Introduzione

Quando creiamo un'applicazione PHP, magari per lavoro, e non abbiamo intenzione di divulgarla gratuitamente, ci brucia sapere che ogni nostro cliente potrà copiare i file e distribuirli senza problemi (magari su eMule :<). Questo perché le applicazioni PHP vengono distribuite come sorgente, poi compilate e interpretate in un secondo momento. In un certo senso ci piacerebbe distribuire una sorta di bytecode. Oggi vediamo alcune interessanti vie di mezzo.

Gli strumenti

Prima di tutto distinguiamo ogni strumento con 2 parametri:

• il primo riguarda la necessità o meno di fare delle modifiche nei file di configurazione del server (generalmente php.ini)
• il secondo il costo dell'applicazione o del metodo utilizzato

Se abbiamo la necessità di installare la nostra applicazione su un hosting condiviso, ad esempio, dobbiamo tener conto del fatto che non sempre sarà possibile effettuare delle modifiche, a meno che queste non siano già presenti di default.

Bcompiler - gratuito - poche modifiche

Bcompiler è un'estensione che consente sia di convertire i sorgenti Php in un bytecode dal quale è virtualmente impossibile ricostruire gli esatti originali, sia di elaborare tale bytecode come normale codice Php. Bcompiler è stato creato da Alan Knowles con tre obiettivi:

1. dare la possibilità di codificare classi e librerie di funzioni in un formato proprietario
2. creare applicazioni Php-GTK che inglobino l'interprete php.exe
3. studiare la realizzazione di un traduttore da Php a C

Probabilmente essa rappresenta una tra le migliori soluzioni, anche se è relativamente un po' difficile da utilizzare. Riferimenti: http://php.html.it/articoli/leggi/890/proteggere-il-codice-php-con-bcompiler/ - guida all'utilizzo http://www.phpbuilder.com/manual/en/ref.bcompiler.php - pagina ufficiale http://pecl.php.net/package/bcompiler - programma per la compilazione

Zend Encoder - Guard - a pagamento (costo elevato) - poche modifiche

Zend Encoder è un'utility (a pagamento) che "offusca", codifica e semi-compila un programma PHP di modo da proteggerne il codice sorgente e la relativa proprietà intellettuale: riceve in ingresso uno o più script e invia indietro gli stessi codificati e non più modificabili. Zend Optimizer è il "player", che, installato sul server, si occuperà di interpretare gli script così ottenuti. Esso rappresenta un'altra ottima e semplice soluzione, ma ad alto costo. Per quanto sia molto utilizzata (viste anche le prestazioni ottenute) vi consiglio, se necessitate di un altro livello di protezione del codice, di utilizzare Bcompiler. Una nota positiva è che l'estensione Optimizer è spesso installata di default nei server. Riferimenti: http://sicurezza.html.it/guide/lezione/3264/nascondere-il-codice-php/ - spiegazione veloce http://www.zend.com/store/products/zend-encoder.php - pagina ufficiale

ionCube - a pagamento (basso costo) - nessuna modifica

ionCube PHP Encoder è uno dei più noti programmi per la codifica dei codici sorgenti nelle applicazioni scritte in PHP. Si tratta si uno strumento in grado di proteggere i listati oscurandoli e nello stesso tempo di non impedire l'esecuzione di alcuna funzione. Dotato di un'interfaccia grafica (GUI) semplice ed intuitiva, si tratta di un software ideale per coloro che vogliono rilasciare le proprie applicazioni in prova senza la preoccupazione che qualcuno possa copiare il nostro lavoro. Risulta forse una tra le soluzioni più semplici. Inoltre è possibile utilizzare il convertitore online (a pagamento) se si hanno pochi file da codificare. Potete anche provare una versione di valutazione (trial). Riferimenti: http://www.ioncube.com/sa_encoder.php - pagina ufficiale

Turck MMCache - gratuito - poche modifiche

Turck MMCache è un'applicazione open source gratuita che svolge le funzioni di acceleratore PHP, ottimizzatore, codificatore e caching dinamico per PHP. Aumenta le prestazioni degli script mettendoli in cache una volta compilati. Inoltre ottimizza alcune operazioni. In generale riduce il tempo di caricamento e aumenta la velocità di esecuzione del codice da 1 a 10 volte. La migliore soluzione gratuita, peraltro compatibile con Zend nelle ultime versioni. Assolutamente consigliata. Riferimenti: http://turck-mmcache.sourceforge.net/index_old.html - pagina ufficiale

Pobs - PHP Obfuscator - gratuiti - nessuna modifica

Programmi/Script semplicissimi da utilizzare, permettono di proteggere il codice da occhi indiscreti senza trasformarlo in bytecode ma cambiando nomi di funzioni, variabili, ecc. con stringhe casuali, in modo da disordinare il più possibile il codice. Pobs viene eseguito come uno script PHP e permette di settare molte configurazioni (nomi da non modificare, ecc) oltre che una directory da cui attingere ricorsivamente ai file e ad una di destinazione. Phpobfuscator invece è un programma, disponibile per Windows, che svolge le stesse funzioni, ma che continua ad essere mantenuto dal suo produttore. Esempio di codice generato da phpobfuscator:

function FC7321B391B6EF18F0711B835402E91D1($RE91192A00FF990477EE414AD5D708F08) { global $db_prefix; global $R695CD54D1F9CB31C11C71AF5EF74FDDB; $R9E9F3EDB7A84E99A0567F313F4EAC1BA = $RE91192A00FF990477EE414AD5D708F08; $R37A721F3B04CA577A7730084048F2BE3 = array_keys($R695CD54D1F9CB31C11C71AF5EF74FDDB); foreach($R37A721F3B04CA577A7730084048F2BE3 as $R90E8291866BD6CB7ED5089CE7E833D11) { $R9E9F3EDB7A84E99A0567F313F4EAC1BA = str_replace($R90E8291866BD6CB7ED5089CE7E833D11, $db_prefix . $R90E8291866BD6CB7ED5089CE7E833D11 , $R9E9F3EDB7A84E99A0567F313F4EAC1BA); } return $R9E9F3EDB7A84E99A0567F313F4EAC1BA;}.

Vista la loro semplicità e velocità di utilizzo sono assolutamente consigliati a chi vuole una protezione non triviale, senza dover smanettare troppo per ottenerla. Riferimenti: http://pobs.mywalhalla.net/ - pagina ufficiale di Pobs (non più mantenuto) http://www.raizlabs.com/software/phpobfuscator/ - pagina ufficiale di PHP Obfuscator

Conclusione

Spero di aver dato una panoramica abbastanza generale dei mezzi a disposizione per proteggere la nostra proprietà intellettuale. Se qualcuno vuole aggiungere dei dettagli oppure consigliare nuovi programmi può esprimere nei commenti la propria opinione. Il mio consiglio è di informarsi bene su ognuno dei sistemi citati e utilizzare di volta in volta quello che più si adatta alla situazione.

Infine non posso non citare PHPAudit. Chi ha orecchie per intendere..

---

Questo articolo è stato pubblicato il 31-12-1969 alle 18:33 e classificato in .