Protéger son code-source est-ce possible ?

WRInaute discret

Bonjour,

Je viens de surfer et je suis tombé sur un site qui avait une petite icone en ASCII -> ☞

Comme je ne le connaissais pas, j'ai décider de regarder le code source pour récupérer le code ASCII cette icône.

Et là surprise :

Code:
<!--
                     Qu'est-ce que vous faites dans notre code source???
                             
       L'adresse de votre ordinateur est enregistrée dans notre système en liste noire
         et transmise aux autorités compétentes spécialisées en espionnage industriel
-->

Tout au début je me suis dit "tiens un webmaster qui a de l'humour" ensuite j'ai eu peur et je me suis dit "oh mince je vais aller en prison" ;-) et puis je me suis dit qu'il n'était pas possible de transmettre des informations lorsque l'on regarde le code source d'une page puisque la page était téléchargée sur le PC.

Mais sinon, existerait-il un moyen de protéger le code source d'une page HTML ?

Je pense notamment à la protection des mots-clés dans les métas tags qui d'ailleurs n'ont plus de très grandes valeurs pour Google.
 
WRInaute accro
t'es vraiment dans le caca la, change de pc, de fournisseur d'acces, déménage et tout, dans 3 minutes les flics arrivent (j'entends deja les sirenes)

plus serieusement, à partir du moment ou la page est chargée, tu en a récupéré le code source (sinon, comment le navigateur ferait-il pour la lire ??)
donc, non, impossible de protéger completement son code source.
 
WRInaute accro
>> spécialisées en espionnage industriel

PTDR
t as vu ou que lire du code source HTML c'etait interdit ?
aucun moyen fiable de bloquer le code source, tu peux juste ecarter les petits curieux débutants
 
WRInaute accro
Tu es un numero...

prisbar2.gif
 
WRInaute occasionnel
Y a peut etre pas moyen de proteger, mais y a de quoi gener le mec qui veut lire :

- Le message que tu as lu en haut de page, l'html est mis dans le bas de la page (oui, oui, y en a qui ne voyent pas l'ascenseur)

- Plus genant, coder tout l'html de ta page dans une fct en JS avec unescape.
 
WRInaute discret
e-kiwi a dit:
>> spécialisées en espionnage industriel

PTDR
t as vu ou que lire du code source HTML c'etait interdit ?
aucun moyen fiable de bloquer le code source, tu peux juste ecarter les petits curieux débutants

Et oui j'ai été étonné le lire ça aussi !

Je peux te filer l'url en MP si tu veux. Le site n'a pas pignon sur rue : ils ont 2 BL et 49 pages indexées !

Ça aurait été la NASA j'aurais compris mais là !
 
WRInaute impliqué
Ben de toutes façons, même s'il ne l'écrit pas pour rigoler (auquel cas c'est dommage pour lui), tu t'en fous, puisque ses menaces sont vaines : comment veux-tu accuser d'espionnage industriel une personne à qui tu as sciemment fourni un code en clair ? D'autant plus quand le fait que la personne détienne le code en question est une condition sine qua non pour qu'elle voie ce que tu veux lui montrer ?

Ce type de menaces est :
a) puéril
b) inutile
c) ridicule
d) désopillant

(Cherchez pas la mention à rayer y'en a pas !)

[EDIT]Ceci dit, on peut raisonnablement douter de la prise de conscience technologique d'une personne qui déclare un document HTML 3.2 en décembre 2004 :roll: [/EDIT]
 
WRInaute accro
MarvinLeRouge ca permet de dissuader les plus noobs des copieurs
la preuve que ca marche, c'est que ce sujet à débuté ...
mais, je suis daccord que c'est n'importe quoi
 
WRInaute impliqué
Et en quoi le copiage de code source approtera-t-il quoi que ce soit au copieur ?
La personne qui est capable de copier un code source html et de l'adapter à son besoin ira 15 fois plus vite en l'écrivant elle-même.
 
WRInaute impliqué
He ben qu'ils le fassent ! Ils s'apercevront bien assez tôt que ce n'est pas une page de code qui leur donnera de la créativité, de l'originialité ou de la compétence.
 
WRInaute accro
sur, surtout que c'est le genre de personnes qui plagient pour 3 pekins par moi, c pas la mort ...
(et comme ils ne modifient meme pas les adresses des images, ils sont facilement repérables)
 
WRInaute occasionnel
LOOOOOOOOOOOOOL
par contre, il dit qu'il enregistre ton adresse...
Donc il a pris une information de ta vie privée.
Pour rigoler, tu peux lui demander s'il inscrit à la CNIL, et si non, qu'il n'a aucun droit de garder trace de ton passage, sinon c'est de l'atteinte à la vie privée.
Que tu lui envoies de ce pas un huissier pour saisir son matériel, et que tu as envoyé une plainte à son FAI et à son hébergeur :)

à malin, malin et 1/2 :)
 
WRInaute discret
psykoko a dit:
LOOOOOOOOOOOOOL
par contre, il dit qu'il enregistre ton adresse...
Donc il a pris une information de ta vie privée.
Pour rigoler, tu peux lui demander s'il inscrit à la CNIL, et si non, qu'il n'a aucun droit de garder trace de ton passage, sinon c'est de l'atteinte à la vie privée.
Que tu lui envoies de ce pas un huissier pour saisir son matériel, et que tu as envoyé une plainte à son FAI et à son hébergeur :)

à malin, malin et 1/2 :)

Bien vu 8)
 
WRInaute discret
Oui mais d'un autre coté ce genre de procédure ca prend pas 2 minutes c'est plus facile à conseiller qu'a faire sois-meme :D

Et pis si jamais il pert son proces (rien n'est impossible) les frais c'est pour sa pomme
 
WRInaute discret
Conc3pt a dit:
Oui mais d'un autre coté ce genre de procédure ca prend pas 2 minutes c'est plus facile à conseiller qu'a faire sois-meme :D

Et pis si jamais il pert son proces (rien n'est impossible) les frais c'est pour sa pomme

Oui enfin je vais pas aller jusque là quand même, il a dit ça pour le fun, on est pas aux States ;-)
 
WRInaute impliqué
psykoko a dit:
LOOOOOOOOOOOOOL
par contre, il dit qu'il enregistre ton adresse...
Donc il a pris une information de ta vie privée.
Pour rigoler, tu peux lui demander s'il inscrit à la CNIL, et si non, qu'il n'a aucun droit de garder trace de ton passage, sinon c'est de l'atteinte à la vie privée.
Que tu lui envoies de ce pas un huissier pour saisir son matériel, et que tu as envoyé une plainte à son FAI et à son hébergeur :)

à malin, malin et 1/2 :)
Il me semble que la declaration a la CNIL est utile lorsque l'on colllecte des données du type nom/prenom/adresse/ville ....
Sinon tous le monde est en fraude avec les logs apache ou iiss des connections ...
M'enfin lol comme meme ....
 
WRInaute accro
gaming zone à partir du moment ou tu recupere l'ip dans ta page, tu doit faire une déclaration cnil
pour les logs serveur, c'est spécial, et ca ne fait pas forcément l'objet d'une déclaration
 
Nouveau WRInaute
Ouaip, CNIL pas CNIL !! et ?? Mettre le nom de l'hebergeur sur son site, c'est obligatoire.. Qui le fait ??? protéger des <tr><td> => <aucun interet>

Par contre protéger ses images, oui !!!

CODE :

<?php
// Créer le fichier: page_contenant_image.php
readfile("http://www.mondomaine.com/image.gif");
?>
<!-- pour l'apel de l'image -->
<img src="page_contenant_image.php">
 
WRInaute passionné
phpsources.org a dit:
Ouaip, CNIL pas CNIL !! et ?? Mettre le nom de l'hebergeur sur son site, c'est obligatoire.. Qui le fait ??? protéger des <tr><td> => <aucun interet>

Par contre protéger ses images, oui !!!

CODE :

<?php
// Créer le fichier: page_contenant_image.php
readfile("http://www.mondomaine.com/image.gif");
?>
<!-- pour l'apel de l'image -->
<img src="page_contenant_image.php">
:roll: il sert à rien à part plomber le serveur, ce ptit bout de code... :roll:
 
Nouveau WRInaute
Et le mode full screen obligatoire ?

toujours dans le même esprit, il est possible d'interdire un clic droit (dans la balise body), donc d'empecher d'afficher la source, mais çà n'est réellement efficace qu'en mode plein écran ou du moins sans les barres de menu, navigation...etc... (chose faisable en ouvrant une nouvelle fenetre).

LE PROBLEME : peut-on controler le fait que le navigateur n'a pas ces barres, donc que le visiteur est bien passé par l'ouverture de la nouvelle fenetre (window.open), et qu'il n'a pas tapé l'URL directement, auquel cas il conserve les barres de menu et nav ?

Quelqu'un a-t-il la solution ? Merci d'avance...
 
WRInaute accro
phpsources.org a dit:
C'est vrai tu peux toujours faire une capture d'ecran
d'ailleurs tu devrais te passer un écran total, c'est l'été

Banzai noob :)

tu ne fait strictement aucune vérification sur l'image, tout ce que tu fait, c'est de lire le fichier ...
donc, oui, ca sert à rien excepté à surcharger un petit peu plus le serveur.

apres, pour le fait de mettre le nom de ton hebergeur sur ta page, tu fait ce que tu veut. personnelement, un lien de plus, ca ne coute strictement rien ... (et si tu veut, y'a le rel="nofollow" qui existe)
 
WRInaute passionné
Message caché dans le code source (suite) :

J'en ai un tres drôle aussi d'une boîte de référencement:

Les **** permettent de cacher l'identiter de la société

<!-- bienvenue aux visiteurs de notre site qui cherchent a savoir pourquoi ************************ -->
<!-- la reponse simple: **** est une societe tres mechante qui ne respecte pas l'ethique des moteurs -->
<!-- la reponse inquietante: honnetement, nous ne savons pas pourquoi -->
<!-- la reponse capitaliste: **** vit du referencement et n'achete peut etre pas suffisament d'adwords dans Google -->
<!-- **** capte peut etre trop de trafic gratuit -->
<!-- et n eduque peut etre pas suffisament ses clients a faire des campagnes Adwords -->
<!-- donc maintenant, c'est decide, je vais acheter plein d adwords, des adsenses -->
<!-- et puis qu'est-ce que c'est bien Gmail. -->
<!-- Froogle j adore -->
<!-- google news je regarde tous les jours -->
<!-- google forums m a sauve la vie -->
<!-- Yahoo c nul -->
<!-- ACHETEZ DES ADWORDS -->
<!-- ACHETEZ DES ADWORDS -->
<!-- ACHETEZ DES ADWORDS -->
<!-- ACHETEZ DES ADWORDS -->
<!-- ACHETEZ DES ADWORDS -->
<!-- ACHETEZ DES ADWORDS -->
<!-- **** a ete invite la Google Party de fin septembre -->
<!-- et n oubliez pas que le 29 septembre c est ****** -->

Et plus bas encore plus drôle :)


<!-- vends TV 55 cm stereo, PAL-SECAM-NTSC, Teletexte, juin 2001, modele 2002, achetee 70 euros sur ebay. Vendu 99 euros a debattre -->
<!-- cel 06 62 ** ** ** -->
 
WRInaute passionné
phpsources.org a dit:
C'est vrai tu peux toujours faire une capture d'ecran
d'ailleurs tu devrais te passer un écran total, c'est l'été

Banzai noob :)
C'est moi que tu traites de noob alors que tu ne sais même pas à quoi correspondent les scripts postés sur le site dont tu portes le nom ,
je cite :
Vous désirez cacher la source d'une image ? Voici le script en 2 lignes. Le systeme est simple, vous créer une page php avec l'image à l'interieur et pour apeler l'image de n'importe quel page, vous insérer l'apel.
En aucun cas cela ne protège l'image elle-même, ça permet juste de cacher le nom du dossier qui la contient (pour peu que ça soit utile :roll: ).

Va bronzer, pendant que moi je taffe ; il faut de tout pour faire un monde :wink:
 
WRInaute accro
c'est sur que sur ce coup la, phpsources, ton intégrité en a pris un coup ... surtout vu le theme de ton site.
m'en fou moi, ca fait un concurrent de moins :mrgreen:
:arrow:
 
Nouveau WRInaute
Oky, O temps pour moi, de mon coté absolument aucun logiciel de Macromedia n'arrive a relire l'image, donc j'ai pensé..trop vite . et connement c kler..1000 sorry pour ma grossiereté, manque de sommeil pour terminer les sites de mes clients...

surtout vu le theme de ton site.
m'en fou moi, ca fait un concurrent de moins

Hum !! Avec tes 3 articles et tes 2 bouts de codes qui se battent en duel ? Tu devrais peut etre pas la ramener mon kanard, bon je sort sinon vais passer la journée a m'excuser :)

++
 
WRInaute accro
on va pas se battre ici hein, mais il vaut mieux avoir peu d'articles, mais des de qualité ;) (et je ne dis pas que tes articles ne sont pas de qualité, je n'ai pas visité ton site)
 
WRInaute accro
Pour cacher, sinon le code, du moins les données...

Ajax peut toujours servir à charger les données dans du code html interne, non visible dans le source ?

A la rigueur, on pourrait penser qu'il suffirait d'analyser les scripts Javascript qui font le boulot, et de restituer les données, mais... Si les scripts Javascripts sont cryptés et auto-décryptables ? ;)

Après tout, il ne doit pas y avoir une seule manière au monde de crypter un script Javascript, de manière à ce qu'il s'autodécrypte lui-même au chargement...?

On peut suppposer qu'il existe une technologie, à partir d'un script Javascript en clair, et à partir d'un algorithme de cryptage donné ( et quel que soit cet algorithme de cryptage ), de produire l'équivalent crypté du script Javascript, mais en mode auto-décryptable, ce qui nécessiterait déjà que Javascript soit activé dans le poste client, ce qui limite beaucoup les risques de décryptage ?

Et dans ce cas... Y aurait-il moyen, de faire varier des paramètres de décryptage, de manière à ce qu'un script Javascript crypté, ne soit décryptable qu'une seule fois, pour un chargement de page donné ?

A ce moment-là, vous auraiez un site tout en Ajax, avec un source strictement impossible à interpréter.

Si les scripts Javscript cryptés, étaient produits par du php en amont, rien n'empêcherait l'auteur du site, de faire en sorte, qu'un mode de cryptage donné ( pour un en semble donné de paramètres de cryptage ), ne soit valable qu'une seule fois ?

Alors ? Comment copier le code d'un tel site, produit par du php, produisant des scripts Javascripts cryptés auto-décryptables une seule fois, qui permettent le fonctionnement en Ajax du site, dont par définition les données ne seront pas visibles ?

N'y aurait-il pas des recherches à faire dans ce domaine, en vue de produire des sites non reproductibles ?

Merci beaucoup de vos réponses.

Jean-François Ortolo

PS Evidemment, ce type de programmation, c'est la mort du référencement naturel, mais bon, quand on veut le secret à tout prix... ;(

La seule et unique réponse des hackers à ce type de cryptage, consisterait à programmer un interpréteur Javascript ad hoc, associé à un logiciel de chargement d'url type curl ou wget ou autre... Avis aux amateurs...

De tesl hackers, pourraient facilement vendre ce type de logiciel, et se faire une solide petite retraite...
 
WRInaute occasionnel
Je comprends pas... Comment voulez vous copier le code source d'un site en PHP par exemple??
Tout est interprété... il n'y a rien à copier, que le résultat HTML...
Ensuite, il y a les jscripts... Bon... Jscript ajoute des fonctionnalités aux sites... mais ce n'est pas un langage pour coder, mais plus de script (comme son nom l'indique).

Ensuite, cacher des données ???? Ben dans ce cas là, il sert à quoi le site WEB ????

Pour ce qui est de l'ajax, ok, mais au revoir le référencement :) Et tout passe en clair, donc encryptage decryptage nécessaire.

Au final, y a-t-il un réel besoin et cette question est-elle légitime ?
 
WRInaute accro
psykoko a dit:
Pour ce qui est de l'ajax, ok, mais au revoir le référencement :) Et tout passe en clair, donc encryptage decryptage nécessaire.

Au final, y a-t-il un réel besoin et cette question est-elle légitime ?


Bonjour Monsieur

En ce qui cocnerne la légitimité, il s'agit là de copie de sites, et celà relève théoriquement de la loi de Juillet 1998 sur la copie des bases de données, sous toutes réserves. 22.000 euros d'amende si je me souviens bien, avec de la prison en sus peut-être...

Mais vous savez, qu'en formulant un problème, on arrive aussi à formuler le moyen de s'en prémunir, et là, je pose le problème, donc aussi le moyen de s'en prémunir.

Vous savez bien, qu'en Ajax, les données sont visibles sur le site ( dans le navigateur, car interprété par le Jevascript ), et pas dans le source.

Cependant, si vous disposez du source en clair du ou des scripts en Javascript qui assurent la fonctionnalité Ajax, vous pouvez simuler en PHP le comportement des scripts Javscript ( avec beaucoup d'efforts et de recherche ), ce qui fait, que si ces scripts Javascript sont en clair, il est toujours possible d'accéder aux données sans navigateur, même pour un site avec la technologie Ajax.

Mais... Si les scripts Javascript sont cryptés au départ, c'est sûr qu'ils se décryptent automatiquement au moment de leur chargement dans la page du navigateur, grâce à l'interpréteur Javascript, et donc ces scripts Javscript, ainsi décryptés, fonctionnent et arrivent à assurer les fonctionnalités Ajax, mais cete fois-ci d'une manière impossible à deviner, puisuq'au départ ils sont cryptés, et qu'il faut donc un interpréteur Javascript pour les décrypter.

Dans le cas des scripts Javascript crypté autodécryptables donc, et de la technologie Ajax, tout le problème est donc d'avoir accès au script Javascript non crypté, d'en déduire ses fonctionnalités, de manière à pouvoir le simuler ( par exemple en PHP ), de façon à rapratrier les données autrement qu'avec un navigateur.

Vous savez bien, que curl, wget, et lynx qui sont des navigateurs texte, n'ont pas d'interpréteur Javascript. Ils ne peuvent donc pas lire ce genre de site protégés.

Cependant, ce devrait être à la portée d'un hacker de haut niveau, de programmer un programme capable, non seulement de télécharger une url, mais également de l'interpréter en Javascript, et de mémoriser les données résultantes, de manière appropriée.

A ce moment-là, le problème serait résolu, et il n'y aurait plus aucun moyen au monde, pour qu'un site puisse éviter de se faire "pomper" par des programmes automatiques.

Celà dit, en ce qui me concerne, je n'ai pas du tout les compétences qu'il faudrait pour faire un tel programme, mais un hacker qui serait capable de faire celà, tirerait probablement pas mal d'argent, de son programme...

Bien à vous.

Amicalement.

Jean-François Ortolo
 
Nouveau WRInaute
Bonjour ortolojf,

ortolojf a dit:
Ajax peut toujours servir à charger les données dans du code html interne, non visible dans le source ?

[...]

Vous savez bien, qu'en Ajax, les données sont visibles sur le site ( dans le navigateur, car interprété par le Jevascript ), et pas dans le source.

Hélas, à la base, tu te trompes concernant AJAX. Le Javascript effectue une requête sur le serveur, reçoit un résultat et le Javascript modifie la source (le DOM). Ce DOM modifié peut être récupéré facilement avec des extensions comme View Source Chart et Firebug sur Firefox.
 
WRInaute accro
Tony Monast a dit:
Bonjour ortolojf,

Hélas, à la base, tu te trompes concernant AJAX. Le Javascript effectue une requête sur le serveur, reçoit un résultat et le Javascript modifie la source (le DOM). Ce DOM modifié peut être récupéré facilement avec des extensions comme View Source Chart et Firebug sur Firefox.


Bonjour Tony

Attention: Tu mentionnes des extensions d'un navigateur, et non pas un programme autre qu'appartenant à un navigateur.

Si tu veux faire du traitement automatique à des données sitéues sur un site en Ajax, et ceci avec un programme, comment tu fais ?

Amicalement.

Jean-François Ortolo
 
WRInaute accro
spout a dit:
ortolojf a dit:
Si tu veux faire du traitement automatique à des données sitéues sur un site en Ajax, et ceci avec un programme, comment tu fais ?
Un script avec CURL


Bonsoir spout

CURL n'interprète pas le Javascript.

Si le site est en Ajax, le source ne contiendra pas les données, mais seulement le source direct.

Si le ou les scripts Javascript qui s'occupent de fournir la fonctionnalité Ajax, sont crypté ( et auto-décryptables ), il sera impossible de les examiner pour en simuler le fonctionnement.

Ainsi, le contenu du site restra consultable uniquement manuellement, avec un navigateur.

Et... Aucun navigateur texte type lynx, curl ou wget, n'ont d'interpréteur Javascript intégré.

Alors...

Bien à toi.

Amicalement.

Jean-François Ortolo
 
WRInaute accro
Oui je sais que CURL ne fera pas la requête AJAX, mais dans Firebug on peut connaitre facilement la source, il ne reste qu'a faire le CURL sur l'URL source du AJAX.
 
WRInaute accro
spout a dit:
Oui je sais que CURL ne fera pas la requête AJAX, mais dans Firebug on peut connaitre facilement la source, il ne reste qu'a faire le CURL sur l'URL source du AJAX.


Comprend pas.

Firebug je ne sais pas ce que c'est.

Je croyais que c'était une extension d'un navigateur, mais tu me parles de CURL...

Si c'est possible de déclencher Firebug après avoir chargé le source avec CURL ( c'est l'ordre logique ? ), est-il possible de sélectionner automatiquement par programme, le contenu rendu par Firebug ( qui fait d'après toi l'interprétation Javascript du contenu Ajax chargé par CURL ), de manière traiter le contenu final ( les données du site ) automatiquement ?

Amicalement.

Jean-François Ortolo
 
WRInaute accro
Firebug c'est une extension pour Firefox: http://getfirebug.com/

1) Analyse de la page avec Firebug pour connaitre le _GET ou _POST qui fait la requete AJAX => on obtient une URL
2) Utilisation de CURL pour lire cette URL

Faire ça en automatique, non je ne vois pas... mais c'est surement faisable.
 
WRInaute accro
Bonsoir spout

Merci beaucoup pour l'information.

En fait, cette méthode est imparable même si le ou les scripts Javascript sont cryptés/autodécryptables.

Donc, en fait, il est strictement impossible d'empêcher le traitement automatique des données d'un site.

A moins.... Que d'y accéder nécessite un abonnement ou un paiment.

Mais... Il faut bien que les sites aient des produits d'appel, donc ça encore, c'est plus ou moins voué à l'échec, dans une optique marketing bien pensée.

Après, reste les mesures de rétorsion de tout ordre du site copié, et là ça peut faire mal... ;(

Problème résolu donc.

Amicalement.

Jean-François Ortolo
 
Discussions similaires
Haut