Всем доброго времени суток...
Существует ли возможность защитить готовую программу от просмотра ее исходников, элементов дизайна, да и вообще содержимого JAR?
Один из методов, я так понял - компиляция в exe, но при этом существенно страдают объемы так как тудой вкладываются необходимые классы JDK(полностью или частично, трансформируясь в dll)
...если это небольшое приложение - то сие его существенно отягощает,
+ узримое мной на страницах, где эта тем обсуждается, мнение, что это еще и замедляет приложение.
Но так, опять таки, народ пытается сбежать от привязанности к JVM...
А я например не против... мне просто необходимо защитить исходники... я не хочу тягать с собой пол JDK... клиент без проблем его себе установит.

Как на этот счет... ? 


Это сообщение отредактировал(а) RUVATA - 19.10.2010, 19:06

не показывай ее не кому =)
я тут думаю, а чем тебе джар файлы не угодили? разве там есть *.java, или ты с джарника можешь проект собрать (без дезасемблера)?
вообще джава - язык ориентированый на и-нэт приложения, с облачным типом работы =) тогда точно некто нече не увидит. А в остальном - вроде защина не плохая. 

Это сообщение отредактировал(а) jGorets - 19.10.2010, 23:37

Бред



не "не плохая" а никакая

Автор, смотри тут

jGorets, 
Да прям таки защищена, фронтэнд раскрывает на раз. И причём тут облака ?
С проблемой защиты столкнулись сами пару лет назад, нормального решения так и не нашли.

RUVATA, jar - по сути своей простой zip архив, в нем лежат class файлы, которые легко декмопилятором преобразовать в java файлы. При этом обратном преобразовании возможно восстановятся не все имена переменных. Но восстановить логику приложения будет не сложно.

Один раз я потерял исходники своего приложения и потом восстановил его декомпилятором из jar файла. Ничего разобрался 

Частично может помочь обусфокация. Она запутывает имена классов, методов и т.п. Однако имена методов стандартных классов изменены не будут  Поэтому обращение к методу HttpConnection, например, будет найти не сложно, а String как был им, так String'ом и останется 

Можно подписать свое приложение. Но это не поможет уберечь программу от просмотра, это защитит ее от пересборки кем то другим и выдачи ее за то, исходное приложение.

Вот как то так.

Мня не сильно беспокоят авторские права, программа настолько специфическая, что ее алгоритмы вряд-ли пригодяться в каком-ни-будь другом решении.
Меня беспокоит проблемма - ее модификации "особо умными"... "кулц хацкеров" конечно среди них нет, но опытные програмисты имеются...

и они я думаю разберуться... 
Самое главное у них есть стимул это сделать... а самое обидное, что у них на то есть привелегии в сети, где данное приложение должно функционировать, и проконтролировать э-т будет довольно сложно...
Жаль...


полностью солидарен 


то есть мне продолжать поиски в этом направлении видимо не стоит?

...
А как насчет потери в быстродействии, при компиляции в код x86 (exe) ... Действительно ли это так?
Размеры вобщем-то не такая уж и проблемма при современной скорости и объемах "хардов"... а вот скорость функционала, - другое дело.


Это сообщение отредактировал(а) RUVATA - 20.10.2010, 11:15

RUVATA, 
год не смотрел, может что и появилось, но врядли, как тут уже говорилось единственно приемлемый способ - это использовать обсфукацию, ну и прочие заморочки, только надо учесть что потом самому же и саппортить такой код 

ну, так сказать: "вопрос закрыт не решенным" -  в силу отцутствии такового...
Очень жаль, думается мне это один из тех аспектов который есть существенный недостаток технологии, 
хотя это и не умоляет её достоинства, но все таки пагубно для привлечения новой аудитории программистов к Java...
т.к. вопрос безопасности, становятся все актуальнее и актуальнее...
и "исходникии на ладони" вряд-ли устраивает разработчика, более ни мение серьезного приложения...
или приложения простого, но с "серьезными" функциями, как в моем случае, придется вновь обратить свой взляд на "дотнет" и его ASP.

Это сообщение отредактировал(а) RUVATA - 20.10.2010, 14:53

RUVATA, 
Да не всё так печально, исполняемый код и в других можно поломать. Всё что один человек сделал другой поломать сможет 
И это не вопрос безопасности, а скорее всего вопрос собственности. Добавьте модуль лицензирования в свой софт.

программа которую я планировал закончить, на Java дерзкий проект, по заказу начальства...
Это хитрая система определения присутствия пользователей на рабочем месте и их внимательности (специфика работы, от их вниамтельности и опетаивности пинмеамых ими решений много зависит...
Среди тех кто подвергнется воздействию такой системы, есть опытные прграммисты... если им удается понять алгоритм, а тем более изменить данное приложение, а они скорее всего будут пробовать, это мы уже проходили, то все это мертвоми припарки...
вот...

вообще не понимаю значения (или какой то нужности) защиты кода!
программирование дошло до такого уровня, при котором не нужно быть программистом, что бы написать что то.

RUVATA, вашу программу любой программист за полдня напишет. зачем ее защищать?

Как защититься от изменения кода уже писали выше.
А от того, что опытные программисты смогут понять алгоритм толку мало, так как они не смогут его обойти если в нем нет дыр.

Ничего не ломаемого нет в принципе. Вы можете принять лишь комплекс мер по сдерживанию:

1) Обфускация, как уже было сказано выше.

2) Подпись .jar файлов сертификатом.

3) Упаковка jar-ов в .exe файл, при этом упаковывать JVM туда вовсе не обязательно, .jar файлы хранятся как ресурсы контейнерной .exe программы, которая ищет JVM в системе, а дальше все по обычному сценарию. Небольшое замедление возможно только при старте приложения, да и то вы вряд ли заметите разницу. Ищите упаковщик exe4j, весьма достойный софт.

4) Зарегистрировать авторские права и приложить лицензионное соглашение, запрещающее любую модификацию исходного кода продукта.

Это сообщение отредактировал(а) mantracoder - 20.10.2010, 18:51

 





согласен и с danilka и с  mantracoder как ни странно, но в моем случае - мне существенно не хватает опыта и знаний, 
я не совсем-то и программист, в прямом понимании этого рода деятельности.
Я вряд ли смогу учесть даже большую часть аспектов безопасности кода.

Дизайнер-интерфейсов, и разработка ориг.элементов управления - редко пересекаются с безопасностью   

PS: "В идеале - те, от кого я собираюсь защищаться - должны были реализовывать эту идею, это вобщем-то их работа, но
по понятным причинам, доверить ее им нельзя"

mantracoder, будем пробовать, спасибо.

Загнать декомпилированный в дебаггер и там поглядеть изменения переменных, ну и поставить заглушку в нужном месте.


Ну хорошо, подписали, а как будет проверяться эта подпись? Визуально, но я легко могу создать похожий визуально ключ. А если программно при запуске, так и эту проверку можно обойти. Другое дело, если система (ОС) бы при запуске программы брала из нее публичный ключ, шла бы на сервер сертификатов, сверяла его подлинность, и только в случае успеха позволяла бы запускать программу, в противном случае посылала бы отчет. Ну а если нет, то смысл какой?

А что мешает программистам извлечь содержимое контейнера? Ну вот пример, не совсем тот, но по смыслу похож. Есть самораспаковывающийся архив с расширением exe, но если смотреть такой файл каким либо архиватором, то мы видим содержимое архива. Мне кажется и тут не составит труда поглядеть на содержимое контейнера.



Но тогда проще издать приказ по предприятию, в котором запретить уходить с рабочего места и быть всегда внимательным. Ну результат будет одинаков, а затрат меньше   

Как же, знаем. Было однажды у нас принудительно выставлено время ухода в спящий режим в одну минуту, причем ось на это событие посылала оповещение кому следует. Вы думаете кто-то что-то декомпилировал? Заклинивали пробел канцелярской скрепкой и занимались своими делами.

бессмысленная болтовня.
да защищайте свою прогу как хотите. я такую же напишу!!!
ну конечно если это не фотошоп, или Math... какой нибудь...
Я НАПИШУ ТОЧНО ТАКУЮ. С ОТКРЫТЫМ КОДОМ.

Ну да, ну да. Программист должен присутствовать на его рабочем месте. В этом заключается вся специфика его работы. Вы не боитесь, что у Вас специалисты уйдут? 

P.S. У меня тоже был один заместитель моего руководителя, он был твердо уверен, что если я сижу в наушниках и ничего не печатаю - я не работаю. Судя по всему, он не видел разницы между машинисткой и архитектором. Ну и для того, чтобы доказать свою правоту, он мне за спиной втихую поставил веб-камеру. И картинки слал моему шефу. 

Так что, RUVATA, дарю идею! С помощью камер наблюдения гораздо эффективнее контролировать деятельность сотрудников. А еще можно поставить key-logger-ы, софт, снимающий копии экрана раз в секунду, можно мониторить сетевую активность - куда человек ходит и зачем, можно читать его почту, icq и т.п. Все на благо работе!

P.P.S. Административными мерами Вы никогда не поднимите ответственность пользователей. В лучшем случае - вынудите их обходить ограничения. В худшем - потеряете сотрудников. Всё это уже проходили.

Обфускация - уяснил, пробую...

А это и так есть в должн.обязанностях... Сотрудники рассредоточены, и мы не имеем никакой возможости, это контролировать...
Не ставить-же над ними камеру  (Вот это в натуре дорого)

Здесь Вы ошибаетесь...
Программа была опробованна на тестовой группе, и результат превзошел все ожидания...
Если в крации  - ее смысл, имитация определенных обстоятельств в ситеме АИИС КУЭ... пользователь конечно видит, что это имитация, но обязан принять решение, и определенным образом отреагировать. Проверки спонтанны. Естественно ведутся логи, и в результате их анализа, выясняем:
во первых, насколько квалифицированн сотрудник, 
во вторых сам факт его присутствия, внимательность к событиям в системе, в конкретный произвольный момент времени, 
и неотемлемый плюс, это постоянная тренировка, решение некоторых "штатно-нештатных" ситуаций можно довести до автоматизма,
Так-же юзверь может оставить рецензию, это поможет мне, сделать отображение информации еще более доступным, расширить определенные функции, повысить "интуитивность" интерфейса, разработкой которого я занимаюсь.

Вопрос сам по себе "не смертелен", и судьбу внедрения никак не решает... Я просто подумал об этом и решил спросить... 
"Почему бы не перестраховаться если есть такая возможность"

гы, еще не забыть поставить камеры в туалетах и в курилке. Для подсчета нерационально использованного времени.   

У меня знакомый в Чикаго в одной конторе работал где как только из эклипса выходишь в другую прогу, так сразу начальник начинал суетиться и спрашивать. Ну и че, они все через эклипс в интернете сидели. Написали пару классов с умными именами чтоб в аське сидеть и эклипсовский же браузер для интернета использовали.
Фигня все это. Надо результаты требовать. Если результата нет, то гнать поканой метлой. Все будут работать как миленькие. 

По моему, я кого-то задел ...
Я сказал что СРЕДИ НИХ ЕСТЬ ОПЫТНЫЕ ПРОГРАММИСТЫ...  2 чел. и те попадают под программу постольку по скольку... они просто союзники тех кого действительно надо проверять... 
А непосредственный объект это диспетчера, которые несут дежурства на локальных узлах единой сети энергоснабжения региона, они руководствуются показателями АИИС КУЭ, любезно собираемые в доступной форме, собственной программой, ОПЫТНЫЕ ПРОГРАММИСТЫ (о которых шла речь) -
непосредственные ее творцы. 
Диспетчера обязаны постоянно наблюдать за схемой, и реагировать на все что там происходит, 
они работают всего по 4-ре часа, и за это врямя извините меня умудряются проворонить понижения, которые обходятся фирме в "суммы с нулями"
Вобще у нас на лицо Оффтоп
  
я просто хотел спросить у "коллективного сознания" мож "кто припрятал хитрость", 
вобщем-то получил вразумительные, исчерпывающие ответы... 
Всем спасибо...
Отличный форум, контент и контингент...
Тема закрыта.

Гнать поганой метлой. А в договоры добавить пункт о материальной ответственности за неправильные решения. А то, что Вы делаете - это мертвому припарка. Как они пропускают реальные ситуации , так будут пропускать и тестовые.

Добавлено через 2 минуты и 49 секунд


В туалетах - ладно. А вот для курения у нас надо было выходить в специальное помещение, через систему контроля времени. И всё учитывалось. И отчеты по времени курения начальнику раз в месяц приходили.



И-мен-но!

ИМХО добавлю еще мнение.

Если большинство операторов ошибается при контроле ситуации, то может быть дело в системе, которая отражает ситуацию? 

Поясню, есть такая игра "Жизнь" если смотреть на расстоянии при большом количестве точек, то выглядит красиво, но можно упустить некоторые точки, тут цель не углядеть точки, а то, что их просто можно не увидеть. Если поставить оператору цель их углядывать, то разумеется он будет замечать больше нюансов. Но ведь можно облегчить работу оператору, если написать программу которая будет анализировать ситуацию и при отклонении ее от нормы орать  благим матом и увеличивать на экране локализацию проблемы. Разумеется такой анализ может встать дороже применения кнута :(

Вроде у дотнета те же проблемы, как и у ActionScript и прочих языков, работающих с байткодом. Возможно у .net приложений побольше возможностей защиты, т.к. он заточен под windows, и это детище microsoft. Но что-то я не видел разницы. Неоднократно декомпилировал коммерческие .net приложеиня с целью обхода их защиты. Вообще, мне это не понятно. Почему майкрософт не встроит в виндовз какой-нить низкоуровневый сервис для проверки подлиности приложения и защиты закрытого софта от костлявых рук крякеров?
Раз уж пошел оффтопик, вставлю свои "пять копеек".
Работаю в небольшой фирме, начальство в своей закрытой комнате, десяток программистов в другой. ну естественно, не без греха, бывает трындим, отвлекаемся, холиварим, увлекаемся... Ну вот один раз дотрынделись. Начальник сильно разозлился, и решил принять меры. Публично мне дал задание найти прогу, которая будет ляпать срины экрана и слать их на сервер. Ну и как бы вы поступили на моем месте? С одной стороны, ответственное задание начальника. С другой - офис коллег и друзей. С третьей - я сам не в восторге от перспективы установки такой проги на своем компе! Найдешь херовую прогу, которую будет легко обмануть - рано или поздно это вскроестя, подорвешь ожидания начальника. Найдешь суперпрогу, которую невозможно или очень сложно хакнуть - весь офис будет коситься на тебя и колупать этим. Даже если я установлю хорошую прогу и втихаря ее хакну, то все равно, на виду у всего офиса шила в мешке не утаить, сболтну другу, ну и "по секрету всему свету" весь офис будет эту прогу обходить и кто-то спалится.
Мне кажется, вы переоцениваете необходимость в защите.
Захотят хакнуть - хакнут. Я пока не знаю технологий защиты, которые не ломаются. Есть куча серьезных платных продуктов для защиты софта, и все их хакают, причем за считанные дни. Starforce, Winlicense, armadillo - все они стоят денег, все они разрабатываются много лет, и все их успешно хакают. А вы хотите вот так вот, на коленке, защитить свою программу.
Ну и всегда можно зайти с фланга, не ломать саму программу, а обманывать ее извне, подсовывать "нужные" данные, эмулировать бурную деятельность и т.д. в зависимости от специфики.
А вообще, захотят ли ваши программисты подставляться и ломать вашу прогу? Банально снимаете контрольные суммы с проги, и публично их сверяете время от времени. Не сходятся - значит прогу изменили, виновных наказываете.
А вы уверены что правильно выбрали язык программирования для этой задачи? Если целевая платформа - винда, то лучше написать какой-нить сервис на си\с++\делфи, что-то более низкоуровневое, чем обычное приложение.
Вам не кажется, что у вас проблемы с администрированием? Не проще ли ограничить юзеров в правах, а грамотно настроив систему? Запускайте свой процесс под рутом \ администратором при старте системы, что бы они не имели доступ ни к процессу, ни к файлам. Я не силен в этом, но вроде так это обычно делатеся.

Да у нас на самом деле много проблем  и не только с администрированием...
А вместо того чтобы повышать свой профессиональный уровень, спецы зарываются в бумажках, отчетах, балансах и т.д.
Или реализацией таких вот, как обсуждаемая, "гениальных идей" руководства   

Считаю Java и связанные с ним технологии очень перспективными, для меня привлекательными, хочу освоить...
А так как мне волей случая выпало такое распоряжение, и так сказать дали время на "попробовать" и дать рецензию...
То я решил почему-бы не совместить приятное с полезным, еще и в счет рабочего времени  
А обосновал это тем, что остальные программисты, собственно в Java "не бум бум" 
И это в первую очередь отмазка (надеюсь босс не посещает этот форум   ), т.к. они знают "Cи" и с Java разберутся
 "на лету"... (не мое мнение, своего еще не сложилось)...