Répondre à la discussion
Affichage des résultats 1 à 7 sur 7

Protéger le code php contenu dans un serveur installé chez un client



  1. #1
    mayonaise

    Protéger le code php contenu dans un serveur installé chez un client

    Bonjour à tous,

    Je travaille dans une entreprise qui fait de la prestation de services sur Internet. On a développé un beau code php qui traite à distance les données de nos clients et ces derniers s'abonnent à notre service et ne se soucient pas de l'installation chez eux, on s'occupe de tout sur le site web et ils accèdent à l'appli qui gère leurs données depuis un navigateur. De notre côté, nous rentabilisons le gros travail de programmation effectué en proposant le service en location. Notre code n'est pas particulièrement innovant, mais nous aimerions protéger la longue analyse fonctionnelle ayant abouti à l'élaboration de ce dernier. Pour le moment, nous n'avons pas vraiment de problème, notre code est hébergé sur un serveur distant, mais cela oblige nos clients à envoyer leurs données sur Internet et certains font un blocage et demandent l'installation d'un serveur chez eux auquel ils accèderont par le réseau interne ou VPN.

    Ça nous pose un problème car le php est un langage interprété et donc visible en clair pour qui sait utiliser un explorateur de fichiers et un éditeur de textes. J'ai bien vu des solutions du genre zenguard, mais nous n'avons pas énormément de demandes pour le moment et la coût de cette solution est prohibitif par rapport au tarif auquel nous comptons vendre notre appli. Nous ne souhaitons pas non plus la redévelopper. Ma question est donc la suivante :

    Peut-on sécuriser l'accès aux fichiers d'un serveur (Linux ou Windows, notre appli est par sa nature multiplateforme) de manière à ce qu'ils ne soient accessibles que par le serveur (par exemple un serveur LAMP avec des droits root), y compris si le disque est démonté et installé sur un autre PC dont le client disposerai de droits en lecture root sur le systeme d'exploitation du nouveau PC ?

    Quelle autre solution est envisageable (en sachant que nous fournirrons le PC serveur qui pourra donc être sécurisé)?

    Merci de votre aide,
    Mayonaise

    -----

    Impose ta chance, serre ton bonheur, va vers ton risque.
    A te regarder ils s'habitueront. ♂

  2. Publicité
  3. #2
    invite765732342432
    Invité

    Re : Protéger le code php contenu dans un serveur installé chez un client

    Plusieurs solution me viennent à l'esprit, dont certains dans le genre bidouillage...
    Reste à voir à quel point tu souhaites sécuriser le code.
    Normalement, d'un point de vue légal, les entreprises ne peuvent pas s'accaparer ton code. Il n'y a donc pas besoin d'une grosse sécurisation normalement.

    - le coup des droits, pourquoi pas, d'autant que tu peux bloquer le démontage des disques (ou y mettre un scellé).
    - si c'est le fonctionnel que tu souhaites protéger, tu peux créer une moulinette qui modifie tous les noms de variable (uniquement dans la version que tu livres) et transforme les "$ComptageDuNombreDePages" en "$A23ty", le code serait ainsi quasi-inmaintenable par l'entreprise
    - progval, sur un autre fil, avait parlé de "HipHop" qui transforme le PHP en C++
    - transformer ton code en un PHAr (je viens de découvrir) pourrait le protéger des simples coups d'oeil => http://fr.php.net/manual/fr/book.phar.php

    Ou bien un mix de ces solutions...

    Mais c'est effectivement un peu compliqué de sécuriser à 100% ton code PHP.

  4. #3
    mayonaise

    Re : Protéger le code php contenu dans un serveur installé chez un client

    Bonjour, je remet le post sur le tapis même si les solutions proposées précédemment, quoique efficaces, ne me semblent pas adaptées. Je comprend bien que notre code n'a rien d'exceptionnel et nous souhaitons surtout protéger l'analyse qui nous a ammené à faire certains choix. A cet effet, je comprend bien que ce code "obfusqué" sera suffisamment protégé puisqu'il faudrait faire passer autant de temps à un programmeur pour faire de la rétroingénierie de ce dernier qu'il ne nous en faut pour faire cette analyse. Mais il peut être simplement copié et obfusqué ou pas c'est un vrai problème pour nous. Donc, je cherche un "boitier" qui ferait office de serveur web gérant des codes PHP (et voire même une base SQL) mais sans interface graphique, ni même ligne de commande. Une boite avec une prise d'alim et une prise Ethernet, c'est tout ! Est-ce que ça existe ? Tout ce que je vois, ce sont les nettops qui font très bien le rôle de boîte, mais qui sont trop ouverts pour nous (par exemple, la mémoire devra de préférence être de la mémoire flash afin de demander au "hackeur" de la déssouder et de risquer de l'endommager pour pouvoir la lire, un simple disque à débrancher et rebrancher n'assure pas de protection suffisante).

    Me fais-je comprendre ?

    Merci de votre aide,
    Mayonaise
    Impose ta chance, serre ton bonheur, va vers ton risque.
    A te regarder ils s'habitueront. ♂

  5. #4
    Dormeur74

    Re : Protéger le code php contenu dans un serveur installé chez un client

    Pourquoi ne pas placer côté client un frontal compilé (en C, par exemple) et une base quelconque derrière ? Le client a les identifiants correspondant à la machine sur laquelle l'interface a été installée et peut utiliser sa base de données sans avoir à se connecter.
    Je n'ai probablement pas tout compris, car c'est la solution qui me paraît la plus simple.

  6. #5
    lou_ibmix_xi

    Re : Protéger le code php contenu dans un serveur installé chez un client

    un simple disque à débrancher et rebrancher n'assure pas de protection suffisante
    Chiffrer la partition hébergeant ton code ne conviendrait pas?

  7. A voir en vidéo sur Futura
  8. #6
    polo974

    Re : Protéger le code php contenu dans un serveur installé chez un client

    Tu montes une machine virtuelle avec cryptage du disque dur, tu mets ton serveur web dedans, tu gardes les droits d'accès, et tu envoies...

    Eux, ils posent ta machine virtuelle dans un de leurs serveurs (à la limite, un petit travail de config réseau) , ils la démarrent, et roule...

     Cliquez pour afficher
    Daudet, tu vas nous manquer...

  9. Publicité
  10. #7
    Dormeur74

    Re : Protéger le code php contenu dans un serveur installé chez un client

    Chiffrer la partition hébergeant ton code ne conviendrait pas?
    Par .htaccess ?

Sur le même thème :

Discussions similaires

  1. Echange client-serveur : fonctionnement
    Par Harmz0 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 16
    Dernier message: 22/09/2011, 12h17
  2. erreur dans le code client FTP
    Par jyda dans le forum Programmation et langages, Algorithmique
    Réponses: 18
    Dernier message: 24/01/2011, 18h03
  3. client - serveur sous builder
    Par LTHOMAS dans le forum Logiciel - Software - Open Source
    Réponses: 0
    Dernier message: 04/06/2008, 15h41
  4. Client/serveur
    Par tariq_qui dans le forum Internet - Réseau - Sécurité générale
    Réponses: 3
    Dernier message: 30/01/2007, 19h11
  5. Architecture Client/Serveur
    Par Atipoutou dans le forum Internet - Réseau - Sécurité générale
    Réponses: 2
    Dernier message: 22/04/2004, 13h18