bonjour,

j aimerais mettre une sécurité sur certain code "chaud".
Pour cela mon but serait de recuperer l'adresse MAC du serveur et de comparer le resultat a la vraie adresse MAC

Le problème c que des que j utilise les commandes "system(ping adresse_ip )" puis system(arp -a > arp.out) en php, ca donne n'importe quoi a cause du jeu de caractère

dc impossible d essayer de lire ce fichier php n y reconnait rien

comment faire?
sauf si bien vous avez d autres idees pour sécuriser le code sachant que le but n est pas de limiter l'accès mais plutot de limiter les serveur

Tu veux que le code ne puisse s'executer que sur un serveur précis, c'est ça ?

Si quelqu'un te pique ton code pour le faire tourner sur un autre serveur, comment tu l'empeches d'enlever ta protection

hum je pensais a ladresse mac...si vous avez d autres idees pas de pb

il faut encore connaitre le code PHP pour enlever la protection. Ce problème ce posera avec n importe quel protection non?
si qq1 connait le code...il pourra faire ce qu il voudra

l'adresse mac, elle passe pas le réseau normalement il me semble ??? En gros, elle reste locale. Si quelqu'un peut confirmer/infirmer...

elle s'arrete au premier relai qui possède une autre adresse mac (routeur, pc ...)

Merci Snake, pour la précision

J'ai toujours pas bien compris ce que tu veux protéger, Florent ?

j ai cree un intranet de gestion pour mon entreprise

mais j aimerais pas que d autres entreprise s en aproprie les codes...connaissant certaines personnes de mon entreprise...ca peut arriver...et comme j ai bosse plus d 1 an dessus...si on donne mes codes sans me demander quoi que ce soit ca me ferait franchement rager.

Certaines pages de mon intranet sont vitales, il y en a peu (2/3) et c est celle -ci que j aimerais protégée...voire tout l intranet si c est possible(ca serait parfait) mais au minimum les pages vitales.

Pour cela, je voudrais donc que tout s excute normalement seulement si le pc serveur web est bien correspondant a celui utilisé actuellement et pas un autre

c est plus clair ainsi?

OK j'ai compris. Mais si quelqu'un "vole" le code, il peut le modifier et faire sauter ta "protection" en 5 minutes.

Edit : Et qu'est-ce qui se passera en cas d'ugrade de ton serveur web... ou même juste remplacement de la carte réseau ?

mais le problème de qq1 qui vole le code est valable dans n'importe quel code
que ca soit en vb, en c ou en tartampion, si on vole tout, ben on peut changer le source...

je sais bien que la solution de l'adresse MAC n est pas la meilleure car elle offre pas une sécurité complete et elle offre des inconvénients que tu soulèves Device.
Mais a ma connaissance c est une des plus simple à mettre en oeuvre (et encore peut etre pas)....de plus j en vois pas trop d autres...

sauf ....peut etre y a aussi prendre la config du pc serveur(type de windows+service pack, ram, proc) la mettre dans le code de façon plus ou moins codée et de vérification la dessus.

mais ca je sais pas si c est possible en php...

Sinon, je vais sans doute dire une connerie, mais les sources appartiennent à la boite, et ils sont censés être protégés "légalement", non ? ça empêche effectivement pas quelqu'un de piquer ces sources, mais c'est déjà une sorte de protection en soi. Et si, comme dit Device, la boite change de serveur, ou de carte Eth ?

Par ailleurs, si je relis ton premier post, tu dis que php ne "sait" pas lire certains fichiers à cause du jeu de caractères... Tu es sûr que c'est inhérent à php ? Parce que je ne connais pas de langage qui soit "bridé" sur certains charsets... Doit y avoir une solution, non ? regarde ceci, un article pas mal, traduit par un de mes potes, ça peut peut-être te donner des pistes, entre autres utf8-encode() et son pendant utf8-decode()

Tout ça pour dire que, sans vouloir lancer de polémique, php vaut mieux utiliser un vrai langage comme java (mais là ça demande d'autres efforts)

Le 20 avril 2005 - 08 h 53, bernie38 a écrit : Tout ça pour dire que, sans vouloir lancer de polémique, php vaut mieux utiliser un vrai langage comme java (mais là ça demande d'autres efforts)

"Sans vouloir lancer de polèmique, j'en lance une quand même", ispèce de trollasse va

Florent : Le problème avec ta solution c'est que comme php est un langage de script, le code doit être accessible. Ce serait plus facile de compliquer la vie d'un éventuel voleur de code si tu utilisais un langage compilé pour les parties sensibles que tu veux "protéger". Ainsi tu n'aurais pas besoin de laisser le code sur la machine, juste un binaire - ce qui est beaucoup plus fatiguant à modifier...

Le 20 avril 2005 - 10 h 16, DeVice a écrit : "Sans vouloir lancer de polèmique, j'en lance une quand même", ispèce de trollasse va

heu... oui

Florent : Le problème avec ta solution c'est que comme php est un langage de script, le code doit être accessible. Ce serait plus facile de compliquer la vie d'un éventuel voleur de code si tu utilisais un langage compilé pour les parties sensibles que tu veux "protéger". Ainsi tu n'aurais pas besoin de laisser le code sur la machine, juste un binaire - ce qui est beaucoup plus fatiguant à modifier...

c'est à ça que je voulais en venir. PHP est peut-être très bien, mais ça reste un langage de script interprété, et faut pas vouloir en faire ce pour qui il est pas fait (comme trop souvent hélas)
C'est sûr que la même chose en Java, par exemple, coûte beaucoup plus d'efforts. Mais PHP et Java ne jouent pas tout à fait dans la même cour...

Come on, Bernie, don't feed the troll !

Le 20 avril 2005 - 10 h 22, bernie38 a écrit : Come on, Bernie, don't feed the troll !

Et le pire, c'est que j'ai rien dit

Mais sinon, comme dit, à moins d'obfuscer le code de manière affreuse, ce qui d'ailleurs ne fera que ralentir le hack, pour un langage scripté, y a rien à faire, juste à coller une license histoire de pouvoir aller en justice si y a problème...

Ce genre de préoccupations, tu aurais du te les poser AVANT d'implémenter ton intranet, ne serait-ce que pour le choix du langage. Maintenant, c'est trop tard... Désolé d'être aussi dur...

Le 20 avril 2005 - 10 h 28, gege38 a écrit : Ce genre de préoccupations, tu aurais du te les poser AVANT d'implémenter ton intranet, ne serait-ce que pour le choix du langage. Maintenant, c'est trop tard... Désolé d'être aussi dur...

... surtout (peut-être) pour rien. Si il a bien modularisé son code, il n'est pas impossible de ré-implémenter la partie "sensible" dans un autre langage.

Huh .. d'ailleurs, java n'est pas le meilleur choix pour essayer de rendre illisible tes trucs ..

Florent : tant que quelqu'un a acces a ton serveur (comme tu dis "connaissant certaines personnes de mon entreprise...") et a tes scripts, il n'y a pratiquement aucune solution pour ton probleme

Si c'est pour proteger des gens externes a ta boite, c'est autre chose.

Le 20 avril 2005 - 13 h 35, DeVice a écrit : Le 20 avril 2005 - 10 h 28, gege38 a écrit : Ce genre de préoccupations, tu aurais du te les poser AVANT d'implémenter ton intranet, ne serait-ce que pour le choix du langage. Maintenant, c'est trop tard... Désolé d'être aussi dur... ... surtout (peut-être) pour rien. Si il a bien modularisé son code, il n'est pas impossible de ré-implémenter la partie "sensible" dans un autre langage.

Exact J'y avais bien pensé, mais quand bien même il fait une partie sensible dans un autre langage... Qu'empeche le hacker de refaire rapidos la partie sensible en PHP ? Faudrait une forte liaison entre la partie hidden et les autres parties de telle sorte que rehacker le système reviendrait à refaire tout l'intranet... C'est jouable mais bon...

Sinon, iray, spa moi qui ait parlé de Java mais le vilain Bernie, là bas au fond de la salle près du radiateur
Je sais bien qu'avec un bon décompilo, on peut lire pas mal de trucs à partir de .class

dis donc, gégé, y'a des moyens pour rendre illisible du code java extirpé des .class il me semble, non ?

Et d'abord, c'est pas beau de dénoncer

Le 20 avril 2005 - 16 h 24, bernie38 a écrit : dis donc, gégé, y'a des moyens pour rendre illisible du code java extirpé des .class il me semble, non ? Et d'abord, c'est pas beau de dénoncer

ouaip mais c loin d'etre le top -j'ai essayé, j'ai été franchement décu
nan, je pense que bernie a raison, le seul moyen existant c'est la licence..et comme toujours en ces temps de capitalisme exacerbé, c'est toujours plus facile pour des gros escrocs (ie certaines entreprises bourrées de fric) de forcer un geek à payer parce que celui-ci utilise un code qu'il a lui meme produit que l'inverse à savoir faire payer une entreprise pour vol de propriété itellectuelle.Mais comme ce geek en général n'a pas les sous pour faire breveter son code (encore faut-il que sa législation de tutelle l'y autorise) ni pour payer un avocat afin de défendre ses droits et ben y ferme sa gueule..[troll] ou il pond du C/C++/C# sans commentaires, avec des fonctions complexes, et il garde ses sources bien au chaud [/troll]

j'ai une solution alternative en php mais qui n'est pas gratuite, il s'agit de zend encoder, en effet, il te transforme un .php en un autre .php mais celui la "compile" donc impossible d'en extraire la source. au niveau execution, le moteur zend s'occupe du depackage. l'inconvenient est que forcement, si tu modif ta src, il faut recompiler, l'avantage c'est que ca remplit exactement ce que tu veux faire.

au niveau prix, je sais plus, jettes un oeil.

je l'ai fait pour une appli chez un client et le resultat est nikel