Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2030 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  Sécuriser son code source PHP avec Bcompiler ou un autre encodeur

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Sécuriser son code source PHP avec Bcompiler ou un autre encodeur

n°2185911
shinzel
Posté le 15-04-2013 à 16:56:13  profilanswer
 

Bonjour,
je suis étudiant en DUT informatique. Actuellement je suis en stage et on me demande de sécuriser des codes sources PHP.
J'ai commencé mes recherches.
Il y a plusieurs "outils" qui reviennent souvent dans les forums comme "Zend Guard", "IonCube", "Bcompiler".
 
Concernant Bcompiler, j'ai notamment lu cet article:
http://maxime-ohayon.developpez.com/...els/bcompiler/
 
Si j'ai bien compris Bcompiler transforme un fichier source en Bytecode. Donc il utilise pour cela la technique de l'encodage.
Or pour la définitionde l'encodage j'ai lu ceci:
 
'Encoding transforms data into another format using a scheme that is publicly available so that it can easily be reversed. It does not require a key as the only thing required to decode it is the algorithm that was used to encode it.
The goal is not to keep information secret, but rather to ensure that it's able to be properly consumed.'
 
>> L'encodage transforme une donnée dans un autre format en utilisant un système qui est accessible au public donc il peut être facilement "inversé". Il ne nécessite pas de clé et la seule chose nécessaire pour le décoder est l'algorithme qui a été utilisé pour l'encodage.
Le but n'est pas de garde les informations secrètes...
 
Je lis un peu partout "protection de code source avec de l'encodage". Mais selon cette définition cela ne me va pas du tout. Dans le cas d'un encodeur tel que Bcompiler, il ne ferai pas qu'encoder mais autre chose?? (obfuscation?)
 
Peut-être que la définition de l'encodage que j'ai lue est inexacte.
Ma question est donc peut-on sécuriser un code source avec uniquement de l'encodage?  
La définition que j'ai trouvée est-elle juste?
 
 
J'aimerais que l'on m'éclaircisse à ce sujet.
 
Merci d'avance.

mood
Publicité
Posté le 15-04-2013 à 16:56:13  profilanswer
 

n°2185915
x1fr
Posté le 15-04-2013 à 17:13:43  profilanswer
 

"Stagiaire! sécurise mon code php!".....
 
Le but c'est quoi? distribuer des scripts php en limitant la compréhension du code?
 
Il existe des solutions de compilation/encodage/appelez_ça_comme_vous_voulez, mais ce qu'il faut se dire c'est que si cela nécessite un composant spécifique (et ça doit être le cas d'une bonne partie de ces solutions, si ce n'est toutes) sur le serveur web pour être exécuté, on perd d'un coup une bonne partie des cibles potentielles.
 
Pour rester du php pur qui sera exécutable sur n'importe quel serveur PHP standard je ne vois pas grand chose d'autre que l'obfuscation, je ne sais pas s'il y a des solutions viables à l'heure actuelle.
 
Le bytecode, si c'est la même chose que java, .net, etc... ce n'est pas spécialement efficace pour cacher le code source


---------------
Origin / PSN / Steam / Uplay : x1fr - bnet : Fab#2717
n°2185921
shinzel
Posté le 15-04-2013 à 17:24:11  profilanswer
 

Oui effectivement le but c'est exactement ça.
La plupart des outils de sécurisation notamment Zend Guard encodent et obfusquent le code.
 
"Le bytecode, si c'est la même chose que java, .net, etc... ce n'est pas spécialement efficace pour cacher le code source" , Pourquoi?

n°2185922
x1fr
Posté le 15-04-2013 à 17:30:53  profilanswer
 

Ben je ne sais pas ce qu'il en est du bytecode PHP, mais en tout cas tu prend un exe .net, s'il n'a pas été obscurci, tu peux avoir accès au code source original le plus simplement du monde. Pour autant que je sache c'est la même chose avec java.
 
Et comme tu le dis toi même dans ta définition trouvée sur le net :

Citation :

transforme une donnée dans un autre format en utilisant un système qui est accessible au public donc il peut être facilement "inversé"


 
facilement inversé = obtenir le code source original
 
De toute manière, suivant la complexité du code et la détermination de la personne en face je pense que quelqu'un aura toujours un moyen de trouver ce qu'il veut dans le code source.


---------------
Origin / PSN / Steam / Uplay : x1fr - bnet : Fab#2717
n°2185924
shinzel
Posté le 15-04-2013 à 17:41:12  profilanswer
 

Oui bien sûr le but n'est pas aussi d'avoir la sécurité parfaite et ça n'existe pas d'ailleurs :)  
Mais concernant l'obfuscation j'ai vu que ça augmentait le temps d'exécution ce que je ne veux pas car je dois prendre en compte les conséquences sur les performances.

n°2186078
rufo
Pas me confondre avec Lycos!
Posté le 16-04-2013 à 14:29:24  profilanswer
 

T'es sûr que lorsque ton maître de stage (ou autre) t'as demandé de "sécuriser ton code source", il parlait pas de le protéger contre les failles XSS, sql injection et autres joyeusetés sources communes de hack dans les applis web :??:


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Cantine Calandreta : http://sourceforge.net/projects/canteen-calandreta
n°2186081
shinzel
Posté le 16-04-2013 à 14:46:41  profilanswer
 

oui je suis sûr :)
le but est de protégér l'algorithme car le script php va être fournis aux clients

n°2187437
grosbin
OR die;
Posté le 24-04-2013 à 17:50:08  profilanswer
 

Ca m'intéresse également
mais 1) ton lien n'est pas bon
2) regarder plutôt du côté de apache avec un module permettant de lire directement ces fichiers


Message édité par grosbin le 24-04-2013 à 17:50:57

---------------
Développeur Php Annecy
n°2187475
shinzel
Posté le 24-04-2013 à 22:22:04  profilanswer
 

voici pour le lien : http://maxime-ohayon.developpez.co [...] bcompiler/
donc concernant l'encodage il s'agit en fait d'une compilation du code source en bytecode

n°2187502
rufo
Pas me confondre avec Lycos!
Posté le 25-04-2013 à 10:07:08  profilanswer
 

C'est pas du bytecode mais de l'opcode. ;)


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Cantine Calandreta : http://sourceforge.net/projects/canteen-calandreta

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  Sécuriser son code source PHP avec Bcompiler ou un autre encodeur

 

Sujets relatifs
Modifier code javascript avec promptmysql C++ code blocks
[PHP et HTML] Mettre une varial PHP lors d'un click d'un bouton HTML.Code pour exécuter un traitement différent si un mobile est détecté.
Exécution script Powershell via PHPParallélisation code R avec Snowfall
Renvoi de Javascript avec PHP [Résolu]Formulaire de recherche avec champs vides en PHP
verification code erosionDépôt/Protéger son code source
Plus de sujets relatifs à : Sécuriser son code source PHP avec Bcompiler ou un autre encodeur


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR