Je connais mal les techniques d'obfuscation. Ce que je pense savoir par contre, c'est qu'un code obfusc� est sans doute difficile � d�compiler : mais la structure m�me d'un *.class fait que le code reste tr�s simple � d�sassembler. Une fois d�sassembl�, il suffit de modifier le bytecode et r�assembler. C'est plus facile � dire qu'� faire, mais un bon expert du bytecode (ou un pirate motiv�) peut y parvenir.
De toute fa�on, les *.class ne sont pas s�curis�s contre le piratage : pour avoir une application s�re, il faudrait (me semble-t-il du moins) que les parties strat�giques du code, au moins, soient compil�es en natif et appel�es via JNI. C'est beaucoup moins �vident � d�sassembler, et plus encore � d�compiler. -----Message d'origine----- De : Damien Lecan [mailto:[EMAIL PROTECTED]] Envoy� : mercredi 15 mai 2002 10:56 � : liste java Objet : Application java et s�curit� Bonjour, Ce matin, notre client nous a montr� le manque de s�curit� de notre application. En effet, notre application ne peut se lancer sans d�verouillage par login/mdp. Les �changes avec la base de donn�es sont m�mes crypt�s pour �viter de voler le mot de passe sur le r�seau. J'�tais m�me assez fier du boulot effectu�. Mais le client � pu rentrer sans m�me decouvrir le mot de passe. A notre grande surprise, il a juste "d�compil�" notre code et modifi� l'application pour que l'authentification soit toujours bonne ... Simple, cela ne lui a pris plus de 5 min (surement moins encore s'il y avait encore eu les commentaires). Je sais qu'il existe des outils "d'obfuscation" de code, mais est-ce vraiment valable ? Est-ce la solution � mon probl�me ? Alors alors, l'application est peut-�tre mal con�ue ... S'il faut que j'utilise un tel outil, � quel moment du processus de d�veloppement faut-il l'appliquer ? Merci de votre aide. Damien Lecan
