[PHP] Offuscare il codice PHP

[lostinflower]

Salve a tutti, da qualche giorno uno studio per il quale lavoro ha deciso che tutto ciò che verrà creato che contiene PHP deve essere offuscato, per mettersi al riparo da eventuali perdite di guadagni, e collaboratori poco seri... :master:

Sono rimasto perplesso, in quando, -secondo il mio modo di vivere- il cliente chiede, paga e quello che viene creato o riciclato è suo e fine del discorso.

Per lo studio presso dove lavoro, ovviemente visto che si deve guadagnare il più possibile spendedo sempre meno, invece di avere un server e gestirlo via studio, si registrano i domini su qualsiasi tipo di host dove si uò risparmiare, e fortunatamente, da un po' di tempo a questa parte si è scelto Aruba, che nonostante il costo basso, ha una serie di caratteristiche che ti permette di lavorare bene.

Ho fatto una ricerca per trovare dei prodotti commerciali per offuscare il codice PHP e mi sono soffermato su SourceGuardian che è multipiattaforma, sembra semplice da usare e il costo non mi sembra esorbitante.

Qualcuno di voi lo usa / l'ha usato?

Pregi / Difetti?

Non ho preso in considerazione prodotto free per via del fatto che spesso sono solo Win, o per Linux oppure non c'è abbastanza documentazione.

Se conoscete prodotti validi che possono essere usati su Win, Linux e Os X, suggerite pure!

Scusate per il lungo post e le domande a raffica.

[andr3a]

Originariamente inviato da lostinflower
Sono rimasto perplesso, in quando, -secondo il mio modo di vivere- il cliente chiede, paga e quello che viene creato o riciclato è suo e fine del discorso.

se il cliente è disposto a pagare un sovrapprezzo per appropriarsi dei sorgenti e voi disposti a perderli ... invece di clienti furboni ce ne sono fin troppi, fidati che il tuo boss ha scelto bene.

... e a tal proposito, perchè spendere? bcompiler, e vivi più sereno

[lostinflower]

Ciao, e grazie andr3a per l'indicazione e il consiglio.

Credo che se il capo vuole "offuscare" useremo SourceGuardian.

...poi se farai una versione per Mac OS X del tuo "offuscatore" useremo il tuo!

[andr3a]

azz ... e bcompiler niente?
bcompiler non offusca, byteencoda ... notoriamente più difficile da ricreare ma se avete scelto SourceGuardian un motivo ci sarà ... ecco, mi piacerebbe conoscerlo

Originariamente inviato da lostinflower
...poi se farai una versione per Mac OS X del tuo "offuscatore" useremo il tuo!

in realtà è tutto scritto in python quindi non ricordo nemmeno perchè avevo fatto l'eseguibile solo per winzozz ... forse che avevo usato un linguaggio M$? ... ci penserò, io stesso non lo uso da un pò di tempo ed ho imparato a mettere clausole chiare nei contratti con i miei clienti



P.S. ricorda che rinominare le variabili non è così difficile, gli offuscatori fanno questo, mascherano nomi parametri/funzioni ... un byteencoder fa di più

[lostinflower]

Scusa il ritardo nella risposta, mi sono preso qualche giorno di riposo... dalla rete! :-)

bcompiler al momento è ancora in "fase di sviluppo" (passami il termine), ed in alcuni casi si deve intervenire sul file di configurazione del sistema, tieni presente che non abbiamo un server in casa, ma vengono usati server di Aruba e di altre aziende simili. Ricorda sono a Genova, ed il capo non ha il braccino corto, non ha nemmeno la pretuberanza della mano!!!

Uno dei motivi di scegliere un offuscatore o qualcosa di simile è di proteggere in parte il lavoro sviluppato da quel genere di "pseudo-programmatore" che prende il tuo lavoro e lo rivende a basso costo.

Se un programmatore esperto o che fa questa professione, prende in mano il lavoro di programmazione che esce dallo studio, al massimo gli da uno sguardo per curiosità e se deve rifare il sito, scrive il codice usando le proprie conoscenze, invece, il tizio che si inventa il lavoro o va avanti modificando cms e spacciandolo per proprio lavoro, va dal cliente e con un prezzo molto allettante ti fa perdere il lavoro, e fin qui direi che oltre a benedire la situazione non fai altro.

Se invece il tuo lavoro capita in mano a un "pseudo-programmatore" ne fa man bassa e via, e spesso senza nemmeno l'accordo del cliente, poichè molti clienti non hanno idea che il tizio al quale affidano il lavoro faccia qualcosa di poco etico, alla fine si fa la solita equazione: questo cosa meno e fa la stessa cosa, per cui lo prendo!

La scelta di SourceGuardian sarà (il capo ci pensa se fare clausole oppure offuscare) è di mettersi al riparo dal "pseudo programmatore", è un sw multipiattaforma, abbastanza semplice da usare, per cui lo puoi far usare anche a chi prenderà il tuo posto e non devi mettere le mani sui file di configurazioen del server.

Probabilmente hai compilato il tuo offuscatore per M$ per fare una prova, ed essendo molto più ampio il pubblico M$ potevi verificare se c'erano errori.

Spero di non averti annoiato con il lungo post.

PS: compila per MAC e *NIX dove possibile!

[emanueledg]

Non conoscevo bcompiler.
Mi ero interessato a soluzioni pagamento come il noto ZendEncoder, che ha molte funzioni (è più che un framework), ma costa abbastanza e inoltre non si paga una tantum ma ha una fee annuale a seconda dell'offerta. VVoVe:

Questo bcompiler mi interessa parecchio, mi sto facendo installare il modulo per testarlo.
Sulla documentazione ufficiale si legge:

Tratto da PHP reference manual
AVVERTIMENTO
Questo modulo è SPERIMENTALE. Ovvero, il comportamento di queste funzioni, i nomi di queste funzioni, in definitiva tutto ciò che è documentato qui può cambiare nei futuri rilasci del PHP senza preavviso. Siete avvisati, l'uso di questo modulo è a vostro rischio.

Ci sono rischi effettivi?

Chissà se sugli hosting classici di fascia bassa è possibile che installino questi moduli aggiuntivi.
È possibile installare il modulo su PAMPA?

[andr3a]

Originariamente inviato da emanueledg
Ci sono rischi effettivi?

quel Warning sta li da circa 4 anni ... ed in 4 anni non avessero cambiato di una virgola niente se non migliorato il funzionamento

Loro ti avvertono ... ma essendo molto utilizzato dubito stravolgeranno chissà cosa se o quando diverrà un modulo ufficiale e stabile (per lo più ci sono alcuni problemi ... ma sono sempre quelli e basta sapere come evitarli, vedi il __FILE__, è per questo che non lo ufficializzano)

Originariamente inviato da emanueledg
È possibile installare il modulo su PAMPA?

su PAMPA puoi mettere quello che ti pare, giusto l'altro giorno ho scaricato lo zip PHP 5.2.4 e copiato solo i files nella cartella PHP e sovrascritto le estensioni aggiungendo anche APC ... se esiste un modulo per PHP e per Windows, PAMPA è compatibile ... non è nient'altro che un'istallazione AMP fatta a mano ... gestita dalla GUI che ne semplifica il lancio