Bonjour,
 
J'essaie de proteger mes fichiers ASP contre le vol du script depuis le serveur.
J'ai commencé par chiffrer le script puis pour le dechiffrer j'utilise un composant de ma fabrication.
Voici le script ASP:
 

 
Seulement voilà, il est possible de récuperer le code (variable "decrypted" ). Existe-t'il un moyen de se passer de "Execute(...)" ?
 
Avez-vous une autre idée ?

 
t'as pas besoin de protéger ton code, il est protégé tout seul
 
Au niveau système de fichier :
1) Met les fichiers statiques (images, documents, etc.) dans un répertoire distinct
2) Met les droit en lecture uniquement à tout le site pour IUSR_nommachine
3) Me ensuite les droits pour toi en contrôle total. Vire tout les autres droits.
 
Dans IIS :
1) Supprime tous les filtres ISAPI, sauf ceux pour les extentions ASA et ASP. Surtout, supprime bien celui pour HTX, il contient un énorme trou de sécurité d'accessibilité au code !
2) Applique tous les patches de IIS (Windows Update suffira)
3) Dans le panel "répertoire de base", met "Exécuter les autorisation : Scripts seulement", et décoche "lecture" et "écriture".
4) Clique droit sur le répertoire où il y a tes images et documents. Dans le panel "répertoire de base", met "Exécuter les autorisation : Aucune", et coche "lecture" et décoche "écriture".
 
Et là, personne ne pourra lire les sources du site, y'a plus de trou de sécu utilisable.
PS: évidement, si y'a un accès FTP ou disque partagé sur le répertoire du site, faut les verrouiller à mort...

 
Ce qui implique que je ne developpe que sur mon serveur... Je ne peux pas (par exemple) vendre mes scripts sans risquer le vol.

Alors laisse béton, c'est impossible.
 
Si tu veux protéger correctement (et encore) prends VB.
 
Crée des OCX pour chaque page reprenant chacune des fonctions de tes pages, compile, et appelle les OCX depuis ton ASP.
 
ASP est interprété. A partir de là, il est forcément en clair à un moment où à un autre.
 
Même si tu encodes le code, puis qu'avec une fonction tu le décodes et l'éxécute à la volée (je te souhaite du plaisir pour la maintenance), le client aura toujours la possibilité de lancer ta fonction de décryption à la main pour récupérer ton code décrypté. C'est impossible de le protéger. La seule solution, c'est de passer par du compilé, et à ce moment, pour l'ASP, faudra passer par des activeX côté serveur (OCX s'ils sont en VB, plus facilement portable depuis ton code ASP, ou DLL si tu les fait en C++ ou autre).

A savoir que les hébergeur qui acceptent de faire tourner des OCX ou DLL nons signés sur leurs serveurs sont extrêment rare, et souvent soit très chers, soit n'assurent aucun support. C'est donc à tes risques et périls.
Et faire signer un OCX ou une DLL par verisign ça coûte extrêment cher.

Merci pour cette réponse. Je vais regarder ce ce côté là...