Envoyé par
BufferBob
oui enfin on parle d'une époque ou les gens qui essayaient de cracker ledit système se comptaient sur les doigts d'une main, où une petite partie de la population seulement commençait à avoir accès à internet et à l'information tout azimut, et où même parmi ceux qui avaient la technicité suffisante, le sujet n'intéressait probablement qu'une minorité, depuis les protections logicielles n'ont en général pas tenu plus de quelques mois, le secteur du jeux vidéo est un bon exemple
en l'occurrence UPX ça s'unpack en 5min, mais son propos est plus de compresser les données et les intégrer dans un binaire unique, la couche de chiffrement est accessoire, les protections plus complexes et un tant soi peu efficaces ont un coût, souvent élevé, et ne pourront de toutes façons pas s'appliquer à un code Python
de même l'obfuscation du code source est très probablement inutile, puisqu'au bout du compte c'est le bytecode qui transite, et depuis le bytecode Python on récupère très bien le code d'origine, mais dans l'intervalle il est possible que les obfuscations aient été perdues
aussi et comme dit plus haut, si le propos est d'aller chez le client, en général on ne débarque pas avec ses scripts dans les bras en demandant où on peut les poser, on négocie plutôt un accès au réseau pour son laptop par exemple, de là s'il s'agit d'aller taper une base de donnée pourquoi ne pas l'attaquer sur son port réseau directement ou en proxyfiant les requêtes à travers un tunnel ssh ? plus de problème de scripts oubliés chez le client
enfin chercher à protéger une poignée de requêtes sous prétexte que c'est son gagne-pain, c'est un peu faire l'avoeu que l'humain n'a aucune valeur ajoutée et que son job est fragile et transférable à n'importe qui, alors que ce qui fait le salaire c'est plutôt censé être l'expertise de l'humain, sans quoi on prend le risque de se faire remplacer par un stagiaire dont le seul rôle est de cliquer sur un bouton au bon moment, voire directement par un robot...
Partager