ci sono situazioni tipo le quali dopo 6 mesi di lavoro su un software da fastidio doverlo dare in blocco cosi com'è col rischio, anche vago, che qualcuno possa scaricarlo ... modificarlo ... ecc ecc eccOriginariamente inviato da FinalFantasy
questo nn va contro l'open source? E' un po come se i creatori di php facessero lo stesso con il loro codice...
Questo programma è one-way?
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
@FinalFantasy
semplicemente ci sono gia' diversi software che fanno quello che sto' tentando di fare io ... a differenza di questi che sono per altro a pagamento io sto' cercando di farne uno funzionante ( gli applicativi che questo mio programma mi ha parsato , SafeGuard e tanti altri non ci sono riusciti ... )
... quindi non vedo il perche' di tutti questi tuoi dubbi sul contro open source, a cosa serve, etc etc
insomma non sono un pirata, voglio solo creare qualcosa di utile
@daniele
il wrapper ... non leva molto ... ok, hai idea di quante funzioni ci sono in PHP ??? ... cosa faccio per ogni funzione mi checko i parametri le ricreo tutte , le schiaffo in un file a parte e lo includo_once sempre e comunque in ogni file parsato ??? ... suvvia, trovi quel file, lo apri hai tutti i replace del caso per sapere cosa fa l' applicativo, in fondo e' solo un offuscatore, non e' un compilatore, sara' sempe possibile per i medio esperti risalire allo script
@piero
non so cosa tu abbia fatto per avere una funzione cn un nome e un file con un altro, ti dico solo che ovviamente non puoi parsare un file alla volta, se devi offuscare piu' di un file usi recoursive e in teoria non puo' esistere quella casistica ... pero' in teoria
Comunque sia, rsolto il problema del charset di default, era ASCII e proprio per uesto dava problemi, adesso parsa tutto in latin-1 e teoricamente il problema delle lettere accentate dovrebbe essere svanito, ora attendo un riscontro per eventuali altri problemi
Grazie
http://www.devpro.it/remove_phpcomments/ <-- in fondo, RC2
hai detto che non encoda le funzioni di php di default giusto? ecco ... quindi vuol dire che hai un elenco completo@daniele
il wrapper ... non leva molto ... ok, hai idea di quante funzioni ci sono in PHP ??? ... cosa faccio per ogni funzione mi checko i parametri le ricreo tutte , le schiaffo in un file a parte e lo includo_once sempre e comunque in ogni file parsato ??? ... suvvia, trovi quel file, lo apri hai tutti i replace del caso per sapere cosa fa l' applicativo, in fondo e' solo un offuscatore, non e' un compilatore, sara' sempe possibile per i medio esperti risalire allo script
bene tieni una seconda lista contenente il nome della funzione non crittata, il nome della funzione crittata ed infine il numero di parametri, onde evitare di avere la stessa funzione con un numero di parametri diverso
quello che dici è ovvio, però complica ancora di !
Alla fin fine lo script è sempre composto di funzioni di php ... se non "scambrli" pure quelle ... la lettura e comunque quasi banale ... infatti all'interno di una ipotetica funzione per ridimensionare le immagini, il codice non toccato sarà praticamente tutto a parte il nome delle variabili ... che per carità è tanto ... ma è tanto x uno che è veramente alle prime armi, xche uno che non lo è se lo mette davanti lo stesso, va 2 secondi di replace, e si sistema i nomi delle variabili ... e buona notte ... mentre in quel modo sarebbe più difficile xche le funzioni usate sono pure codificate quindi non si capirebbe na mazza ^^
inoltre molti offuscatori java creano ad esembio delle variabili, copiano il contenuto, magari per riferimento onde evitare problemi di funzionamento, e poi usano un poco l'uno ed un poco l'altra ...
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
per scramblare pure quelle devo implementare un generatore non volatile di stringhe, poiche' hashando basta un programma da 3 righe e la lib reversata che le ritrovi lostesso.
Per ora vorrei renderlo utilizzabile, poi le aggiunte eventualmente le valuto e le implemento ma finche' non sono certo che funzioni in questo modo non mi sento di implementare altro ( 1 problema alla volta , sono migliaia di righe e non ho tutto questo tempo da starci dietro ... )
Comuqneu, alla fine, se uno vuole stare sicuro non puo' usare un offuscatore, che sia questo o che sia altro, deve usare un compilatore.
Inizialmente avevo optato per sfruttare il bcompiler del php ma "fa pena" e rallenta notevolmente il codice con aggiunta di informazioni completamente superflue ( path usato nel sorgente, versioni in stringa ... boh, delle cose imho senza senso ).
Questo se mai funzionera' sara' una alternativa gratuita agli altri offuscatori in commercio che per 50$ o piu' mi hanno fatto solo perdere tempo poiche' non andavano
Detto questo, lo sviluppo di APC sta' andando avanti in modo consistente, quando sara' finito non ci sara' piu' bisogno di niente, si compila con APC e fine dei problemi, addio e-Accelerator, addio Zend Encoder
P.S. mi dite se l' RC2 va oppure no ? grazie
@andr3a: l'idea sembrerebbe buona. Se posso darti un consiglio, non è meglio hashare le funzioni/variabili in modo che in futuro posso riportare lo script com'era prima? mi spiego meglio...potresti mettere nel tuo programma un'opzione di questo tipo:
Usa MD5 come offuscatore (one-way)
Usa offuscatore con chiave privata: <immisione chiave privata)
uno mette la chiave e così puoi codificare tutto e (in futuro) decodificare tutto usando quella chiave...
Non so chi di voi ha mai usato PGP, ma funzionava + o - così
escludendo che sia andato a LOURDES...Originariamente inviato da andr3a
@piero
non so cosa tu abbia fatto per avere una funzione cn un nome e un file con un altro, ti dico solo che ovviamente non puoi parsare un file alla volta, se devi offuscare piu' di un file usi recoursive e in teoria non puo' esistere quella casistica ... pero' in teoria
Ti metto l'inizio di uno dei file che mi fa errore.
Come vedi la funzione retrieve_photo() e' rimasta normale, mentre nelle funzioni viene offuscata. Se fai copia incolla credo succedera' pure a te.codice:<?php session_start(); if(!isset($_GET['photoID'] ) OR $_GET['photoID'] == '' ) { header("location: ../menu/check.php"); exit(); } isset($_GET['type']) ? $_GET['type'] : $_GET['type'] = ''; isset($_GET['from']) ? $_GET['from'] : $_GET['from'] = '' ; include "album_config.inc.php"; // Visualizza la foto scelta $photoQueryResult = retrieve_photo($_GET['photoID']); $num = mysql_num_rows($photoQueryResult); ?> il risultato e' il seguente: <?php session_start(); if(!isset($_GET['photoID'] ) OR $_GET['photoID'] == '' ) { header("location: ../menu/check.php"); exit(); } isset($_GET['type']) ? $_GET['type'] : $_GET['type'] = ''; isset($_GET['from']) ? $_GET['from'] : $_GET['from'] = '' ; include "album_config.inc.php"; $__c7d94000ef495fb3bca19ee53ea32ce3 = retrieve_photo($_GET['photoID']); $__0fc3cfbc27e91ea60a787de13dae3e3c = mysql_num_rows($__c7d94000ef495fb3bca19ee53ea32ce3); ?>
Ho provato molte volte sia singolarmente che con recoursive. Ti ho messo l'inizio del file, ma anche con la sola riga con retrieve_photo() non va.
Non ho provato ancora il nuovo che hai postato.
E' mia opinione che il tuo programma "soffra" di prove su un codice ben formato e senza troppe eccezioni. Tu scrivi codice pulito e sul tuo script funziona. E poi usi un numero finito di algoritmi, tuoi o di sistema che forse altri non usano, ma usano modi diversi.
Le prove le faccio diversamente. Prendo script perfettamente formati, altri casuali, altri ancora sono copia/incolla di post sul forum. Altri sono open source rivisti e rimaneggiati (leggi incasinati). Deve andare senza alchimie.... tipo l'opzione la metto prima o dopo, rimane in memoria o meno.... lo devo ricaricare o no...
Non esistono cose a prova di stupido, lo stupido ha piu' fantasia di te. [murphy]
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
gay ... quando generi l'md5 ci aggiungi uno uniqid e ti sei appena risolto il problema .....Originariamente inviato da andr3a
per scramblare pure quelle devo implementare un generatore non volatile di stringhe, poiche' hashando basta un programma da 3 righe e la lib reversata che le ritrovi lostesso.
APC non mi piace proprio per niente ... c'è eAccelerator che è decisamente MEGLIO e oltre tutto offusca pure (xche bytecompila e non c'è ancora disassembler)Per ora vorrei renderlo utilizzabile, poi le aggiunte eventualmente le valuto e le implemento ma finche' non sono certo che funzioni in questo modo non mi sento di implementare altro ( 1 problema alla volta , sono migliaia di righe e non ho tutto questo tempo da starci dietro ... )
Comuqneu, alla fine, se uno vuole stare sicuro non puo' usare un offuscatore, che sia questo o che sia altro, deve usare un compilatore.
Inizialmente avevo optato per sfruttare il bcompiler del php ma "fa pena" e rallenta notevolmente il codice con aggiunta di informazioni completamente superflue ( path usato nel sorgente, versioni in stringa ... boh, delle cose imho senza senso ).
Questo se mai funzionera' sara' una alternativa gratuita agli altri offuscatori in commercio che per 50$ o piu' mi hanno fatto solo perdere tempo poiche' non andavano
Detto questo, lo sviluppo di APC sta' andando avanti in modo consistente, quando sara' finito non ci sara' piu' bisogno di niente, si compila con APC e fine dei problemi, addio e-Accelerator, addio Zend Encoder
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
piero e' logico, il file album_config.inc.php che penso sia quello con la funzione deve essere parsato assieme al file che mi hai postato .Originariamente inviato da piero.mac
Ho provato molte volte sia singolarmente che con recoursive. Ti ho messo l'inizio del file, ma anche con la sola riga con retrieve_photo() non va.
Se quello lo parsa e questo no vedo un attimo la regexp anche se mi sembra strano perche' a me le funzioni esterne le fa senza problemi, se invece quel file non c'e' o e' da un' altra parte e non e' incluso nella lista dei files da parsare e' impossibile che ti cambia quella funzione poihce' non la riconosce come funzione dichiarata e quindi, per evitare problemi con le implementazioni o funzioni future, la lascia intatta.
In pratca e' una feature, spero sia per la mancanza del file che non va, fammi sapere, grazie
sto' in Python danie' ... mica lo so se esiste la uniqueidOriginariamente inviato da daniele_dll
gay ... quando generi l'md5 ci aggiungi uno uniqid e ti sei appena risolto il problema .....
anche APC bytecompila, accelera e offusca ... APC e' l' alternativa Open Source implementata nel core di PHP che ancora non riesco a testare in windows ma che dovrebbe andare molto bene.Originariamente inviato da daniele_dll
APC non mi piace proprio per niente ... c'è eAccelerator che è decisamente MEGLIO e oltre tutto offusca pure (xche bytecompila e non c'è ancora disassembler)
La 3.0.4 infatti dicono vada su win32 ma io non sono riuscito ad instllarlo, o melgio, parte ma mi crasha apache 2
ho provato ad offuscare uno script e sembra funzionare, però ho notato che il vettore GLOBALS non viene offuscato, cioè:Originariamente inviato da andr3a
P.S. mi dite se l' RC2 va oppure no ? grazie
$GLOBALS['ciao']
sarebbe carino che ciao venisse offuscato, basta però che i vettori POST e GET nn vengano toccati
le super globali non sono offuscate, servirebbe un wrapper come dice daniele ma se mai ci sara' arrivera' dopo aver appurato che l' offuscatore funziona.Originariamente inviato da FinalFantasy
ho provato ad offuscare uno script e sembra funzionare, però ho notato che il vettore GLOBALS non viene offuscato, cioè:
$GLOBALS['ciao']
Quindi:
$GLOBALS
$_GET
$_POST
$_SESSION
$_COOKIES
$_ENV
$_SERVER
$_FILE
e chi piu' ne ha piu' ne metta, non vengono cambiate.
non e' pensabile / possibile offuscare le stringhe, non c'e' criterio per valutarle se non escluderle, lavorare sul resto, rimetterle.Originariamente inviato da FinalFantasy
sarebbe carino che ciao venisse offuscato, basta però che i vettori POST e GET nn vengano toccati
Le stringhe sono una paranoia allucinante perche' ciao potrebbe essere
$ciao
$$ciao
define('ciao', 'ciao');
function ciao
class ciao
"{$ciao}"
'{$ciao}'
altro
le stringhe possono contenere code evaluation, su preg_replace come su eval e allo stesso tempo possono essere formate da concatenamento di stringhe.
Implementare un wrapper per ogni stringa significherebbe aumentare il peso dell' applicativo di 10 volte, rallentando e appesantendo troppo inutilmente apache, troppo inutilmente perche' come gia' detto questo e' un offuscatore, non la sicurezza fatta a script, per quella ci sono i compilatori di bytecode
Permessi di invio
Rispondi quotando