n° 219
Novembre 2017
Dicembre 12, 2017, 06:41:04 *
Benvenuto! Accedi o registrati.
Hai dimenticato l'e-mail di attivazione?

Accesso con nome utente, password e durata della sessione
Notizia:
 
   Indice   Linux Windows Techassistance Gameassistance videogame hardware Aiuto Ricerca Agenda Downloads Accedi Registrati  


* Messaggi recenti
Messaggi recenti
Pagine: [1]   Vai giù
  Stampa  
Autore Discussione: offuscatori  (Letto 3559 volte)
0 utenti e 1 Utente non registrato stanno visualizzando questa discussione.
sombrero
Newbie
*

Karma: +0/-0
Scollegato Scollegato

Messaggi: 8


Mostra profilo E-mail
« inserita:: Luglio 04, 2015, 03:28:10 »

Salve,
ho la necessità di riscrivere 2 applicazioni commerciali in .NET, per la precisione C#, sia lato desktop che sito webform. Premetto che ho sempre scritto applicazioni in delphi, C++, Visual Basic 6, ma non è un problema perchè sono affiancato da un esperto.
La cosa devo dire che mi affascina, vorrei entrare anche io nel mondo .NET ma troppo spesso ho sentito dire da colleghi che un applicativo in .NET sia esso desktop che web è facilmente decompilabile, questo francamente non lo posso accettare facilmente Triste , facendo una minuziosa ricerca in rete ho scoperto che effettivamnete è allarmante la facilità di decompilare gli assembly e pseudo dll, ho letto pure di diversi offuscatori di codice, che pur trovandoli a prezzi non proprio accessibili a tutti, sono comunque facilmente aggirabili.

A questo punto mi sorge spontanea una domanda, è possibile che microsoft stia per rilasciare l'ennesima versione di visual studio (2015) e non si è mai impegnata nella sicurezza del codice?

Chiedo allora a voi esperti del mondo .NET come vi comportate con i vostri applicativi nell'ambito della sicurezza del codice.

Grazie
Registrato
michele.p
Administrator
Full Member
*****

Karma: +9/-2
Scollegato Scollegato

Messaggi: 586


Mostra profilo
« Risposta #1 inserita:: Luglio 04, 2015, 02:29:36 »

Sicurezza del codice non vuol dire automaticamente codice closed source e/o più difficilmente decompilabile (IMVHO).

Basti pensare per un istante al kernel Linux interamente open source quindi leggibile.  Sorriso
Registrato
M.A.W. 1968
** LEGGETE IL REGOLAMENTO ! **
Global Moderator
Hero Member
*****

Karma: +224/-19
Scollegato Scollegato

Messaggi: 2988


Discrete And Combinatorial Mathematics


Mostra profilo WWW
« Risposta #2 inserita:: Luglio 04, 2015, 07:26:31 »

Il concetto è che il valore intrinseco del software gestionale non sta certo nelle procedure (pensiamo a "Stampa fattura" o "Svuota carrello" o "Inserisci anagrafica clienti"), ma nella dinamica del trattamento dei dati che ne scaturisce a runtime. Se si parla di gestionale fiscale, gli algoritmi sono addirittura in larga maggioranza imposti in forza di legge, quindi necessariamente di pubblico dominio.
Pensiamo più in generale al fatto che molti algoritmi - anche critici - di cifratura sono liberamente disponibili in sorgente, in quanto la mera conoscenza della procedura è del tutto insufficiente a violare la protezione. Tale concetto si applica anche a moltissimi altri ambiti di trattamento dei dati in area burotica e web.
Portando tale ragionamento all'estremo, esiste e fiorisce una intera scuola di pensiero costruita attorno all'idea che la security by obscurity, intesa come semplice riservatezza degli algoritmi e dei codici impiegati, sia in ultima analisi del tutto inadatta al mainstream e alla burotica, per fattori principalmente umani e organizzativi, oltre alla effettiva fragilità tecnica data dall'uso pervasivo di bytecode e interpreti durante l'intera storia recente di tale settore: da Clipper a Visual Basic ai multitier in Java, tutti linguaggi il cui reverse engineering è sempre stato a portata del primo lamer di passaggio.
In effetti, fuori da ambiti diplomatici e militari, sono ben poche le strutture e organizzazioni umane in grado di garantire i livelli di segretezza richiesti dalla vera applicazione della SbO ("nessuno si mette a cercare informazioni delle quali ignora anche l'esistenza").


Basti pensare per un istante al kernel Linux interamente open source quindi leggibile.  Sorriso

Senza voler polemizzare in particolare riguardo a GNU/Linux (il problema è purtroppo generalizzato ed endemico nel mainstream), occorre dire nell'ottica del software engineering che "leggibile" è un aggettivo al quale non si pensa immediatamente davanti a circa tre milioni e mezzo di LOC in C prive di commenti per esplicita policy, e con una struttura che farebbe impallidire un kabbalista prima ancora che un esperto di grafi... Scioccato E infatti è storia l'inserimento di exploit legati alla modifica di un singolo carattere in una singola linea di codice, passati inosservati per mesi.
Confrontare codesta assurda complessità (e purtroppo vale per tutti i sistemi mainstream, più o meno diffusi, inclusi i miei pur amati *BSD) con l'assoluta semplicità dei microkernel RTOS ai quali ogni giorno sono affidate milioni di vite umane ed animali e valori per miliardi di dollari è impietoso oltre che inutile: come inutili paiono gli appelli degli esperti, da un quarto di secolo a questa parte. La tristezza nel constatare che il mainstream punta decisamente nella direzione opposta a quella sancita dalla razionalità e confermata da oltre due decenni di successi sistematici dei metodi formali e dei microkernel message passing nel settore dei sistemi critici è sempre enorme. Occhi al cielo
Registrato

I Moderatori invitano tutti gli utenti a prendere visione del REGOLAMENTO e a rispettarlo.

Un blog? Io? Occhiolino
sombrero
Newbie
*

Karma: +0/-0
Scollegato Scollegato

Messaggi: 8


Mostra profilo E-mail
« Risposta #3 inserita:: Luglio 06, 2015, 07:15:49 »

eh... Sorriso sarei anche d'accordo con voi su tutto, ma non è che mi avete risposto Sorriso
insomma, come faccio (fate) a proteggere il sorgente .net?

Grazie Sorriso
Registrato
M.A.W. 1968
** LEGGETE IL REGOLAMENTO ! **
Global Moderator
Hero Member
*****

Karma: +224/-19
Scollegato Scollegato

Messaggi: 2988


Discrete And Combinatorial Mathematics


Mostra profilo WWW
« Risposta #4 inserita:: Luglio 07, 2015, 12:54:05 »

eh... Sorriso sarei anche d'accordo con voi su tutto, ma non è che mi avete risposto Sorriso
insomma, come faccio (fate) a proteggere il sorgente .net?

La risposta che ti è stata date dice questo: quasi nessuno "protegge" i propri sorgenti dotnet.

Chi lo fa, in genere, ricorre a protezioni hardware piuttosto evolute, basate su dongle, che garantiscono una certa sicurezza in quanto il codice critico risiede in realtà su una memoria flash protetta e non viene eseguito dalla CPU principale, ma da un engine hardware residente sul dongle stesso. Tali sistemi sono difficili da violare, richiedono attrezzature non banali e notevole determinazione.
Altri preferiscono invece scegliere il compromesso e affidarsi agli offuscatori di codice, che quantomeno rendono la vita difficile ai lamer di passaggio (ma non ad altri interessati più smaliziati).
Registrato

I Moderatori invitano tutti gli utenti a prendere visione del REGOLAMENTO e a rispettarlo.

Un blog? Io? Occhiolino
Pagine: [1]   Vai su
  Stampa  
 
Vai a:  

Copyright © 2017 Edizioni Master SpA. p.iva : 02105820787

Tutti i diritti di proprietà letteraria e artistica riservati. - Privacy



powered by Simple Machines