Autor Wątek: Bezpieczenstwo kodu.  (Przeczytany 12773 razy)

Offline pburczyn

  • Użytkownik

# Październik 02, 2007, 14:23:40
Witam

Wiem że na topik już dawno nikt nie odpowiedzial, mimo to może komuś sie przydać.

Istnieje coś takiego jak .NET Reactor, wszystkie wymagane informacje na jego temat znajdziecie na stronce producenta http://www.eziriz.com/.

Ze swojej strony mogę dodać iż kiedyś poświeciłem na szukanie podobnego typu aplikacji parę dobrych tygodni i w końcu wybór padł na ten, programik jest bardzo prosty w obsłudze i w porównaniu do innych jest naprawdę tani, nie całe 200$. Używam go do zabezpieczania komercyjnych aplikacji .NET'owych

Offline Mr. Spam

  • Miłośnik przetworów mięsnych

RageX

  • Gość
# Październik 02, 2007, 19:03:42
W c# przecież refactoring masz od ręki.

Offline Esidar

  • Użytkownik

# Październik 02, 2007, 20:17:38
W c# przecież refactoring masz od ręki.
Refactoring nie zabezpiecza kodu :) To jest mechanizm edytora do automatycznego zmieniana nazw metod, klas, wyciągania fragmentów kodu do metod itd.

Co do pytania:

VS2005 ma wbudowany Dotfuscator, nie wiem na ile się sprawdza, nigdy się nie przejmowałem zabezpieczaniem kodu. Każdy kod można zreversować, bo toole są do wszystkiego. A używanie takich zamącaczy kodu tylko przysporzy autorowi problemów, bo haker nie będzie miał z tym żadnych :)

RageX

  • Gość
# Październik 02, 2007, 21:31:41
Haha...  :D
Nie pisze o zabezpieczaniu kodu przecież, a o ręcznym odszyfrowywaniu tego kodu z obfuscatora.
W visual Studio C# masz refaktoryzację na wysokim poziomie... nie potrzeba żadnych pluginów itp.

Offline pburczyn

  • Użytkownik

# Październik 03, 2007, 00:57:38
Jakbyście zajrzeli na stronkę i przeczytali 2 akapit od góry, to wiedzielibyście o co chodzi. To nie jest żadne obfuskator!

Fragment ze stronki:
In contrast to obfuscators .NET Reactor completely stops any decompiling by mixing any pure .NET assembly (...) with native machine code. (...) The result is a standard Windows based, not MSIL compatible, file.

RageX

  • Gość
# Październik 03, 2007, 01:16:15
no ja przyznaje... chciałem tylko zwrócić uwagę na możliwości refaktoryzacji w VS C#. Bo w postach tuż przede mną, po prostu o tym zapomniano.

Offline maly rekinek

  • Użytkownik

# Sierpień 12, 2008, 23:41:20
mam pytanie - czy te wyciągacza kodu działają również do stron ASP.NET ?
« Ostatnia zmiana: Sierpień 12, 2008, 23:44:14 wysłana przez maly rekinek »

Offline Dab

  • Redaktor
    • blog

# Sierpień 13, 2008, 00:07:44
Niby jakim cudem?

Offline Xion

  • Redaktor
    • xion.log

# Sierpień 13, 2008, 10:46:44
Strony ASP.NET są wykonywane po stronie serwera, a do klienta leci już gotowy kod HTML. Więc przez HTTP się do nich nie dobierzesz. To samo dotyczy wszystkich technologii server-side: CGI, SSI, PHP, JSP, itp.

Offline maly rekinek

  • Użytkownik

# Sierpień 13, 2008, 11:17:34
w takim razie po co się szyfruje connectionString w web.config ?

Offline głos

  • Użytkownik

# Sierpień 13, 2008, 12:00:23
Jakbyście zajrzeli na stronkę i przeczytali 2 akapit od góry, to wiedzielibyście o co chodzi. To nie jest żadne obfuskator!

Fragment ze stronki:
In contrast to obfuscators .NET Reactor completely stops any decompiling by mixing any pure .NET assembly (...) with native machine code. (...) The result is a standard Windows based, not MSIL compatible, file.

Takie podejście jest dobre tylko na maszynach x86 z systemem Win a co z resztą? Siłą kodu .NET jest jego przenaszalność a takie zabezpieczenie 'rozwala' całą ideę. Problemem jest zabezpieczenie kodu .NET w taki sposób aby dalej po zabezpieczeniu był on w 100% zarządzany ale nieczytelny dla potencjalego 'ciekawskiego'. W tym przypadku .NET Reactor i parę innych narzędzi odpada. (Z innej beczki wg mnie podejście z 'natywną barierą' do kodów .NET jest nieporozumieniem i pójściem na łatwiznę twórców takiego zabezpieczenia)

Offline głos

  • Użytkownik

# Sierpień 13, 2008, 12:13:22
Haha...  :D
Nie pisze o zabezpieczaniu kodu przecież, a o ręcznym odszyfrowywaniu tego kodu z obfuscatora.
W visual Studio C# masz refaktoryzację na wysokim poziomie... nie potrzeba żadnych pluginów itp.

Do kodu dobrze zabezpieczenego (i dalej w 100% zarządzanego  :)) takie podejście nie sprawdzi się. Proponuję przejrzeć możliwości najnowszych fuskatorów kodu :). Stopują nawet Reflectora. Nie podaję nazw programów ale od czego jest google :)