Forum d'entraide PHPFrance

Bonjour,

C'est la première fois que je poste sur ce forum mais c'est loin d'être mon premier passage par ici (une vraie mine d'information).

Voila ce qui m'ammene a poser ma question, mais avant une petite mise en situation.

Je doit dévelloper une application web/php/ajax pour une boite. Cette appli sera hebergée sur une serveur interne de la societe.
Comment puis je m'assurer qu'il ne pourrons pas copier mon appli pour l'installer sur un autre serveur?
Puis je mettre un systeme de "Serial".

J'avais pensé a mettre une sécurité se basant sur la date de création des documents qui changerais si les données était déplacée.....

Si vous aviez une idée plus intéréssante cela m'arrangerais...

En vous remerciant par avance.

Shinjicom.

Et comme tu comptes empécher quelqu'un d'exécuter l'application si la condition que tu auras fixé n'est pas remplie ? Tu mettras un if, qu'il suffira juste de retirer pour exécuter le code ?

Cherche du côté des obfuscateur de code dans google

Ils le pourront s'il n'y a rien à changer dans le code.. si il y a des changements à effectuer, encore faut-ils qu'ils ayant la connaissance et l'expertise suffisante pour faire les transformations..

Mais pourquoi tu n'as pas envie qu'ils recopient leur script sur un autre serveur ? (simple curiosité, qui permettra peut-être de formuler une meilleure réponse )

-> Sékiltoyai
Je ne contait pas faire un simple if mais plutot des comparaison dans des tables avec par exemple table 1 = md5(datefichier)+table2*numerique(ip serveur)

controle qui serais effectué réguliérement.

->Rami
je ne connaissait pas les obfuscateur et ca m'interesse bien... y'en a t il un que tu me conseil?

->Berzemus
Je ne veux pas qu'ils puissent recopier leur scrip sur d'autre serveurs car celui ci est vendu pour une utilisation sur 3 sites (avec centralisation des données possibles) et je sais qu'ils ont le projet d'ouvrir de nouveaux sites. Il leur faudra donc payer de nouvelles licences dans ce cas.

en tout cas merci de vos premiers messages!

-> Sékiltoyai
Je ne contait pas faire un simple if mais plutot des comparaison dans des tables avec par exemple table 1 = md5(datefichier)+table2*numerique(ip serveur)

controle qui serais effectué réguliérement.

->Rami
je ne connaissait pas les obfuscateur et ca m'interesse bien... y'en a t il un que tu me conseil?

->Berzemus
Je ne veux pas qu'ils puissent recopier leur scrip sur d'autre serveurs car celui ci est vendu pour une utilisation sur 3 sites (avec centralisation des données possibles) et je sais qu'ils ont le projet d'ouvrir de nouveaux sites. Il leur faudra donc payer de nouvelles licences dans ce cas.

en tout cas merci de vos premiers messages!

oups j'avais pas mis mon pseudo

Je ne contait pas faire un simple if mais plutot des comparaison dans des tables avec par exemple table 1 = md5(datefichier)+table2*numerique(ip serveur)

controle qui serais effectué réguliérement.

Il suffira de réécrire cette partie partout où elle est utilisée. Il ne faut pas se leurrer, ce que php peut calculer, l'humain le peut aussi, et toute mesure de sécurité peut être supprimée aisément, même si elle est imbriquée le plus intelligemment qui soit dans le code…

Le problème, c'est que dès que tu fournis le code source de PHP, celui qui le récupère peut en faire ce qu'il en veut.

Personnellement, j'utilise ionCube Encoder qui crypte PHP et dont la version à 300$ comporte un mécanisme qui permet de limiter l'exécution du code à une adresse IP ou à un nom de domaine. Cela fait un an que je l'utilise et il n'y a aucun souci. Le seul inconvénient, c'est qu'avant de transférer le code PHP sur le serveur de production, il faut "compiler" le PHP. Mais il ionCube le fait de manière incrémentale et seuls les fichiers modifiés sont recompilés.

Il y a une version d'évaluation gratuite qui permet de tester le mécanisme pendant 1 mois.

http://www.ioncube.com/sa_encoder.php?page=pricing

Ton problème est en effet plus "législatif" que concernant le code en lui même, un fois le code fournit il semble impossible (à moins que le client n'ait pas de connaissance en programmation bien sur) de l'empécher de le réutiliser. Si la licence est bien faite (limite bien l'utilisation à ce que tu autorise) le client pourra physiquement réutiliser le code mais sera légalement obligé de te rémunérer en conséquence. A toi de surveiller l'utilisation faite du produit vendu.

Edit: une minute plus tard post équivalent (enfin en moins instructif) à celui de Caroube

Pour continuer :
1) tu n'es pas obligé de crypter l'ensemble de ton code, mais peut-être uniquement certains fichiers (les fichiers qui comportent la partie "intelligente" du code si tu ne veux pas qu'elle soit pompée, les fichiers de connexion aux bases de données (ce qui permet de cacher les codes et les mots de passe), ...
2) La version à 300$ permet de crypter en indiquant l'URL du site Web. Mais avec la version plus basique de ionEncode (et la moins chère), tu peux faire la même chose, à condition de le coder toi même dans ton code source. Et bien sûr de crypter ce code PHP de vérification.

Merci pour toutes vos réponses...

Je suis en train de me pencher vers une autre idée : utiliser un programme Vb compilé qui contiendrais la vérification... Encore faut il réussir a obliger son éxécution......

Merci pour toutes vos réponses...

Je suis en train de me pencher vers une autre idée : utiliser un programme Vb compilé qui contiendrais la vérification... Encore faut il réussir a obliger son éxécution......

J'espère pour toi que ce n'est pas un serveur linux ou bsd alors…

Non c'est encore plus simple que ca: c'est hébergé sur une station de travail du site sous.... WinXp

Non c'est encore plus simple que ca: c'est hébergé sur une station de travail du site sous.... WinXp

Top. N'oublie pas de leur préciser de désactiver tout firewall ou autre système de protection, ça sert à rien. Tant qu'a faire le pot de miel, autant le faire bien