crypter son code source

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Partage] crypter son code source

    Bonjour à tous

    ça faisait un petit moment que ça me trottait dans la tête : comment masquer son code source ou tout au moins le rendre moins bavard. Quel intérêt me direz-vous ? Pour les prestas de création de sites pour des clients par exemple on peut parfois souhaiter ne pas afficher en clair les noms des templates, composants, modules et plugins utilisés. Pour des raisons de sécurité aussi, le code source d'un site joomla étant assez caractéristique il est facilement identifiable ; et puis afficher en clair la structure de son dossier images par exemple ou media, même s'ils ne sont pas accessibles, c'est un peu embêtant.
    Sur ce forum ou d'autres quelques posts traitent du sujet, sans forcemment donner de solution ; il est vrai que ne serait-ce que changer le nom de son template pour le rendre plus privé reste souvent galère.

    J'ai utilisé pour quelques sites basiques le composant Hide my Joomla, qui permet de changer et personnaliser les noms des chemins vers les dossiers composants, template, module, media, plugin ; en clair le code source s'affiche intégralement mais les noms des extensions sont complètement modifiés ce qui évite que n'importe qui voit les outils utilisés sur le site. Mais sur des sites plus évolués avec de gros templates et des extensions costauds ça m'a toujours provoqué des bugs, si bien que je le désactivais.

    Je crois avoir enfin trouvé l'outil que je cherchais : yKhoon HTML Protector que je viens de tester sur plusieurs sites en 3.6.5 et qui fonctionne parfaitement même en production. Le pire est qu'il est sur la jed mais il m'avait toujours échappé jusqu'ici. Son fonctionnement est assez simple : il encrypte complètement le rendu du code source de la page lorsqu'un visiteurs veut l'afficher. Il ne modifie aucun fichier système, le script se lançant seulement lorsque l'affichage vers la page du code source est activé dans le navigateurs. Plusieurs options en backend permettent de déterminer si l'on souhaite encrypter le header aussi, les scripts, quelles pages encrypter ou non etc..Surtout il permet aussi de sélectionner les bots qui ont droit eux au html non encrypté, pour le référencement du site. Bref un outil super bien fait et qui a parfaitement répondu à mon besoin ; je regrette pas les 25$ de sa licence d'autant que le support est très réactif (quelques questions posées par mail et réponses en moins de 2h). Bien sûr quelqu'un qui veut vraiement fouiller pourra toujours passer par les outils de développement des navigateurs, firebug et consorts mais je trouve que c'est déjà une sécurité de plus.

    Voilà c'était un petit retour d'expérience sur cette extension et sur ce "problème" d'affichage en clair dans le code source des templates et extensions utilisés sur un site, un sujet qui peut peut-être intéresser d'autres utilisateurs de Joomla

    @+
    Chris

  • #2
    Re : crypter son code source

    Bonjour

    A la lecture de ton post, je me suis dit "allons voir". Je vais sur la JED pour ce composant, il y a un lien vers un site de démo, j'y vais et hop mon antivirus m'alerte d'un danger. Hummmm.

    Peux-tu nous poster un lien vers l'un de tes sites ? J'aimerais bien jeter un oeil en mode curieux sur le rendu html.

    merci.
    Christophe (cavo789)
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
    Mes logiciels OpenSource : https://www.avonture.be

    Commentaire


    • #3
      Re : crypter son code source

      whaou tu m'inquiètes là ; mais quel antivirus tu utilises ? parce chez moi avec eset (pare feu + antivirus) derniere version et à jour, malwarebytes et spybot en résident actif je vais sur leur site sans aucune alerte ; je viens encore d'y retourner ; sinon www.tamaee.org pour un visu

      Commentaire


      • #4
        Re : crypter son code source

        Mon antivirus est Avast et il semble être pointilleux sur l'URL (l'alerte mentionne URL:Mal). Le site que j'ai été voir est http://ykhoonextension.com/main/demo...html-protector.

        Pas d'alerte sur le tien.

        Je ne sais pas trop ce qu'il faut penser de ce plugin. Il a obfuscé ton code HTML en javascript (on pourrait s'amuser à le décrypter en faisant un document.write et non plus un eval).

        Ton score GTMetrix (https://gtmetrix.com/reports/www.tamaee.org/ZdVUV1Hv) n'est pas très bon mais pas très mauvais non plus.
        Christophe (cavo789)
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
        Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
        Mes logiciels OpenSource : https://www.avonture.be

        Commentaire


        • #5
          Re : crypter son code source

          Envoyé par cavo789 Voir le message

          Ton score GTMetrix (https://gtmetrix.com/reports/www.tamaee.org/ZdVUV1Hv) n'est pas très bon mais pas très mauvais non plus.
          en tout cas il est protégé par aesecure mais version free j'avoue.

          Commentaire


          • #6
            Re : crypter son code source

            Bonjour,

            Je n'en vois pas l'utilité. Quand je veux voir le code, je fais un F12. Le Ctrl+U, c'était il y a longtemps
            Wappalyzer m'affiche bien que c'est un site Joomla! donc rien n'est caché pour les robots
            UP, le plugin universel à découvrir sur https//up.lomart.fr
            bgMax
            , AdminOrder, MetaData, Zoom, ArtPlug, Custom, Memo, Filter, ... sur http://lomart.fr/extensions

            Commentaire


            • #7
              Re : crypter son code source

              Envoyé par cavo789 Voir le message
              Je ne sais pas trop ce qu'il faut penser de ce plugin. Il a obfuscé ton code HTML en javascript (on pourrait s'amuser à le décrypter en faisant un document.write et non plus un eval).
              pour HTML Protector oui il me semble faire ce qu'on lui demande ; après c'est sûr y'aurait toujours moyen de contourner et celui qui veut vraiment connaitre les ressources utilisées par un site joomla ou autre de toute façon le pourra toujours

              Commentaire


              • #8
                Re : crypter son code source

                Envoyé par lomart Voir le message
                Bonjour,

                Wappalyzer m'affiche bien que c'est un site Joomla! donc rien n'est caché pour les robots
                oui ça c'est sûr

                Commentaire


                • #9
                  Re : crypter son code source

                  Pour info au cas où tu ne l'aurais pas déjà vu par toi-même :



                  En fait, il n'existe vraiment aucun cryptage correct car pour que le navigateur puisse voir ta page, il faut bien qu'il ait accès au code HTML. Peu importe ce que tu peux faire comme cryptage / obfuscation, à la toute dernière étape; pour que l'affichage soit possible, il faut un code non crypté.
                  Christophe (cavo789)
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                  Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                  Mes logiciels OpenSource : https://www.avonture.be

                  Commentaire


                  • #10
                    Re : crypter son code source

                    Pour info au cas où tu ne l'aurais pas déjà vu par toi-même
                    C'est ce que je voulais dire par : Je n'en vois pas l'utilité. Quand je veux voir le code, je fais un F12.

                    C'est tellement plus facile que d'afficher le code qui en général est très mal mis en forme par les CMS

                    Afficher le source, je le fais uniquement pour récupérer le code afin de le modifier en local pour le retester.
                    UP, le plugin universel à découvrir sur https//up.lomart.fr
                    bgMax
                    , AdminOrder, MetaData, Zoom, ArtPlug, Custom, Memo, Filter, ... sur http://lomart.fr/extensions

                    Commentaire


                    • #11
                      Re : crypter son code source

                      Envoyé par jawunta Voir le message
                      Bien sûr quelqu'un qui veut vraiement fouiller pourra toujours passer par les outils de développement des navigateurs, firebug et consorts mais je trouve que c'est déjà une sécurité de plus.
                      yes cavo j'avais vu. Après c'est sûr vous ête toi et lomart des utilisateurs chevronnés c'est pas contre des visiteurs comme vous que c'est destiné un petit leurre de ce type ; mais je préfère toujours que celui qui est un peu trop curieux ait à mettre un peu les mains dans le cambuis d'un firebug pour remonter des infos sur les outils utilisés plutot que d'afficher tout simplement le code source en pleine page pour voir clairement les chemins et les compos actifs ; afficher la page source reste quand même le premier réflexe d'un "non-spécialiste' pour voir comment et avec quoi est fait un site ; moi je trouve ce petit soft plutot sympa, et c'est le seul à ma connaissance à vraiment le faire efficacement ; même si encore une fois ça tient pas deux minutes l'interdiction de voir le code source face à un gars un minimum connaisseur qui saura de toute façon utiliser les outils qu'il faut et notemment ceux inclus d'office dans n'importe quel navigateur

                      Commentaire


                      • #12
                        Re : crypter son code source

                        une petite précision sur le contexte aussi : ici où le web est en plein développement mais pas encore ****** il existe une concurrence assez féroce, pas forcemment super spécialisée mais prête à calquer la moindre nouveauté sur le plan des idées ou des concepts d'un site qui marche mais aussi et surtout à faire du copier-coller presque intégral du site en question pour le dupliquer sous un autre nom, et en utilisant presque exactement les mêmes outils que sur le site de départ; dans ce contexte alourdir un peu la tâche du 'copieur' c'était pour moi le bienvenu ; là le lien était sur le site d'une ong, ça n'a pas vraiment d'intérêt puisqu'il ne sera pas copié, mais sur des plate-formes de type ecommerce qui commencent à percer parce qu'elles proposent quelques idées originales comparées aux autres, toujours construites sous joomla, je préfère masquer au maximum les outils utilisés

                        Commentaire


                        • #13
                          Re : crypter son code source

                          Envoyé par lomart Voir le message
                          Wappalyzer m'affiche bien que c'est un site Joomla!
                          très bon wappalyser je connaissais pas ; je viens de l'intégrer à firefox c'est impressionnant les infos qu'il te donne

                          Commentaire


                          • #14
                            Re : crypter son code source

                            surtout à faire du copier-coller presque intégral du site en question pour le dupliquer sous un autre nom
                            L'important, c'est le php qui est derrière. Un copier-coller ne sert à rien.

                            Celui qui voudra copier un site connait au minimum l'inspecteur de code. Son existence est rappelée très régulièrement sur ce forum.

                            Pensez que les autres sont des ignares justes bons à copier nos géniales idées est une mauvaise approche. C'est sa capacité d'innovation et d'adaptation qu'il faut vendre. L'idéal étant d'écrire ses composants pour éviter qu'ils soient disponibles pour les autres.
                            UP, le plugin universel à découvrir sur https//up.lomart.fr
                            bgMax
                            , AdminOrder, MetaData, Zoom, ArtPlug, Custom, Memo, Filter, ... sur http://lomart.fr/extensions

                            Commentaire


                            • #15
                              Re : crypter son code source

                              Envoyé par lomart Voir le message
                              Pensez que les autres sont des ignares justes bons à copier nos géniales idées est une mauvaise approche.
                              oula non c'est pas ce que je voulais dire

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X