Proteger un fichier ASP

Proteger un fichier ASP - Divers - Programmation

Marsh Posté le 30-12-2003 à 16:32:27    

Bonjour,
 
J'essaie de proteger mes fichiers ASP contre le vol du script depuis le serveur.
J'ai commencé par chiffrer le script puis pour le dechiffrer j'utilise un composant de ma fabrication.
Voici le script ASP:
 

Code :
  1. <% @LANGUAGE="VBScript" %>
  2. <%
  3.   Set objComp = Server.CreateObject("COMP1.CryptASP.1" )
  4.   decrypted=objComp.Decrypt(",³T¶Y-P~5·+Òº¢3yá [Ù­ë¡u," )
  5.   Execute(decrypted)
  6.   Set objComp = Nothing
  7. %>


 
Seulement voilà, il est possible de récuperer le code (variable "decrypted" ). Existe-t'il un moyen de se passer de "Execute(...)" ?
 
Avez-vous une autre idée ?

Reply

Marsh Posté le 30-12-2003 à 16:32:27   

Reply

Marsh Posté le 30-12-2003 à 16:55:20    

:heink:
 
t'as pas besoin de protéger ton code, il est protégé tout seul :heink:
 
Au niveau système de fichier :
1) Met les fichiers statiques (images, documents, etc.) dans un répertoire distinct
2) Met les droit en lecture uniquement à tout le site pour IUSR_nommachine
3) Me ensuite les droits pour toi en contrôle total. Vire tout les autres droits.
 
Dans IIS :
1) Supprime tous les filtres ISAPI, sauf ceux pour les extentions ASA et ASP. Surtout, supprime bien celui pour HTX, il contient un énorme trou de sécurité d'accessibilité au code !
2) Applique tous les patches de IIS (Windows Update suffira)
3) Dans le panel "répertoire de base", met "Exécuter les autorisation : Scripts seulement", et décoche "lecture" et "écriture".
4) Clique droit sur le répertoire où il y a tes images et documents. Dans le panel "répertoire de base", met "Exécuter les autorisation : Aucune", et coche "lecture" et décoche "écriture".
 
Et là, personne ne pourra lire les sources du site, y'a plus de trou de sécu utilisable.
PS: évidement, si y'a un accès FTP ou disque partagé sur le répertoire du site, faut les verrouiller à mort...

Reply

Marsh Posté le 30-12-2003 à 17:38:46    

MagicBuzz a écrit :

:heink:
 
t'as pas besoin de protéger ton code, il est protégé tout seul :heink:


 
Ce qui implique que je ne developpe que sur mon serveur... Je ne peux pas (par exemple) vendre mes scripts sans risquer le vol.

Reply

Marsh Posté le 30-12-2003 à 17:48:28    

Alors laisse béton, c'est impossible.
 
Si tu veux protéger correctement (et encore) prends VB.
 
Crée des OCX pour chaque page reprenant chacune des fonctions de tes pages, compile, et appelle les OCX depuis ton ASP.
 
ASP est interprété. A partir de là, il est forcément en clair à un moment où à un autre.
 
Même si tu encodes le code, puis qu'avec une fonction tu le décodes et l'éxécute à la volée (je te souhaite du plaisir pour la maintenance), le client aura toujours la possibilité de lancer ta fonction de décryption à la main pour récupérer ton code décrypté. C'est impossible de le protéger. La seule solution, c'est de passer par du compilé, et à ce moment, pour l'ASP, faudra passer par des activeX côté serveur (OCX s'ils sont en VB, plus facilement portable depuis ton code ASP, ou DLL si tu les fait en C++ ou autre).

Reply

Marsh Posté le 30-12-2003 à 17:49:38    

A savoir que les hébergeur qui acceptent de faire tourner des OCX ou DLL nons signés sur leurs serveurs sont extrêment rare, et souvent soit très chers, soit n'assurent aucun support. C'est donc à tes risques et périls.
Et faire signer un OCX ou une DLL par verisign ça coûte extrêment cher.

Reply

Marsh Posté le 30-12-2003 à 17:54:04    

Merci pour cette réponse. Je vais regarder ce ce côté là...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed