Jak w temacie do tej pory korzystałem z confusera ale z tego co wiem znalazł się jeden z drugim który pogrzebał i złamał moją apke, więc chce ją zabezpieczyć czymś innym/lepszym. Od razu podam, że nie zależy mi na tym aby była darmowa ale też jeśli ktoś coś ma to jednak proszę nie wypisywać mi tych po 200$ za licke bo to trochę za dużo tym bardziej, że chodzi o zabezpieczenie jednej apki którą robię hobbystycznie po godzinach.
Serio nikt z was nie zabezpiecza kodu? O.o
Trochę żart/off-topic, ale zawsze możecie zatrudnić zewnętrzną firmę z Indii.
Na tej liście są nazwy różnych obfuscatorów i program, który ponoć deobfuscuje http://de4dot.com/
U mnie w firmie używamy .NET Reactor i jak do tej pory nie mieliśmy żadnych problemów (a przynajmniej nie jesteśmy ich świadomi :D). Licencja kosztuje z tego co widzę niecałe 200$ bo 179$ więc w sumie spełnia kryteria :P
confuser należy do jednych z najlepszych, wiec jak komuś się chciało złamać nim zabezpieczona aplikacje to pewnie sobie poradzi także z innymi ...
neves napisał(a):
confuser należy do jednych z najlepszych, wiec jak komuś się chciało złamać nim zabezpieczona aplikacje to pewnie sobie poradzi także z innymi ...
Na stronie podają, że ostatnia wersja wyszła 2012, w necie znalazłem co najmniej 3 aplikacje które cofają zmiany confusera.
nie da się cofnąć zmian obfuscatora bo jego główne zadanie to zmiana nazw parametrów, metod itp na nic nie mówiące - żeby to cofnąć trzeba inteligentnego bytu który odgadnie działanie kodu
nie trzeba też jakiegoś wymyślnego obfuscatora - powyższe zmiany nawet bez dodatkowych utrudnień wystarczająco zniechęcają do analizy kodu, no chyba że jest w nim zaszyty niezwykle cenny i nieopisany nigdzie algorytm w co wątpię ;)
a tak w ogóle to trzeba mieć wysokie mniemanie o sobie żeby myśleć że komuś się będzie chciało zaglądać do Twojego kodu; aplikacje po kilkadziesiąt tysięcy od licencji są wypuszczane bez żadnej obfuskacji - to nie kod jest cenny tylko jego utrzymanie
Pijany Lew napisał(a):
a tak w ogóle to trzeba mieć wysokie mniemanie o sobie żeby myśleć że komuś się będzie chciało zaglądać do Twojego kodu
albo po prostu się go wstydzić ;)
Pijany Lew napisał(a):
Pijany Lew napisał(a):
a tak w ogóle to trzeba mieć wysokie mniemanie o sobie żeby myśleć że komuś się będzie chciało zaglądać do Twojego kodu
albo po prostu się go wstydzić ;)
Powiem tak, jest to kod antycheata nad którym pracuje łącznie już 3 lata po godzinach i uwierz są osoby które zrobią wszystko by to obejść szczególnie że za zwycięstwa są odpowiednie nagrody.
Nigdzie nie opisanego algorytmu tam nie ma ale są wrażliwe rzeczy typu zaszyfrowana informacja wysyłana na serwer wrazie wykrytych anomalii w logach danej osoby. Oraz same algorytmy zabezpieczające które z chęcią by wyłączyły dane osoby. Pewnie się spytasz skąd wiem, ze działa u kogoś na komputerze, a no stąd że ta apka na bieżąco śle zaszyfrowane dane na serwer.
Jak zrobią wszystko, żeby go obejść to go obejdą ;). Obfuskacja w C# jest mało efektywna, sprawa trochę lepiej wygląda przy natywnych aplikacjach;
Zawsze możesz spędzisz kolejne 3 lata na pisanie swojego obfuskatora ;)
Co to za gra?
mr_jaro napisał(a):
neves napisał(a):
confuser należy do jednych z najlepszych, wiec jak komuś się chciało złamać nim zabezpieczona aplikacje to pewnie sobie poradzi także z innymi ...
Na stronie podają, że ostatnia wersja wyszła 2012, w necie znalazłem co najmniej 3 aplikacje które cofają zmiany confusera.
ja tu widzę ostatnią wersję z zeszłego roku:
https://github.com/yck1509/ConfuserEx/releases
mr_jaro napisał(a):
Serio nikt z was nie zabezpiecza kodu? O.o
A jaki to ma sens?
Jedyne co możesz zrobić to zaciemnić nazwy zmiennych, metod, klas ale jak komuś będzie zależało to i tak rozpracuje. Do tego dochodzą problemy z debugowaniem błędów.
Inne metody ingerujące w kod, zmniejszając wydajność oraz narażają na trudne do wykrycia błędy. JIT ma nieraz duże problemy z obsługą takich bubli. W aplikacjach biznesowych nie do przyjęcia.
Dla hardcorów zostają maszyny wirtualne z wbudowanymi mechanizmami kryptograficznymi ale one zawsze są parę lat za .NET i nie są aż tak dobre i wydajne. W Javie jest parę fajnych maszyn wirtualnych ale żadna nie skupia się na zaciemnianiu kodu.
Z tego, co zauważyłem to bardzo mało firm stosuje obsfukację. Głównie robią to firmy piszące aplikacje dla finansów ale tylko cześć kodu jest zaciemniania i tylko przy użyciu podmiany nazw. Resztę można śmiało dekomponować i analizować. Zdziwilibyście ile ogromnych systemów informatycznych jest pisanych w ojczystych językach (tzn. nazwy zmiennych, metod, klas).
dotnerd napisał(a):
Zdziwilibyście ile ogromnych systemów informatycznych jest pisanych w ojczystych językach (tzn. nazwy zmiennych, metod, klas).
To serio jest się czym chwalić. Świadczy to "profesjonalizmie" tychże firm.
Odświeżę temat - czy w dzisiejszych czasach, kiedy na githubie istnieje de4dot, jest w ogóle jakiś większy sens zaciemniania kodu?
Tak, ale płatnymi porządnymi apkami.
mr_jaro napisał(a):
Tak, ale płatnymi porządnymi apkami.
A które są te porządne? Pytam poważnie. Bo na razie to wiem, że wtopiłbym kasę w Reactora (co prawda wersja trial, ale de4dot nawet się nie zająknął).
Najlepiej zatrudnić paru seniorów z doświadczeniem 10 x jeden rok.
Dajcie to ambitnemu seniorowi który po 6 latach pracy w jednej firmie, dalej uważa że upychanie 20 repozytoriów w kontrolerze jest ok.