Discussion :

[zemzoum89]

J'ai réalisé une application de gestion du personnel d'une société et je l'ai mise dans un serveur local seulement mais je voudrai rendre le code de ce site codé car les droit son à moi, donc en tout ils peuvent utiliser l'application mais ils ne peuvent en aucun cas voir mon code ou le changer... Merci d'avance pour votre aide....

[Vil'Coyote]

petite question tu es salarié de cette boîte? ou tu est freelance?

[Sayrus]

Regarde du côté de www.ioncube.com/

[Invité]

Bonjour,
Tu as raison de coder tes PHP, car une gestion du personnel en PHP c'est vraiment la mort !
Imagines que ton APACHE démarres mal et hop tout les visiteurs ont le PHP sous les yeux !
L'outil de Sayrus est trés bien, mais pourquoi tu n'as pas fait cela en C++
ou autre, la gestion du personnel est tellement "sensible"

[spawntux]

Bonjour,

Humour quand tu nous tiens :p
Ok l'obfuscation c'est mal deja et a partir du moment ou les gars on l'appli en main il ya forcement moyen de la reverse donc l'obfuscation c'est une fausse soluce.

En plus dans quel cas a tu dev cette appli la aussi c'est important.

Bien cordialement

[zemzoum89]

Bonsoir,

Je suis un freelance c'est pour cela que je voudrai coder mon php et pour la question du C je l'ai aps fait en C parce que mon client me la demandé tout simplement...

Merci beaucoup pour votre aide....

[laclac]

Je suis pas de l'avis de spawntux.
Je pense que c'est très bien voir indispensable.
Effectivement si on voit déjà on voit ton code meme crypté c'est déjà pas top.
Ca a déjà le mérite de limiter la casse.
Si tu prend un bon obfuscateur comme PHPobfuscator, les reverses donnent des résultats très decevant.

ioncube.com est très bien.
Il existe aussi Zend Guard pas mal. Pour te donner une idée, tu peux même créer des systemes de licences de ton code (voir même a durée limités)...
Là par contre il existe de decrypteur de code Zend sur le net.
Je ne connais par contre leur efficacité et si c'est toujours d'actualité.

[spawntux]

Bonjour,

Pourquoi je dis que l'obfuscation c'est le mal tout simplement car "l'optique sécurité" n'est plus une priorité pour le createur, ce qui en fait au final une fausse solution de sécurité.

En effet cela crée bien souvent plus de problème que de solution, une fois un reverse effectué on se rend souvent compte que de grosses vuln existent et ce qui empêché l'exploitation c'était juste le fait que personne n'avait encore pris le temps de reverse l'application.

Exemple les Hash LM de windows qui au final sont faible, exemple bien plus récent le reverse de certaine partie du chiffrement de skype.

Un autre problème se pose, hormis le soucis juridique, en effet la personne est un freelance ce qui veut dire qu'il sera certainement injoignable d'ici quelques années et que son logiciel ne sera pas maintenable.
Les sociétés gardent les solutions plusieurs années et dans 5 ans si ils veulent faire une modification le freelanceur ne sera plus contactable.
C'est malheureusement arrivé à beaucoup de sociétés ce qui fait des frais supplémentaires, qui après un premier probleme de ce genre persuade l'entreprise de se tourner vers de grosses boites et non plus vers des freelances.

Il faut se souvenir aussi que le code n'est pas compilé, que la société a un acces root sur le serveur, qu'elle a payé le logiciel...

En gros tout est possible ah oui et ca empêche bien souvent les gens de corriger les bugs ou vulns visibles ce genre d'obfuscation et la on retrouve le problème du freelance injoignable.

Bien cordialement