Discussion :

[docky]

Bonjour,

Est-il possible d'empêcher la décompression d'un fichier jar ou au moins d'empêcher l'accès à certains fichiers qui sont dans celui-ci ?

Si cela n'est pas possible, y'a-t-il une solution pour générer un autre fichier que jar pour pouvoir exécuter mon programme ?

Merci pour les précisions

[Orni-Dev]

pour protéger les .class voir ce sujet : http://www.developpez.net/forums/d45...r-jar-s-curis/

[docky]

Ok merci, mais ce ne sont pas forcément des .class que je veux protéger mais des dossiers contenant des fichiers de config. Mais je vais regarder ton lien, ça peut m'être utile.

[nouknouk]

ça sent les logins/password enregistrés directement dans le fichier de config

D'une façon générale, il n'y a pas de solution miracle: toutes les techniques que tu mettras en oeuvre dans le code ton application pourront éventuellement ralentir (un peu) le crackage de ta protection, mais en aucun cas le protéger définitivement.
En effet, si ton application est capable de décoder toute seule ton fichier de config, rien n'empêche à une personne tierce d'insepcter ton code (obfusqué ou pas) pour isoler la partie qui s'occupe du décryptage et la réutiliser.

Dans ce genre de cas, il faut utiliser une autre approche: ce n'est pas à ton appli d'avoir les accès à ta ressource protégée, mais à la ressource protégée de filtrer les accès en partant du principe qu'elle ne doit jamais faire confiance à priori à son interlocuteur (ici ton appli).

Exemple concret: tu fais un petit jeu qui doit être capable d'enregistrer ton high score sur la BdD de ton site web qui s'occupe ensuite de les afficher.

1- la pire des méthodes est de stocker dans ton appli le login/pass de ta BdD pour que le programme aille directement ajouter une ligne à ta table de high-scores.

2- la bonne méthode serait de faire que ton appli poste ton high score via une bête requête HTTP vers ton serveur. Ton serveur s'occupe alors de traiter la demande, vérifier qu'elle n'est pas farfelue et enfin faire l'ajout dans la BdD. Le login/pass de ta BdD restant alors confidentiel car stocké en interne sur ton serveur.

Bon, après je me trompe peut-être sur ce que tu cherches à faire. Le mieux serait que tu nous en dise un peu plus.

[docky]

oui en effet c'est exactement ce que tu as dit sauf que ce sont juste des données pour un quiz; en effet je stocke les réponses de mes questions dans un fichier et je veux pas qu'on puisse y accéder. Je ne fais donc pas d'accès à un serveur mais uniquement sur des fichiers texte contenus dans le jar. J'avoue que je sèche un peu sur ce coup là à moins de crypter mes fichiers (même si quelqu'un qui décompile mes .class peut retrouver ma méthode de cryptage).

[GanYoshi]

Bonjour,

Tu peux crypter ton fichier ET obfusquer ton code

Bon courage :p

[docky]

oui j'y ai pensé, mais je pensais qu'il y avait une autre solution. C'est bizarre car c'est le genre de trucs (protéger des fichiers) qui peut être grandement utile pour pas mal d'applis je pense

[nouknouk]

Tu peux crypter ton fichier ET obfusquer ton code

Comme dit précédemment, ça ne changera quasiment rien à l'affaire. Ca ralentira au mieux le cracker quelques minutes de plus.

je stocke les réponses de mes questions dans un fichier et je veux pas qu'on puisse y accéder.

Et pourquoi ne pas faire une page PHP toute conne chez un hébergeur web gratuit ?

Le principe: ton appli ne stocke pas les réponses. Quand elle a besoin de savoir, elle envoie la proposition tapée par le joueur de ton appli au serveur qui lui répond simplement "c'est juste" ou "c'est faux".

Le désavantage: ton appli a besoin d'une connexion web pour tourner.

L'avantage: aucun moyen pour un utilisateur de connaître les réponses sans réussir à pirater ton hébergeur (bonne chance !) ou ... jouer et trouver les bonnes réponses .

[docky]

Oui en effet cette solution est tout à fait convenable. Je voulais juste éviter un accès Internet mais comme tu le dis cela semble presque impossible à protéger sans ça.

Merci pour les réponses

[nouknouk]

Après faut voir si la protection vaut vraiment le coup.

1/ Si le jeu est un simple jeu 'casual' que chacun peut télécharger pour s'amuser en local 5 minutes, il n'y a aucun intérêt à vouloir cracker les réponses si ce n'est pour se pourrir soi-même l'intérêt de jouer au jeu.

2/ Si le jeu est un jeu "concours" où les gens vont poster leur high-score et/ou avec des récompenses à la clef, là il faut absolument blinder ta protection.

[GanYoshi]

Je vais peut-être dire une bêtise, mais plutôt que d'aller accéder aux questions en décryptant un fichier sur le disque dur, est-il sécurisé de ne pas décrypté les réponses, mais de comparer la réponse crypté du fichier avec la réponse crypté donnée par le joueur ?
(à la façon des passwords MD5 en php).

[docky]

pas con ! la question est de savoir si en java on peut crypter façon md5 (si oui ça oblige de toute façon au préalable de crypter toutes les réponses).
Mais sinon c'est juste un quiz comme ça donc c'est pas trop grave mais c'était aussi pour ma culture personnellle

[nouknouk]

Effectivement, c'est une excellente solution intermédiaire

Le seul désavantage que j'y vois, c'est que ça oblige

1- soit à ce que la réponse soit donnée au caractère près (un accent ou un 's' de trop et le hash devient invalide)

2- soit à tester l'ensemble des 'petites' variations possibles de la réposne donnée (ajouter/supprimer un 's', les fautes d'orthographes courantes, ...) calculer pour chacune leur hash et les comparer une à une avec le hash de référence.

la question est de savoir si en java on peut crypter façon md5

oui