My<cod/>.net
Стоит ли мне беспокоиться о том, что мой код .NET будет запутан?
Я уверен, что многие читатели на SO использовали отражатель .NET Лутца Редера для декомпиляции своего кода .NET. Я был поражен тем, насколько точно наш исходный код может быть восстановлен из наших скомпилированных сборок.
Мне было бы интересно узнать, сколько из вас используют обфускацию и для каких продуктов?
Я уверен, что это гораздо более важный вопрос для, скажем, приложения .NET, которое вы предлагаете для загрузки через интернет, в отличие от того, что построено специально для конкретного клиента.
Помните, что обфускация-это не шифрование. IMHO, если кто-то видит ценность в обратном проектировании вашего кода, он сделает это. Это верно для управляемого кода или машинного кода, запутанного или нет. Конечно, путаница отпугивает случайного наблюдателя, но действительно ли вашему бизнесу угрожают такие люди? Каждый метод запутывания .NET, который я видел, усложняет вашу жизнь как разработчика.
Есть службы, которые предлагают истинное шифрование, например SLPS от Microsoft. Увидеть http://www.microsoft.com/slps/default.aspx
В настоящее время мы затуманиваем всю нашу продукцию, хотя мы являемся небольшим предприятием, которое продает специализированное программное обеспечение небольшому числу клиентов.
Мы приняли это решение по одной простой причине - мы обнаружили, что недовольный бывший сотрудник активно обращается к нашим клиентам, запрашивая двоичные файлы , - было некоторое беспокойство, что он намеревался перепроектировать новые функции, чтобы предложить конкурирующую функциональность.
Конечно, он все еще может сделать это, если он использует программное обеспечение, но нет никаких причин, чтобы сделать это легко для него.
Никаких новых обфускаций, но множество трюков компилятора начиная с 1.1
Например, каждый раз, когда вы используете анонимный тип, вы получаете IL, который компилируется обратно с довольно неясным именем. Каждый раз, когда вы используете yield, вы получаете совершенно новый класс, который реализует как IEnumerable, так и IEnumerator (умная оптимизация, нечитаемый код). Каждый раз, когда вы используете анонимный делегат, вы получаете новый метод с именем, которое недопустимо в каждом языке .Net, который я знаю, но это нормально в IL.
@Rob Купер
Проведя некоторые обсуждения с моим менеджер на работе, он сказал, что не знает запутывает, но делает NGEN при установке, видимо этого должно быть достаточно чтобы остановите рефлектор работая на вашем ассамблеи, но я понятия не имею, если это это правда и до какой степени, так что пожалуйста не воспринимайте это как Евангелие :)
Это не дает никакой защиты от разборки. Во-первых, я думаю, что вполне возможно извлечь raw-файлы из любого установочного пакета, такого как файл MSI или CAB.
Но что еще более важно, Ngen запускается на клиентской машине после установки assembly. Ngen просто заставляет assembly компилироваться сейчас, а не позже, используя JIT. Исходный assembly остается неизмененным, и он должен остаться, потому что Ngen не сможет скомпилировать весь assembly.
Ngen предназначен для обеспечения производительности, а не безопасности, и не делает ничего, чтобы предотвратить разборку или сделать ее еще немного сложнее.
Я думаю, что в какой-то степени мы должны ALL беспокоиться о нашем IP :)
Хороший вопрос, хотя как это то, о чем я очень хочу узнать больше (я в настоящее время не запутываю).
Проведя некоторые обсуждения с моим менеджером на работе, он сказал, что он не запутывает, но делает NGEN на установке, очевидно, этого должно быть достаточно, чтобы прекратить работу над вашими сборками, но я понятия не имею, правда ли это и в какой степени, поэтому, пожалуйста, не принимайте это как Евангелие :)
Хороший вопрос :) +1
Мы не используем обфускацию для "non public" приложений, но мы используем ее для общедоступных приложений. Запутанное приложение содержит много очень сложного кода, который занял у нас непомерное количество времени, чтобы написать, и это причина, которая позволяет мне думать, что запутывание является обязательным - по крайней мере, в этом случае.