Après avoir recherché de nombreux logiciels de codage/cryptage, je suis arrivé à la conclusion qu'aucun d'entre eux ne peut protéger vos codes sources contre les tentatives de rétro-ingénierie.
Même iOncube et Zend ont des décompilateurs. J'ai même essayé safeguardian mais j'ai découvert qu'il peut aussi être craqué. La plupart des logiciels qui ne nécessitent pas d'installation préalable du côté serveur font de l'obscurcissement de nos codes sources. En appliquant d'énormes efforts sur ces codes obfusqués, il est toujours possible de les craquer.
Je suis donc arrivé à la conclusion que si je distribue seulement une partie du code source sur les machines de mes clients et que pour obtenir le reste du flux, le client envoie une requête à mon serveur. Ainsi, à ce moment-là, je peux reconnaître l'authenticité du client et choisir de fournir ou non les autres données requises.
Je pense que pour ce flux, le client devra d'abord obtenir une clé API ou quelque chose comme ça pour faire des demandes à mon serveur. Corrigez-moi si je me trompe, mais il est préférable d'utiliser le modèle client-serveur Oauth ou quelque chose du genre.
Quelqu'un peut-il me fournir un exemple d'un tel mécanisme ? Ou au moins par où je dois commencer ? Je comprends que les rétro-ingénieurs peuvent trouver une voie parallèle pour les codes manquants, mais je pense que je peux tenter ma chance là plutôt que de simplement obfusquer mes codes ou de crypter le code d'octet fourni par zend, ioncube, etc. etc. Toute aide sera fortement appréciée.
P.S. J'ajoute un exemple de ce que je recherche Par exemple Disons que le fichier php suivant se trouve sur la machine du client : client.php
<?php
get_further_data($consumer_key,$consumer_secret)
{
----this will send request to server.php or so on my server with above keys to obtain $req----
}
some_function($req)
{
if($req)
{
----further processing on $req----
}
else die();
}
?>Voici le fichier sur mon serveur : server.php
<?php
get_requests($consumer_key,$consumer_secret)
{
----if the requesting host is valid and keys are binded to that host only then provide $req----
}
?>Je ne connais pas ce mécanisme, mais quoi qu'il en soit, je ne l'ai pas spécifié dans les exemples ci-dessus. Je suppose que RSA et oauth et toutes ces choses sont vraiment quelque chose de prometteur. Et oui, tout ceci est juste pour protéger quelques codes php et quelques données Si vous pensez que c'est un peu trop, alors je dois avoir un goût beaucoup plus élevé ou peut-être que facebook, google, twitter ont également fait un peu trop pour protéger quelques codes et quelques données. A la vôtre ! lol
