Конференция VBStreets

[MIT]

Большинству программистов (или любителей) наверняка известно, что .NET сборки почти не защищены, и любой желающий, если конечно захочет, может просмотреть исходники скомпилированной программы.
Хотелось бы услышать ваше мнение по теме защиты (обфускации) .NET сборок. Ваш опыт общения с подобным софтом наверняка будет полезен остальным.
Я, являясь счастливым обладателем полной лицензионной версии обфускатора от фирмы Inquartos (не сочтите рекламой), стал активно интересоваться данным вопросом, ведь действительно, крайне неприятно чувствовать, что плоды твоей работы могут быть бесплатно использованны кем угодно и для каких угодно целей. Также, всвязи с особенностями IL сложно сделать ShareWare продукт, который сможет выстоять хоть немного, ведь с помощью всем известного (и мной горячо любимого) Reflector`а можно декомпильнуть и пересобрать программу.

Тем, кто незнаком с темой обфускации читать здесь, ну и Википедия тоже в помощь.

Ваше мнение и опыт в студию!

[Williams]

Использую freeware, коммерческие аналоги стоят слишком дорого для среднего уровня проектов

[MIT]

А как на счет взломоустойчивости? Действительно ли платные программы стоят своих денег, или все их новороты - фикция, ломающаяся двумя кнопками(образно) ? Ведь платный (возьму, например, Inquartos`овский) обфускатор предоставляет расширенные возможности, такие как упаковка в Win32 оболочку с шифрованием.

[Хакер]

У тебя привычка создавать опросы с длиннющими вариантами ответов, которые лень читать.

По теме: я в гробу видал .net, а посему не испытываю необходимости в обфускации.

[Williams]

я в гробу видал .net

Это уже становится твоим слоганом Придется разориться на патент

Не знаю на счет коммерческих, широко не проверял, но с бесплатными были некоторые проблемы совместимости.

[MIT]

У тебя привычка создавать опросы с длиннющими вариантами ответов, которые лень читать.

Всем не угодишь, как ни сторайся, просто пытаюсь подобрать более универсальные варианты, вот так и получается...

я в гробу видал .net

чем же он тебе так неугодил?

[iGrok]

Всем не угодишь, как ни сторайся, просто пытаюсь подобрать более универсальные варианты, вот так и получается...

Делай проще. "Да, использую" и "Нет, не использую".
И проси пояснить свою точку зрения в топике. Это позволяет полнее отвечать (то, чего тебе и хотелось), и при этом легко выбрать нужный вариант.
А то на всех всё равно не угодишь.
Множество вариантов ответа имеет смысл ставить в случае, когда ответы кардинально отличаются, и нужно собрать статистику.
I.E. Ваш любимый браузер: "IE, Mozilla, Opera, Safari, Chrome, Другое(укажите свой вариант в топике)"

[MIT]

спс за совет, учту

[jangle]

Обфускаторами не пользуюсь, да и на .NET не пишу. Хотя тем кто пишет, в ДотНет шаровары, можно только посочувствовать. Защиты от взлома и реверсинга нет в принципе. Обфускаторы - это только для успокоения программиста, как навесной замочек в дачном домике, все равно зимой его собьют и в домик залезут воры, но дачнику замочек душу согревает

[Williams]

Хотя тем кто пишет, в ДотНет шаровары, можно только посочувствовать. Защиты от взлома и реверсинга нет в принципе. Обфускаторы - это только для успокоения программиста, как навесной замочек в дачном домике, все равно зимой его собьют и в домик залезут воры, но дачнику замочек душу согревает

Ну не скажи, проще новый код написать, чем копаться в обфуцированном. Другое дело если идея уникальна...

[jangle]

Ну не скажи, проще новый код написать, чем копаться в обфуцированном. Другое дело если идея уникальна...

Да если алгоритм уникален, его безусловно разберут по косточкам и украдут идею. В остальных случаях обфускация бессмысленна, поскольку если программист тупо ворует код, это не программист - а ленивый быдлокодер, и ничего стоящего реализовать он все равно не сможет. От коммерческого воровства алгоритмов, спасет только патентование.

[Alexanbar]

Ну не скажи, проще новый код написать, чем копаться в обфуцированном. Другое дело если идея уникальна...

Да если алгоритм уникален, его безусловно разберут по косточкам и украдут идею. В остальных случаях обфускация бессмысленна, поскольку если программист тупо ворует код, это не программист - а ленивый быдлокодер, и ничего стоящего реализовать он все равно не сможет. От коммерческого воровства алгоритмов, спасет только патентование.

Насколько я знаю, у нас, да и в европе, патентование алгоритмов невозможно.
Да и не в этом дело. Код может содержать секретные фрагменты, которые обеспечивают шароварность. Раскрыв этот код, можно всем желающим раздать кряки на халяву.

[MIT]

А как можно защитить особо важную функцию? У меня только одна идея - вынести ее в библиотеку, скомпилированную на другом языке (например, на си) и защищать ее.

[tyomitch]

Да что в ней может быть особо важного? Вычисление смысла жизни?
Ни одну свою прогу параноидально не защищал, и не планирую.

[MIT]

Вичисление даты смерти
А если серьезно? Хотя я немного поразмыслив, решил, что и этот вариант бессмысленен, т.к. библу и подменить могут, и в ил проверку переписать...

[alibek]

Хотя я немного поразмыслив, решил, что и этот вариант бессмысленен, т.к. библу и подменить могут, и в ил проверку переписать...

Разумеется.
Защита от нелицензированного использования должна быть встроена в саму архитектуру программы.
И понятно, что такое возможно далеко не со всеми типами программ.

[Joo]

В нашей стране защищать свои программы бессмысленно, все равно сломают, а если не сломают значит она нафиг не кому не нужна.

Вы не когда не задумывались почему у Microsoft, Adobe и т.д. защиты практически не какой?

[alibek]

Вы не когда не задумывались почему у Microsoft, Adobe и т.д. защиты практически не какой?

Гы. А давно ли ты видел продукты Microsoft, Adobe и т.д.?

[jangle]

В нашей стране защищать свои программы бессмысленно, все равно сломают, а если не сломают значит она нафиг не кому не нужна.

Вы не когда не задумывались почему у Microsoft, Adobe и т.д. защиты практически не какой?

В Европе и США просто непринято пользоватьса ворованным софтом, особенно в корпоративной среде. Деловая этика и все такое...

[alibek]

В Европе и США просто непринято пользоватьса ворованным софтом, особенно в корпоративной среде.

Разве что в корпоративной.
Вареза за рубежом побольше будет, чем в РФ. Больше только в Китае.

[jangle]

А как можно защитить особо важную функцию? У меня только одна идея - вынести ее в библиотеку, скомпилированную на другом языке (например, на си) и защищать ее.

Защитить библиотеку электронным ключом. Причем часть функций и вычислений по криптовке данных перенести внутрь ключа. При грамотной реализации сломать будет трудно

[Ramzes]

Волков бояться, в .net не ходить, обфускацией не пользуюсь, и впредь не собираюсь.

[MIT]

А впринципе, зачем при разработке технологий .NET MS оставила код почти в открытом виде Ведь я почти уверен, что это сделано специально.

[jangle]

А впринципе, зачем при разработке технологий .NET MS оставила код почти в открытом виде Ведь я почти уверен, что это сделано специально.

Разумеется специально сделано. Открытость и документированность системы - залог ее выживания. Это уже аксиома.

[Viper]

А впринципе, зачем при разработке технологий .NET MS оставила код почти в открытом виде Ведь я почти уверен, что это сделано специально.

А заодно оставила открытым код собственно фреймворка (не весь правда).

[Joo]

Вы не когда не задумывались почему у Microsoft, Adobe и т.д. защиты практически не какой?

Гы. А давно ли ты видел продукты Microsoft, Adobe и т.д.?

Гы. А ты ломать пробовал?

Стоят из последних:
Photoshop CS3 RU и CS4, Illustrator CS4 это от Adobe
Из MS, VS2008 RU PRO, Office 2007 + Visio 2007

Все это замечательно ломается )))

[MIT]

А заодно оставила открытым код собственно фреймворка

Это одна из немногих положительных сторон, которой и я активно пользуюсь.

Вопрос по смежной теме: а как проконтролировать целостность приложения, работающего с интернетов? В теории - просто: проверяем хэш, посылаем на сервер, получаем результаты; но в теории во взломанной (а значит с измененным хэшем) программе может посылаться на сервер правильный хэш (от нормального файла), а соответственно и получать правильный ответ. Какие есть решения?

[Williams]

Вопрос по смежной теме: а как проконтролировать целостность приложения, работающего с интернетов? В теории - просто: проверяем хэш, посылаем на сервер, получаем результаты; но в теории во взломанной (а значит с измененным хэшем) программе может посылаться на сервер правильный хэш (от нормального файла), а соответственно и получать правильный ответ. Какие есть решения?

Почитай статьи про то, как реализована защита в Skype, многое станет понятным

[jangle]

Вопрос по смежной теме: а как проконтролировать целостность приложения, работающего с интернетов?

Ответ аналогичен, с помощью сетевого аппаратного ключа, все остальное слишком просто ломается
Вот к примеру такой вариант: http://guardant.ru/products/guardant-net/

[tyomitch]

Почитай статьи про то, как реализована защита в Skype, многое станет понятным

А можно сюда вкратце про защиту в Skype?