Discussion :

[pelloq1]

Bonjour,

Je ne sais pas si je poste au bon endroit.

Je développe des application pour joomla. Il s'agit de modules et composants indépendants qui s'installent dans le CMS.

Ma question est comment faire pour protéger mon travail? Par un code à saisir ou un enregistrement.

En fait les gens qui téléchargent doivent s'inscrire, un solution consisterai par vérifier depuis le site du client si il est bien enregistré dans la db de mon site.

Possible ?

Merci Cédric

[s.n.a.f.u]

Qu'entends-tu par protéger ton code ?
Si quelqu'un achète ton module, tu voudrais qu'il lui soit ensuite impossible de revendre le code ou de le refiler à quelqu'un d'autre. C'est ça ?

[pelloq1]

tu voudrais qu'il lui soit ensuite impossible de revendre le code ou de le refiler à quelqu'un

Oui dans ce genre là. Bien que le mot impossible soit un peu fort, disons mon but est d'être dissuasif.

Existe t'il des classes à implémenter permettant ceci?

Cédric

[s.n.a.f.u]

Bonjour,

Pour ce qui est de la dissuasion, c'est la licence qui fait office de copyight.
Maheureusement, ça vaut ce que ça vaut...
Pour le reste, je n'ai jamais commercialisé de code source php, je ne vais pas être d'une grande aide.
Mais je vais suivre la conversation, ça peut m'intéresser...

[Nicolas N.]

Salut,

Il y a plusieurs façon pour vérifier si le script peut être utilisé. Mais cela est-ce vraiment nécessaire ? Car a partir du moment ou un utilisateur dispose du script PHP, il peut le modifier et donc faire sauter la protection.

Enfin pour peut être faire un système de licence, tu pourrais essayer de passer par une simple fonction qui vérifie le contenu d'une page :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
if(file_get_contents("http://tonsite.com/test.php?adresse=".$_SERVER['HTTP_HOST']) != "autorise")) {
      die("L'utilisation du script n'est pas autorisée sur ce domaine.");
}
?>

Ainsi, la page "test.php" qui reçoit en paramètre "adresse" qui contient l'hôte va effectuer un test dans ta base de donnée pour voir si le site est enregistré. Si c'est le cas, elle va ecrire "autorise".

Cependant, cela présente quelques inconvénients. Par exemple, si ton site est lent, cela va affecter le script de l'utilisateur. De même, si ton module connait un grand succès, cela va impliquer une grande quantité de requêtes vers ta base de données ...

Après si tu veux encore plus de sécurité, tu peux crypter ton fichier PHP en utilisant le module de Zend ou IonCube (je crois ?) mais cela nécessite que le serveur de l'utilisateur est le module permettant de lire ce code d'installé, peu pratique donc.

Nicolas .

[s.n.a.f.u]

Salut,

Il y a plusieurs façon pour vérifier si le script peut être utilisé. Mais cela est-ce vraiment nécessaire ? Car a partir du moment ou un utilisateur dispose du script PHP, il peut le modifier et donc faire sauter la protection.

Enfin pour peut être faire un système de licence, tu pourrais essayer de passer par une simple fonction qui vérifie le contenu d'une page :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
if(file_get_contents("http://tonsite.com/test.php?adresse=".$_SERVER['HTTP_HOST']) != "autorise")) {
      die("L'utilisation du script n'est pas autorisée sur ce domaine.");
}
?>

Ainsi, la page "test.php" qui reçoit en paramètre "adresse" qui contient l'hôte va effectuer un test dans ta base de donnée pour voir si le site est enregistré. Si c'est le cas, elle va ecrire "autorise".

Cependant, cela présente quelques inconvénients. Par exemple, si ton site est lent, cela va affecter le script de l'utilisateur. De même, si ton module connait un grand succès, cela va impliquer une grande quantité de requêtes vers ta base de données ...

Après si tu veux encore plus de sécurité, tu peux crypter ton fichier PHP en utilisant le module de Zend ou IonCube (je crois ?) mais cela nécessite que le serveur de l'utilisateur est le module permettant de lire ce code d'installé, peu pratique donc.

Nicolas .

La vérification par url effectuée en deux lignes sera aussi virée en deux secondes.
Le cryptage pour générer du pseudo-code est une idée qui me semble pas mal.
Le reverse engineering n'est pas très difficile, mais cela en rebutera plus d'un.

Un article sur le sujet : http://maxime-ohayon.developpez.com/...els/bcompiler/

[Nicolas N.]

Oui, c'est ce que je dis, a partir du moment ou l'utilisateur dispose des sources, il peut virer ce qu'il souhaite. A moins que le module soit bien gros et que le script soit caché dans un des fichiers. A bout d'un certain temps, l'utilisateur arrêtera peut être de chercher, mais techniquement aucune solution comme ça n'est fiable à 100%, sauf peut être le cryptage de la source.

Cependant, certains scripts commerciaux utilisent un système qui vérifient la licence, je pense notamment à IPB. Comment procèdent-ils ?

Nicolas .

[pelloq1]

Merci de vos messages, mais je penses que la solution du 'file_get_contents' qui vient vérifier sur mon serveur est très bien, meme si la protection n'est pas efficace, cela permettra de dissuader plus d'un utilisateur, surtout si le code est un peu caché et tordu.

La solution de iOncube me parait bien lourde pour une application vendu 30€ !

Merci de vos messages, et si quelqu'un a une meilleure idée

[sabotage]

Il existe aussi ZendGuard mais c'est le meme principe : la source est chiffrée.

[pelloq1]

Non l'idée pour moi est simplement de dissuader car, sauf erreur avec une licence GPL (dev pour joomla), le code doit être clair.

[Doksuri]

salut,
je suis peut-etre a cote de la plaque.... l'obfuscation ?

[pelloq1]

Je précise, je cherche une solution linux, mais l'obfuscation serai un excellent début.

[mon_nom_est_personne]

Et pourquoi pas monter un web service ?
REST ou SOAP peu importe.

[metagoto]

En tant que simple noob, mon avis vaut ce qu'il vaut:
La solution à base de file_get_contents telle qu'elle est proposée ici ne fonctionnerait que si allow_url_fopen est activée dans php. C'est loin d'être le cas sur toute les configs.

Si le code source n'est pas crypté avec une extension (payante) comme ionCude Encoder (par exemple), tu ne pourras jamais être sûr qu'il n'y a pas un petit malin qui utilise ton code malhonnètement.
Rendre le code illisible (obfuscation) compliquera ton developpement et, qui sait, galvanisera ce même petit malin qui se fera un plaisir de "casser" ta protection.

Communiquer avec ton serveur distant pour vérifier que l'utilisateur "a le droit" d'utiliser le code (le principe du file_get_contents) sera un gouffre en terme de performance si une telle vérification se fait redondante et que ton module joomla n'a rien d'autre à faire avec ton serveur (tu ne fournis pas un service distant).

D'après ce que j'ai vu à droite et à gauche, quand les sources ne sont pas chiffrées (encodées) sérieusement, il s'agit surtout d'une question de licence et de confiance.

[Djakisback]

La vérification par url effectuée en deux lignes sera aussi virée en deux secondes.
Le cryptage pour générer du pseudo-code est une idée qui me semble pas mal.
Le reverse engineering n'est pas très difficile, mais cela en rebutera plus d'un.

Un article sur le sujet : http://maxime-ohayon.developpez.com/...els/bcompiler/

Après réflexion la solution du file_get_contents() ne me semble pas contournable, tu pensais à quoi s.n.a.f.u ?
[edit] Ah ok, l'idée était juste de vérifier l'autorisation mais de donner quand même le code source. De mon côté je pensais évaluer le code à la volée. Mais en fait, après re-réflexion (lol) rien n'empêche l'utilisateur d'afficher le code au lieu de l'évaluer.

Les seuls problèmes que je vois sont le allow_url_fopen (souvent via le safe mode) et le trafic sur le serveur source.
Y a aussi la possibilité d'évaluer du code stocké dans une BDD mais il faut un accès externe au serveur de BDD ce qui est encore plus rare que le allow_url_fopen à on, il me semble.

[Djakisback]

Donc,
il y aurait peut-être une solution, c'est d'évaluer le code ou une partie sur le serveur distant, puis d'évaluer à nouveau sur le serveur du client, ou un truc du style. Dans ce cas ça devient vraiment lourd.