Ko god ima pristup serveru, moze da iskopira sve pa tako i tvoju web aplikaciju.. ono sto mozes je da otezas pustanje u rad na drugom serveru(mac adresa, hd serial(za win), skriveni file..)

U stvari najbolje sto mozes je da zastitis koliko toliko tvoj source kod(posto je decompile u Javi vrlo jednostavan), putem nekog obfuscator-a (izmulja tvoj source)..

Uradio sam zastitu preko MAC.

ali kao sto kazes java klase se lako otvaraju pa se lako i nadje deo sa MAC adresom da se promeni.

E sad zanima me me ovo poslednje, tj mesanje koda.

Kako se to radi, kao razvojno okruzenje koristim eclipse ako to nesto znaci.



_{[Ovu poruku je menjao zarkoj dana 25.06.2010. u 18:38 GMT+1]}

Ofuscator nema veze sa razvojnim okruženjem. Obfuscator je aplkacija koja tvoj source kod "meša" i radi nezavisno od Eclipse-a. Što se tiče konkretnog obfuscator alata (aplikacije), moraćeš da proguglaš pošto baš nemam iskustva sa tim.

Moracu to malo da pogledam ali ce mi trebati pomoc pa ako neko ima iskustva sa ovim neka se javi.

Probaj sa ProGuard ja sam ga korstio pre par godina, lako ces se snaci..

Skinuo sam ga i bacio pogled na uputstvo na brzinu jer nisam imao nesto bas mnogo vremena.

Mozes li kratko da mi objasnis postupak rada, jer koliko sam video treba da se napravi konfiguracioni fajl pre startovanja.

Meni je ovo web aplikacija sa dinamikom i bazom podataka, i cak radi i sa seriskim portom. Mislis li da ne bi trebalo da ima problema pri koriscenju.

Znaci samo ukratko ako mozes postupak primene jer me buni taj konfiguracini fajl.

uh ljudi, ne zanosite se mnogo, svaki java cod se jako lako hakuje/crackuje/ obsfrucator moze malo da oteza stvari, ali opet java se jako lako hakuje, cak i sa ne znam kakvom zastitom to je lako razbiti. Govorim iz licnog iskustva jer sam nekoliko komercijalnih java aplikacija na predhodnom poslu hakovao :) cak napravio i neki keygen :).


Cak i da obsfrukujes klase ne znam koliko uvek napadac moze da napravi uz pomoc aspectJ-a recimo samo print stabla/(stacktrace) i da tako pokrene aplikaciju na pravom serveru i da je pokrene na nekom drugom gde stvar ne radi i dobice dva fajla , samo uporedi dva fajla i lako dodje do magicnog if-a gde stvar radi ili ne radi. Generalno max jedan dan posla za onoga koji zna sta treba da radi :).

Sto se proguarda tice, prvi prolaz ti je da bi naporavio config file (pro), posle se ga ucitavas kada ponovo imas akciju..

U prvom input/output treba da navedes intput jar/war(tvog projekta) i output, koji kupi i gde baca sa izmenjenim kodom..

Ostalo koliko se secam je default ili je lako provaliti..

U ovo mi i dalje konfuzno deluje.

posto ovo tumba kod pretpostavljam da menja i komentare (mozda gresim).

Ja imam web projekat uradjen na viseslojnom modelu tj sve zahteve sa JSP strane ja saljem servletu i iz njega vracam odgovore na JSP.

E sad sa ovim tumbanjem treba da obuhvatim ceo kod ili ili samo deo gde je logika tj servlete i klase.

Zanima me sta se desi sa recimo JSP strana kada se istumbaju. Da li onda i njihov izgled se menja tj umesto unesite korisnicko ime ja dobijem IPOJKJKHLKLKJL :)



Sta podrazumevas pod prvim prolazom i ako moze malo bolje objasnjenje kreiranja ovog konfiga.
Takodje me buni i ovaj deo sa akcijom tj da ga ucitavam kada ponovo budem imao akciju ???

Ovo mi je bas novo a i sve mi je nekako nelogicno.

Nema sta da ti bude nelogicno nego probaj...

Pazi mrzi me sada da trazim, koliko se secam:
- pali se sa proguardgui.jar ili tako nesto
- kada upalis proguard, nemas nikakav konf. file, tako da popunjavas parametre, pa ga snimis za posle..
- u 1. koraku definises war/jar koji hoces da istumbas i foldere gde su ti libovi koje koristis u aplikaciji (uzmi sa rezervom)
- ostali korci mogu da budu default, a mozda tamo mozes da definises filtere sta hoces a sta neces da tumbas

Meni je trebala za swing aplikaciju, ali 100% moze da se primeni na war, uz mozda definisanje exclude liste (jsp strane)..

Program je nabudzen dovoljno da ti najverovatnije prodje sa default parametrima..

_{[Ovu poruku je menjao dejanet dana 26.06.2010. u 19:25 GMT+1]}

Prilikom obfuskacije, komentari se brišu. Malo bi bezveze bilo da ostane opis metode a da se samo izmeni njen naziv i nazivi promenljivih unutar bloka. Kakva bi onda poenta obfuskacije bila? :)

Izgled JSP stranica ostaje isti.