[maestro]

Şimdi diyelim ciddi anlamda çok çok gizli, bir sayfalık kodumuz var, bu gizlilik konusu o kadar önemli ki, bırakalım bir şekilde sızmayı başaracak hacker'ları, bu konuda hosting firmamıza bile güvenmiyoruz, kısaca bizim dışımızda kimse bu dosyanın içeriğini görmemeli, görseler de anlamamalılar.

Bunun en iyi yolu nedir? Gördüğüm bir ASP uygulamasında tüm kodlar şifrelenmişti. Normal bir şekilde kodlar çalışıyordu ancak görüntülemeye çalıştığınızda kodu düzgün bir şekilde göremiyordunuz. Bu şifreleme olayı nasıl oluyor?

Ancak daha baştan her şifrenin teoride bir çözümü vardır diye düşünüp bu seçeneğe fazla güvenmiyorum. Ben ASP kullanmaktayım, ASP.net oldukça ilgimi çekiyor ve bu aralar geçmeyi düşünüyorum. Gördüğüm kadarıyla ASP.net'de zaten çılgın bir code behind muhabbeti var, bütün kodlar ise derleniyor. Şimdi bu çok önemli kod sayfasını ASP.net ile yazıp derlesek, bu doğrudan bir dll üzerinden mi çalışıyor? Daha önemlisi de, bu kodu derleyerek çalıştırdığımızda, gerçek bir programda olduğu gibi bunun içeriğini görme şansımız kesinlikle yok mu?

[oxigen]

ekteki dosyaya bi bak derim. ben denedim, şifreleme olayı oldu ama hiç çalıştırmadım
bu arada ".ASP" dosyalarını şifreleyine geri dönüşü yok. bu nedenle yedeklerini almayı unutma. çünkü şifrelenince üstünde değişiklikde yapamıosun.

[soul]

ms script encoder basitçe decode edilebiliyor yani gerçek bir güvenlik metodu değil ama hiç yoktan iyidir ve bazı meraklı gözlerden koruyacaktır.

[syn]

ASP.net te vardı böyle birşey sanırım, Microsoft seminerlerinden birinde bahsetmişti o laurel & hardy modundaki regional directorlardan bitanesi.

[soul]

ASP.net' te herşeyi DLL yapar bir de dotfuscator kullanırsanız iş çözülür.

[ZuLuuuuuu]

kodguvenligi.zip tahmin ettiğim zip ise sadece düz sayfalarda işe yarıyor. Örneğin include yaptığın bir sayfayı encode edersen çalışmıyor, bu yüzden maalesef büyük çaplı projelerde işe yaramıyor.

Valla bu konuya bir çözüm getirebilirsek benim de çok işime yarar. Özellikle ASP'de çözüm getirebilirsek. Çünkü ASP.net'te zaten dll kullanarak iş halledilebiliyor.

Bu konu benim işime şöyle yarar. Ben açık kaynak kod felsefesini pek sevmiyorum (bilenler bilir eheh) nedenlerinden biri kodunuzu alan bir kişinin ismi değiştirerek kolayca o script'i kendisinin ürettiğini iddia edebilmesi. Ayrıca sizin bulduğunuz özel bir kod algoritmasını başka biri alıp kolayca kendi script'ine uygulayabilir ve böylece rekabetin bir anlamı kalmaz.

Yeri gelmişken açık kaynak kod felsefesini sevmeyişimin en önemli nedeninini de belirteyim. Örneğin bir programınız var ve siz amatör bir program geliştiricisisiniz. programı geliştirebiliyorsunuz ama günde 1-2 saat ayırıyorsunuz falan, yani hobi olarak yapıyorsunuz. Sonra programın kaynak kodları açıyorsunuz ve bunu alan bir firma başlıyor programı geliştirmeye, bir de üstüne programın adını değiştiriyor. Siz o firmanın yüzlerce elemanının bütün gün o kodla uğraşmasının yanında piyasada kalabilir misiniz? Moralinizi kendi kendinize bozmak dışında bir işe yaramıyor yani bu. Ha ama mesela öyle bir teknoloji getirirsin ki kodunu birileri ne kadar geliştirirse geliştirsin programın bilgilerini açtığında çekirdek olarak amatör programcının adı geçer ve o değiştirilemez olur. O zaman tamam derim işte.

[maestro]

Evet tahmin ettiğim gibi ASP ile şifrelemek kesin bir çözüm değil. Önce tekrarlayayım buradaki amacım kurcalayan adama zorluk çıkaracak bir katman oluşturmak değil, ciddi anlamda asla kaynak kodun görülmeyeceğine emin olmamın gerektiği bir olay. Zaten genel bir projenin tamamen korunması çok zor, ben sadece 1-2 sayfadan bahsediyorum. Ki bu sayfaların da görsel bir bilgi çıktısı yok, sadece veriler üzerinden işlem yapıyor.

ASP.net'e yeni olduğumdan emin olmak istiyorum, şimdi biz bunu derleyip dll üzerinden çalıştırıyor olunca, bu dll'ler birinin eline geçse bile, hiç bir şekilde kod görüntülenemiyor mu? Böyleyse üstüne bir de dotfuscator'a ne için gerek var? Eğer ASP.net ile tam güvenlik sağlayabiliyorsak ASP ile yazılmış bi projenin sadece bu önemli kısımlarını ASP.net ile tekrar yazmayı düşünüyorum, o yüzden bu benim açımdan oldukça önemli.

Tam güvenlik için izlenmesi gereken yol burada açıkça anlatılırsa çok memnun olacağım.

[soul]

ASP.net dl oluşturuyor ancak dll de decompile edilebilir. dotfuscator bir daha karıştırıyor. Özellikle .NET konusunda yazılımlarda buna ihtiyaç var çünkü .NET kodları kolayca açılabiliyor.

ASP içinde geçerli olan şu var VB' de bir DLL yazarsınız component ASP' den de onu çağırır kullanırsınız bu kadar basit.

Ama son olarak şu da varki dl, exe vs bunları dissamble edilebilir veya açılabilir. Ama tabii ki küt diye kodu vermez. En azından çoğunda.

Ek olarak DLL' leri UPX sonrada UPX Scrambler dan geçirirseniz açılamayan ve içerisindeki bilgiyi çok az dahi olsa daha iyi saklayan bir DLL' e kavuşabilirsiniz.

Özetle VB veya herhangi bir dilde DLL yazın, server' a reg edin ve ASP' den çağırın.

[stalker]

Alıntı:

ZuLuuuuuu tarafından gönderilen mesaj:

kodguvenligi.zip tahmin ettiğim zip ise sadece düz sayfalarda işe yarıyor. Örneğin include yaptığın bir sayfayı encode edersen çalışmıyor, bu yüzden maalesef büyük çaplı projelerde işe yaramıyor.

Valla bu konuya bir çözüm getirebilirsek benim de çok işime yarar. Özellikle ASP'de çözüm getirebilirsek. Çünkü ASP.net'te zaten dll kullanarak iş halledilebiliyor.

Bu konu benim işime şöyle yarar. Ben açık kaynak kod felsefesini pek sevmiyorum (bilenler bilir eheh) nedenlerinden biri kodunuzu alan bir kişinin ismi değiştirerek kolayca o script'i kendisinin ürettiğini iddia edebilmesi. Ayrıca sizin bulduğunuz özel bir kod algoritmasını başka biri alıp kolayca kendi script'ine uygulayabilir ve böylece rekabetin bir anlamı kalmaz.

Yeri gelmişken açık kaynak kod felsefesini sevmeyişimin en önemli nedeninini de belirteyim. Örneğin bir programınız var ve siz amatör bir program geliştiricisisiniz. programı geliştirebiliyorsunuz ama günde 1-2 saat ayırıyorsunuz falan, yani hobi olarak yapıyorsunuz. Sonra programın kaynak kodları açıyorsunuz ve bunu alan bir firma başlıyor programı geliştirmeye, bir de üstüne programın adını değiştiriyor. Siz o firmanın yüzlerce elemanının bütün gün o kodla uğraşmasının yanında piyasada kalabilir misiniz? Moralinizi kendi kendinize bozmak dışında bir işe yaramıyor yani bu. Ha ama mesela öyle bir teknoloji getirirsin ki kodunu birileri ne kadar geliştirirse geliştirsin programın bilgilerini açtığında çekirdek olarak amatör programcının adı geçer ve o değiştirilemez olur. O zaman tamam derim işte.

Sen GPL ya da LGPL kullanarak lisanslarsan kodunu o firma senin kodunu istediği gibi kullanamaz. Açık kaynak kodlu uygulamalar olmasaydı şu an bildiklerinin, yaptıklarının ne kadarını bilebilecek, yapabilecektin acaba?

[ZuLuuuuuu]

Bir kere şunu söyleyeyim ben ASP kodlamayı temel, öğretici scriptleri kurcalayarak ve ilgili kitap ve makaleleri okuyarak öğrendim. Temel öğretici script'lerin açık kaynak kod olmasında zaten bir sakınca yok, çünkü yazan zaten öğretmek amacıyla yazmış onu. Benim bahsettiğim ise son kullanıcılara sunulan büyük çaplı programlar.

GPL ya da LGPL'in hiçbir anlamı olmadığını düşünüyorum. Örneğin diyelim ki ben bir script hazırladım ve söylendiği gibi zip'in içine bu lisansları koydum ve ayrıca her sayfa kodumun başına ismimi ve o script'in GPL lisansı ile dağıtıldığını söyleyen paragrafı yazdım. Bunun ne gibi bir güvencesi olabilir ki? Zip dosyasını çeken bir kişi her dosyanın başındaki ismi kendi ismi ile değiştirir ve script'in kendisine ait olduğunu söyler bundan sonra insanların kime inanıp kime inanmayacağını kim belirleyebilir? Dikkat edersen mesajımda açık kaynak kod felsefesinin eksik olduğunu ve bu yüzden sevmediğimi belirtiyorum. Şu ana kadar da bana bu eksikliğe mantıklı bir çözüm getirebilen olmadı. Bazıları patent al diyor ama bedava dağıtacağım bir script için milyarlarca para vermek tamamen mantıksızlık.