Obfuskacja kodu Pythona

Question

Napisałem mały programik, który zostanie spakowany w exe ze względu na multiplatform. Jednak chciałbym sie dowiedzieć jak można się dodatkowo zabezpieczyć przed ciekawskimi.

Czy jest możliwość ukrycia nazwy użytkownika i hasła w pliku źródłowym, w którym są jakieś dane logowania? Tutaj chodzi zarówno o czysty plik i dodatkową warstwę zabezpieczającą w exe.

Answer 1

Jesteś pewien że chcesz zaciemniać kod Python'a? py2exe (lub inne podobne projekty) nie wystarczą?

No dobrze.. jeśli jesteś pewien to: https://liftoff.github.io/pyminifier/ Można ew. stosować techniki odszyfrowania w locie po podaniu klucza lub pobrania go z pliku licencji.  Jeszcze innym podejściem jest stosowanie innych interpreterów języka (pypy, IronPython czy Jython) i stosowanie technik obfuskacji dla danych platform (.NET czy JVM).

To nie jest dobry pomysł przetrzymywać hasła i loginy zapisane otwartym tekstem w pliku. Niezbędne minimum to wykonanie z nich odcisków funkcją skrótu i trzymanie w tej postaci.

Comments

Dzięki. Możesz jednak rozjaśnić ostatnie zdanie? Nie bardzo zrozumiałem.

Co do samego exe, to zapewne zgodzisz się, że jest on słabiutkim zabezpieczeniem. Najlepiej by było się pobawić w assembly, ale to jeszcze nie ten poziom umiejętności. :) Głownie chodzi o zabawe i ciekawość technologi, sam programik nie jest oczywiście warty impletowania DRMa typu Denuvo . :D

---

No cóż.. więc do do obfuskacji bajtkodu python'a baw się :-) 

Co do haseł. Nie trzymaj ich w postaci otwartego tekstu a w postaci funkcji skrótu która będzie weryfikowana na etapie uwierzytelnienia. Ewentualny atak na aplikację skończy się wtedy pozyskaniem danych które trzeba będzie łamać. To jest dla włamywacza bardzo czasochłonne. Hasła przechowuj zakodowane np. z użyciem https://docs.python.org/3.6/library/hashlib.html (sha512 jest wystarczająco dobre). Ziarno możesz uzyskać choćby tak:

import uuid
salt = uuid.uuid4().hex