Discussion :

[bn0550]

Bonjour,

Pour un projet Java swing, un client me demande de mettre en place l'obuscation de code (proguard) et de String.
Il demande également de mettre en place une gestion de licences (ex public/private key)
Pas de soucis technique à mettre tout cela en place de mon coté.

Se pose toujours la question de "est-ce bien utile de faire tout ça"

Vos arguments sont les bienvenus pour l'en dissuader ?

Merci

[OButterlin]

Si le programme utilise des algorithmes à forte valeur ajoutée voir protégés, je comprends qu'on veuille le protéger par ces procédés d'obfuscation.
Si ce n'est pas le cas, l'intérêt est plutôt limité... mais bon, principe de base : si le client le veut, il faut le faire

[Uther]

Si il y a moyen de discuter avec le client, il n'est pas forcement inutile d'essayer de le convaincre que l’obfuscation va poser plus de problèmes qu'elle n'en résout.

On peut notamment arguer que :

• Le renommage des types et variables risque de provoquer pas mal de bugs embêtants, particulièrement pour tout ce qui repose sur l'introspection, et malheureusement certaines bibliothèques se reposent beaucoup sur les noms des élément du programme. Pour une application où le client nous avait demandé de mettre ça en place, on a eu beaucoup de soucis. Au final, on avait dû exclure tant de fichiers que l’intérêt de l'obfuscation était encore plus discutable.
• Ça complique le débogage, notamment la consultation des logs, même s'il y a heureusement moyen d'utiliser une table de mapping pour renverser l'opération.
• Si l'application contient des algorithmes suffisamment intéressant pour intéresser un pirate à le décompiler, une obfuscation simpliste comme Proguard ne sera certainement pas bien dissuasive. Le pirate sera juste bon pour une petite séance de renommage de variables ce qui n'est pas très compliqué avec les outils de refactoring modernes. Ca le ralentira peut-être un peu mais ça ne le bloquera certainement pas.
• Il faut vraiment se demander si l'application représente un gros avantage concurrentiel qui va pousser a la décompiler (c'est rarement le cas d'une IHM, surtout en swing). Après c'est pas forcément facile à expliquer au client sans qu'il prenne ça comme une insinuation que l'appli est pourrie.

Pour ce qui est des licences qui reposeraient sur une détection du matériel de la machine, si je comprends bien, ça peut avoir un vrai intérêt si on ne fait pas particulièrement confiance au client. Bien sur ça pourra toujours être cracké, mais la plupart de clients n'en prendront pas la peine.