Protéger son travail

[crocodudule]

Salut tout le monde

J'ai une question un peu originale. Je "développe" pas mal de petites applications professionnelles (en fait, juriste de formation, les logiciels dont nous disposons sont souvent mal pensés ou des horreurs immondes, du coup il n'est pas difficile d'améliorer l'état de sous exploitation de l'informatique au quotidien dans mon domaine sans être un tueur en programmation et je sais que mes connaissances en ce domaine n'ont rien d'exceptionnelles).

Jusqu'à présent, mes softs s'exécutaient sur la machine client (vb, java...), le plus souvent gratuits (et dans ce cas libre) parfois payant (faiblement), mais là j'ai développé une petit application (en fait 3) qui m'a vraiment pris pas mal de temps, pour un résultat convaincant et qui va probablement satisfaire pas mal de monde (j'ai de très bons retours de mes béta testeurs perso.).

Naturellement, tout le boulot de dev. est fait le soir ou le WE, du coup aucune des boites où je bosse n'a la moindre propriété sur mon boulot et, si ces dernières vont en bénéficier à l'œil, je pense pouvoir penser que les boites collègues ou concurrentes vont finir par récupérer l'appli. (En l'état, j'ai déjà 500 personnes qui testent tous les jours mon appli. je ne doute pas que certains vont en parler à droite à gauche et c'est une bonne chose).

Si pour des softs exécutés sur la machine client et surtout compilés je bricole des clefs de licence, cette solution me semble peu adaptée pour une appli. web (php/mysql) même si je peux, pour la forme, ajouter un script, mais n'importe qui pourra le virer avec peu de connaissance.

J'ai donc pensé à une autre solution qui permet aux utilisateurs de vérifier facilement si le soft est légitimement utilisé. Tout simplement un lien renvoyant sur mon serveur et qui affiche le détenteur légitime de la licence utilisée en fonction de la clef saisie à l'installation. Naturellement, sur la page de mon serveur il y a le moyen de me contacter en cas de problème.

La solution n'a rien d'exceptionnelle et je ne cherche pas à faire à la chasse non plus, juste à limiter les dégâts. D'autant, que le coût de la licence (non limitée en nombre d'utilisateurs) sera dans les 20€ (le seul soft existant dans le domaine et vendu 250€ les 10 utilisateurs, merci l'absence de concurrence...).

Du coup, je me demande si la solution vous semble adaptée et, surtout, si d'après votre expérience il y a de meilleures solutions.

Merci

ps: je ne souhaite pas offusquer le code, car je veux laisser la possibilité aux utilisateurs de le modifier les choses en fonction des besoins.

[Yangzebul]

Sans rien offusquer, cela va être difficile.

Rien n'empêche l'utilisateur de retirer purement et simplement ton lien (d'autant plus que celui-ci est malhonnête).

Pourquoi ne pas prendre une fonctionnalité clé (par exemple le module de login/authentification) y ajouter une protection (clé de licence, expiration, ce que tu veux) et n'obfusquer que ce module ?

De cette manière tu aura une protection raisonnablement efficace sans pour autant verrouiller l'application puisque tu laisse toujours accès à la logique métier (ce qui tombe bien car c'est justement cette partie que l'utilisateur voudra adapter).

[crocodudule]

Sans rien offusquer, cela va être difficile.

Rien n'empêche l'utilisateur de retirer purement et simplement ton lien (d'autant plus que celui-ci est malhonnête).

Pourquoi ne pas prendre une fonctionnalité clé (par exemple le module de login/authentification) y ajouter une protection (clé de licence, expiration, ce que tu veux) et n'obfusquer que ce module ?

De cette manière tu aura une protection raisonnablement efficace sans pour autant verrouiller l'application puisque tu laisse toujours accès à la logique métier (ce qui tombe bien car c'est justement cette partie que l'utilisateur voudra adapter).

C'est une idée effectivement. Juste offusquer la "partie" protection.

Du coup, je ne me suis jamais intéressé à la question. Tu connais peut-être quelques bonnes pages sur le sujet?

Merci en tout cas pour ta suggestion.

[Yangzebul]

Pour la mise en pratique, non désolé. Je ne connais pas trop les solutions disponibles pour PHP.

[Amour]

Apparemment il y a un moteur Zend à ajouter sur la partie serveur (à moins que ce soit supporté en standard ?) afin de supporter le code chiffré.

Par contre, de plus en plus de décodeurs (illégaux) Zend existent sur internet, donc ce type de protection ne fait pas long feu, elle décourage juste certaines personnes

[crocodudule]

Oui après recherches, offusquer du php implique que le serveur dispose d'un moteur pour travailler avec, pas glop en fait.

Je pense revenir à mon idée de lien et ajouter la vérification de sa présence à l'occasion de certaines actions clefs du soft via un controle md5 que le script n'a pas été modifié.

[Shtong]

Le problème est d'accèder au script...

Si tu livre le "vérifieur" avec ton programme, il y a des chances qu'il se fasse éjecter par celui qui veut vraiment le pirater.

Si veux le verifier de l'extérieur, tu peux pas puisque tu n'y as tout simplement pas accès (ou alors au résultat interprété)

A mon avis il n'y a pas de bonne solution :/

Regarde IPB par exemple (le système de forum utilisé par PCI), je ne suis pas certain qu'il y ait de grosse protection dessus, alors qu'il s'agit d'un produit commercial assez connu.

[Yangzebul]

On peut très bien obfusquer du code sans avoir besoin de composant additionnel pour le relire.

C'est d'ailleurs le principe même de l'obfuscation.

1 ère réponse google : http://www.raizlabs.com/software/phpobfuscator/

2ème réponse google : http://pobs.mywalhalla.net/

[Amour]

Yangzebul : je comprends ce que vous voulez dire : le but étant de rendre le code fonctionnel mais illisible

Petit HS : pour AutoIt, un logiciel d'automatisations, il y a un obsfucator mais il existe aussi un logiciel non officiel qui retrouve le code original ^^

[thiiil]

Tu peux regarder du coté de zendGuard tout les serveurs (ou presque) disposant du composant zend optimizer. Sinon comme dit plus haut tu peux déplacer une partie des fonctionnalités sur ton serveur ce qui rendra la licence plus ou moins obligatoire en fonction de ce que tu déportes.

[crocodudule]

Idée intéressante mais, hélas, connaissant la fulgurance du net dans certains endroits où je bosse ca va sévèrement me pourrir la fluidité du bidule même pour un appel très bref. (Là où je bosse le mercredi, je lance une recherche google et j'ai le temps d'écrire une phrase sur Oo avant d'avoir la réponse, on a la fibre pourtant, mais il doit y avoir la 1/2 des 500 gus sur dailymotion, youtube, deezer, jiwa et probablement du p2p moyennement légal... mais le DSI fait rien...).

Pour offusquer après recherche, il y a en fait y a deux méthodes, une via moteur qui est vraiment efficace mais demande donc des paramétrages coté serveur. L'autre est peu efficace et consiste grosso modo à "mélanger" le code.

Je pense adopter la deuxième méthode pour sa simplicité et intégrer le lien permettant de vérifier la licence en joignant à la fonction le fait de vérifier la disponibilité de mise à jour, enfin, j'offusque cette partie. Après, ça n'a rien d'insurmontable mais ça me semble raisonnable.

Merci encore de vos bons conseils. :)