur. Il peut desinstaller et reinstaller ou il veut mais un seul à la fois peut se connecter et le suivant est shooté s il n a pas la meme install

dans ce cas un simple numéro de série suffit, s'il n'est pas connu (nouvelle installation) enregistrement en ligne de l'utilisateur (qui fait sauter l'éventuel précédent numéro de série)...après il faut que le dialogue avec le serveur soit suffisamment protégé pour qu'il ne soit pas possible de faire facilement un faux serveur qui réponde toujours OK.

[sp2308]

...après il faut que le dialogue avec le serveur soit suffisamment protégé pour qu'il ne soit pas possible de faire facilement un faux serveur qui réponde toujours OK.

Je n avais même pas imaginé cette possibilité...

Il est possible de voir dans le code compilé un appel aux serveurs ?

[Rayek]

Je n avais même pas imaginé cette possibilité...

Il est possible de voir dans le code compilé un appel aux serveurs ?

Selon les composants tu peux voir les logins/Mdp/serveur (Genre les composants Database)
Après avec un logiciel de "sniff" du réseau tu peux récupérer les trames de dialogue ainsi que l'ip du serveur.
Une petite redirection dans le Host vers un faux serveur et le tour est joué (bien sur il faut que le faux serveur renvoi la bonne réponse)

[sp2308]

Merci pour ces reponses.
Ils sont forts ces hackers

[Paul TOTH]

Merci pour ces reponses.
Ils sont forts ces hackers

d'autre part si ta protection est une DLL dont une fonction retourne 0 ou 1, il suffit d'écrire une DLL avec la fonction qui retourne 1 et la remplacer

[sp2308]

Non ma dll effectue des calculs....