ioncube è valido?

[-UtèñtE-]

Ho qualche domanda per chi ha già provato a criptare con ioncube... e soprattutto per i maniaci del reverse engineering che abbiano provato a decriptare...

Il sistema di criptaggio è valido?
Esiste la possibilità di decompilazione?
Esiste la possibilità di decriptare e sostituire singole stringhe?
Il sistema per rilasciare i prodotti su un singolo host o a tempo, son eludibili?

A parte dei semplici si/no, m'interesserebbe sapere il livello... ossia:
- ci vuole un hacker;
- ci vuole pazienza;
- ci son in giro decompilatori parziali;
- ci son in giro decompilatori perfetti;
- dipende dal tipo di file criptato (piccolo/grande, semplice/complesso, etc).

Ringrazio in anticipo chi mi sa rispondere in dettaglio o fornire link validi.

EDIT: non lo chiedo per decriptare codici altrui, ma per stabilire se mi possa fidare per i miei, meglio specificare.

[filippo.toso]

Ioncube, come praticamente tutti gli encode che conosco (incluso Zend), è "aggirabile". Nel senso che esistono alcuni siti web che, pagando, ti forniscono il codice sorgente a partire da un codice cryptato.

Il metodo implementato solitamente per rendere più difficile questo genere di "attacco" è offuscare pesantemente il codice prima di darlo in paso all'encoder. Solitamente questo rende più noioso il reverse engineering.

Di decompilatori parziali o totali non ne ho mai incontrati ma questo non significa che non possano esistere.

Detto ciò, prodotti commerciali da centinaia di dollari utilizzano Ioncube, Zend etc. per proteggere il codice sorgente. Anche se non è significativo dal punto di vista della sicurezza ha una valenza di carattere commerciale (es. se lo fanno altri probabilmente è una cosa abbastanza valida etc. etc.)

[-UtèñtE-]

Grazie per la risposta.

Spero ne arrivino altre perchè ho bisogno di farmi le idee chiare a proposito.

PS: ma quanto postate in questa sezione

[daniele_dll]

Ciao,

ioncube, cosi come lo zend guardian/encoder, sono prodotti molto validi, ma è impossibile realizzare un prodotto che sia in grado di bloccare qualsiasi tentativo di decodificare il codice.

IonCube, cosi come il prodotto della Zend, non fanno altro che prendere il codice PHP e pre-compilarlo, offuscandolo.

L'esecuzione del codice php pre-compilato in bytecode avviene poi tramite il componente specifico dell'esecuzione che si occupa di eseguire, tramite l'engine zend, tutte le operazioni richieste dal/dai file php.

Motivo per il quale, senza voler fare roba troppo complicata, è possibile automaticamente riconvertire il bytecode nel codice originale quasi fedelmente, dico quasi perché comunque 1 operazione di codice php non corrisponde in automatico ad un operazione nel codice bytecode. A questo si aggiunge che il codice potrebbe essere "offuscato" ovvero potrebbe essere stato riempito di funzioni poco utili ed incomprensibili, potrebberò essere stati cambiati i nomi alle variabili, alle funzioni, alle classi, alle interfacce e cosi via.

Ovviamente un bravo (molto bravo) programmatore, non ci sta poi molto a capire che fa il codice anche se la leggibilità è bassa, però queste tecniche bloccano la maggior parte delle persone che vogliono far danni

[-UtèñtE-]

Quindi si tratta di un compilatore in effetti, non di un criptatore come lo pubblicizzano... comunque da quello che dite, se il valore del prodotto non è troppo elevato, non vale la pena di cimentarsi in un reverse engineering troppo complicato, quindi secondo i casi può essere un'ottima soluzione per distribuzioni su licenza, basta ridondare un po' i controlli.