Zabezpečení .NET aplikace

[Fundin]

Jaky jsou moznosti v zabezpeceni softwaru v .Netu a obecne aplikaci?

[Quiark]

Já si svoje programy zálohuju pěkně do SVN a každý týden potom dělám inkrementální kopii na druhý počítač. Tak mám poměrně jednoduše vyřešenou zálohu.


Aneb na blbou otázku blbá odpověď. Zkus se vyjádřit o co přesně ti jde...
_________________
Mám strach

[Master]

Neni spis mysleno zabezpeceni proti cracknutí?

[Fundin]

JJ sry ze sem to nenapsal presnej, jedna se o crack, a pak jeste jestli se da nejak zabranit u Managed knihoven tomu aby sli prohlizet jejich struktury v object browseru.

[Quiark]

No MSIL je mnohem lépe čitelné než assembler a aby se dalo omezit čtení/změna programu, musí se to nějakým způsobem znepřehlednit. Existuje třeba program Dotfuscator (ta alespoň trochu schopná verze není zdarma). Co se týče druhé otázky, tam by se to dalo řešit jedině spojením všech knihoven a programu do jediného souboru a následným obfuskováním. Protože když může obsah knihovny vidět runtime (a ta to potřebuje), tak proč by to nemohl vidět uživatel.

EDIT: překladač -> runtime
_________________
Mám strach

[Master]

Zabecpečení .NET programů je ta nejosemetnejsi vec vubec. Bohuzel prave dojizdi na assembly,reflekce apod.Existuji nastroj (.NET reflector), ktero dokazi binarni soubor zpetne dekompilovat na zdrojovy kod s temer 90+% přesností včetné názvu proměnných.

Nejsilnejsi ochranou je jiz zminena metoda obsfuskace (treba pomoci Dotfuscatoru). Udela to s kodem peknej bordel a docela dost casu zabere ten kod procistit. Dalším možným způsobem,jak zabránit čtení je si soubor nějak zapackovat externím algoritmem a po spustení programu ho odpackovat. Je to ovsem opet zabihani do low-lvl programovani a vyzaduje to jiz jiste znalosti a zkusenosti.

Osobne doporucuju minimalne tu obfuskaci.Na dalsi asi nemas potrebne znalosti.

[Augi]

No a já bych dodal, že pokud nepoužíváš nějaký supa-dupa algoritmus, který jsi vymyslel a implementoval, tak nikdo asi nebude Tvou aplikaci dekompilovat - prostě si nedělejme iluze.
Jinak velmi dobrá ochrana zdrojových kódů je to, poskytovat klíčové metody coby webové metody nějaké web service (nebo nějaký obdobný mechanizmus). Pak je kód na serveru a nikdo se k němu nedostane (pokud to vyloženě neodflákneš).

[Fundin]

No to mi je jasny ze nema cenu chrani neco co uz je davno verekny;) s tim delanim bordelu dik a jak to je s ochranou databaze(SQLServer)??

[Tringi]

_________________
WWW | GitHub | TW

[Master]

2 augi: To by ses divil.Pokud nekomu pujde o ten program,tak si ten algoritmus prostuduje.Ver mi.

2 Fungi: Ochrana SQL je pouze pomoci hesla Takze silne heslo by melo stacit. Pak uz si jen dat pozor na SQL injection.

2 Tringi: Zajimavej dokument,s par vecma sice nesoulasim.A celkove bych rekl,ze to je popsane dost sporadicky a ten,kdo by se chtel do neceho takoveho pustit,tak mu zabere dost casu ziskat potrebne znalosti.Ochranne prvky by se mely nechavat na nekom,kdo s nema jiz ma nejake zkusenosti (muj nazor).

[Augi]

No však říkám, pokud si vymyslel nějaký super algoritmus nebo je Tvoje aplikace placená, tak se Ti možná bude snažit někdo aplikaci dekompilovat apod. Jinak je IMHO nějaká obfuskace ztráta času...

[Tringi]

[Master]

2 augi: Tak nejak. Ale jsou lidi,co si ty algoritmy studuji i tak.Ale jak bylo receno,pokud to neni neco extra nebo neco komercniho,tak si nad tim nelamej hlavu.

2 Tringi: Netvrdim,ze to je spatne.Jen,ze mi tam par veci nesedi,ale jinak je to pekny. Nanestesti,tenhle obor je strasne siroky,takze i tak to potrva nejaky ten rok,nez se clovek neco nauci.Tu bych spis volil nejaky komercni ochranný systém ala Armadillo,ActiveMark,ExeCryptor apod.

[nou]

inu v tejto oblasti ide o to kolko prostriedkov ziskate tym ze vynalozite nejake prostriedky na zabezpecenie.
_________________
Najjednoduchšie chyby sa najtažšie hľadajú.

[Master]

to je pravda.Ono hlavne jde o to vytvorit ochranu tak,aby po jejim prvnim zlomeni trvalo jeji druhe zlomeni stejne dlouhou dobu jako to prvni.