Certes, c'est une solution. Encore faut-il que le serveur soit soit en mesure de faire la différence entre une requête provenant d'une application utilisée légitimement et une application piratée. Et je pense que ce n'est pas si facile que cela vu qu'il est impossible de connaitre la liste des personnes (ID de compte iTunes) ayant acheté l'application.
C'est possible si l'utilisateur doit se connecter sur le serveur pour "acheter" le droit d'utilisation du service. Ce qui permet d'enregistrer le numéro de la machine pour lui donner ces droits d'accès.
Sinon, j'espère bien qu'Apple finira par donner la possibilité d'authentifier les acheteurs des applications à partir d'un serveur.
Ca ne changerai rien. Le piratage est vieux comme l'informatique et il n'y a pas de solutions miracle, ce n'est pas aussi simple.
Par exemple pour le "In App Purchase", on ne peut acheter sur l'AppStore depuis notre application que des "jetons" ou des données : des données ça peut être un fichier XML ou autre (du contenu, genre une BD, un eBook, la description d'une arme pour un jeu, ...), un "jeton" c'est juste pour que dans ton appli tu puisses activer ou non une fonctionnalité. Mais alors cette fonctionnalité doit être prévue dès le départ dans le code de ton application, et tu l'actives ou non selon si l'utilisateur a acheté le "jeton" ou non. Bref, tu ne télécharges pas du code genre "plugin" à rajouter à ton application, ça ne marche pas comme ça, à cause du process de validation Apple (ce serait injouable pour Apple de vérifier toutes les possibilités de plugins achetables et vérifier que les codes binaires de ces plugins ne sont pas malicieux ou quoi), tu n'achètes que des données ou des autorisations d'activer un truc déjà prévu dans ton appli.
Du coup, si un pirate hack l'application, bah il lui suffit de hacker aussi le test qui regarde si tu as acheté le module ou non, de sorte qu'au final dans l'appli hackée il soit toujours activée sans que tu aies à acheter le jeton. Et pour les données, il lui suffit de les télécharger une fois et de les livrer avec l'application (si c'est un iPhone jailbreaké il peut même mettre ces données dans le dossier Documents de la Sandbox de l'application, endroit où très certainement l'appli a prévu de stocker ces données achetées sur l'AppStore depuis l'appli...)
Donc au final ce n'est pas la solution non plus... Quant à faire exécuter une partie de l'appli côté serveur, les contrôles ne sont pas plus simples à mettre. Il y a plein d'attaques connues pour les communications réseau, il suffit déjà de se placer en "Man in the Middle" pour intercepter des communications, ou alors les attaques de typ "replay", ...
Merci AliGator pour l'explication de "In App Purchase" 8--)
L'idée de Draken est pas mal mais si c'est un ipod touch ? il n'a pas toujours le wifi... ou un iphone sans forfait internet (oui j'en ai un, je suis peut-etre tout seul )... il faut faire confiance à l'utilisateur c'est ce qu'on apprend en IUT, d'après les échos que j'ai eu.
Dernière petite réaction sur
C'est possible si l'utilisateur doit se connecter sur le serveur pour "acheter" le droit d'utilisation du service. Ce qui permet d'enregistrer le numéro de la machine pour lui donner ces droits d'accès.
Et si un de tes enfants (ou tous...) a un ipod touch par exemple, tu achètes un jeu pour toi ou un de tes enfants, tu vas aussi l'installer sur les autres iPods/iPhones de la famille et ils auront tous un ID différent... Autre exemple, la puce wifi de mon iPhone à lâché il y a quelques temps, je le renvoie en SAV ils m'en renvoient un neuf il aura un nouvel ID et je ne pourrais pas installer une application que j'ai acheté
Oh mais je sais tout ça, jpf74. Je n'ai qu'un iPod Touch et pas de Wifi chez moi. Et j'ai aussi dus subir un changement de machine après un retour au SAV.
Ceci dis, acheter un jeu et l'installer sur plusieurs iPod Touch c'est du piratage ça, même au sein d'une famille. D'ailleurs, il devrait y avoir une licence spéciale "achat de plusieurs licences dans un cadre familiale".
Sinon en cas de changement de machine et d'UID, on peut envisager une procédure de transfert des licences d'utilisation, avec un mot de passe permettant à un utilisateur d'accéder à un compte personnel sur le site d'un éditeur. Exactement comme sur l'AppStore, quand on change de machine, tout en gardant les droits sur les applications déjà achetées.
Ouais une licence "famille" quand on achète des applications pourrait être pas mal, parce qu' un compte iTunes = une carte bancaire (si on veut des app payantes) et il est rare que des enfants de moins de 18 ans en aient ;D
Un compte iTunes ne nécessite pas forcément une carte bancaire. On peut en ouvrir un avec une carte iTunes prépayée que l'on trouve dans la plupart des grandes surfaces, prés des caisses.
.../... Sinon en cas de changement de machine et d'UID, on peut envisager une procédure de transfert des licences d'utilisation, avec un mot de passe permettant à un utilisateur d'accéder à un compte personnel sur le site d'un éditeur. Exactement comme sur l'AppStore, quand on change de machine, tout en gardant les droits sur les applications déjà achetées.
Oui ! exactement comme sur lAppStore ... Au fait, l'AppStore s'occupe de tout, et prélève sa dime à ce titre non ?
Alors il me semble que c'est à l'AppStore de vérifier si l'utilisateur a acheté la licence. Du reste il sait très bien le faire déjà ! (si on "achète" un soft qu'on a déjà , il nous prévient très gentilment et nous laisse le télécharger de nouveau gratuitement non ?) Il pourrait mettre ses compétences et données d'enregistrement à disposition des developpeurs non ?
Pourquoi doubler ce sytème ? ???
Ce n'est certes pas aux développeurs de maintenir un site de vérification à mon sens. Ou alors on sort totalement du partage des tâches imposé par Apple avec son AppStore! non ?
[EDIT] Précision, pourquoi ce soucier d'une changement d'aillePhone et de son UID dans la mesure ou, pour charger une App dedans, il faut (normalement) passer par une synchro d'iTune ou Apple s'occupe de toutes les vérifications ?
Un type a écrit un ver s'attaquant aux iphones jailbreakés, se propageant tout seul, via le Wifi. Et diffusé le code source de son création ! Je trouve que c'est une initiative intéressante. Bon cela n'as rien de fantastique, ça s'infiltre uniquement chez les machines des gens n'ayant pas modifié un mot de passe par défaut, lors du jailbreak.
C'est intéressant d'en parler ici, car ces histoires de vers et de virus iPhone sont liées au jailbreak, et aux piratages des applications. Les gens passeront peut être moins au déblocage, si cela rends leurs machines vulnérables à différents malwares.
Je suis bien d'accord. D'ailleurs, ça me saoûle quand on entend "le premier virus sur iPhone" sans forcément parler du jailbreak... ni que c'est illégal.
Je n'ai pas compris la fin. En gros, le test est : si A est nul ou A n'est pas nul. Forcément, le résultat de ce test est toujours vrai...
In this code, the variable checked will be false if someone hex edits out SignerIdentity, a nice little honeytrap
C'est un petit truc en plus, sans lien avec la méthode de cryptage juste au-dessus, ou alors complémentaire pourquoi pas. En faites c'est une chausse-trappe pour le pirate qui cherche la chaine "SignerIdentity" dans un éditeur hexa, il ira ensuite chercher la variable "checked" pour la forcer à false. Ce qui fait qu'ensuite en testant si checked est false on sait que cela a été forcé et que l'application est pirate. Cela peut être plus ou moins efficace selon l'habileté du pirate.
Réponses
Et je pense que ce n'est pas si facile que cela vu qu'il est impossible de connaitre la liste des personnes (ID de compte iTunes) ayant acheté l'application.
Sinon, j'espère bien qu'Apple finira par donner la possibilité d'authentifier les acheteurs des applications à partir d'un serveur.
Le piratage est vieux comme l'informatique et il n'y a pas de solutions miracle, ce n'est pas aussi simple.
Par exemple pour le "In App Purchase", on ne peut acheter sur l'AppStore depuis notre application que des "jetons" ou des données : des données ça peut être un fichier XML ou autre (du contenu, genre une BD, un eBook, la description d'une arme pour un jeu, ...), un "jeton" c'est juste pour que dans ton appli tu puisses activer ou non une fonctionnalité. Mais alors cette fonctionnalité doit être prévue dès le départ dans le code de ton application, et tu l'actives ou non selon si l'utilisateur a acheté le "jeton" ou non.
Bref, tu ne télécharges pas du code genre "plugin" à rajouter à ton application, ça ne marche pas comme ça, à cause du process de validation Apple (ce serait injouable pour Apple de vérifier toutes les possibilités de plugins achetables et vérifier que les codes binaires de ces plugins ne sont pas malicieux ou quoi), tu n'achètes que des données ou des autorisations d'activer un truc déjà prévu dans ton appli.
Du coup, si un pirate hack l'application, bah il lui suffit de hacker aussi le test qui regarde si tu as acheté le module ou non, de sorte qu'au final dans l'appli hackée il soit toujours activée sans que tu aies à acheter le jeton. Et pour les données, il lui suffit de les télécharger une fois et de les livrer avec l'application (si c'est un iPhone jailbreaké il peut même mettre ces données dans le dossier Documents de la Sandbox de l'application, endroit où très certainement l'appli a prévu de stocker ces données achetées sur l'AppStore depuis l'appli...)
Donc au final ce n'est pas la solution non plus...
Quant à faire exécuter une partie de l'appli côté serveur, les contrôles ne sont pas plus simples à mettre. Il y a plein d'attaques connues pour les communications réseau, il suffit déjà de se placer en "Man in the Middle" pour intercepter des communications, ou alors les attaques de typ "replay", ...
L'idée de Draken est pas mal mais si c'est un ipod touch ? il n'a pas toujours le wifi... ou un iphone sans forfait internet (oui j'en ai un, je suis peut-etre tout seul
Dernière petite réaction sur
Et si un de tes enfants (ou tous...) a un ipod touch par exemple, tu achètes un jeu pour toi ou un de tes enfants, tu vas aussi l'installer sur les autres iPods/iPhones de la famille et ils auront tous un ID différent...
Autre exemple, la puce wifi de mon iPhone à lâché il y a quelques temps, je le renvoie en SAV ils m'en renvoient un neuf il aura un nouvel ID et je ne pourrais pas installer une application que j'ai acheté
Cette histoire de pirates c'est pas simple >:(
Ceci dis, acheter un jeu et l'installer sur plusieurs iPod Touch c'est du piratage ça, même au sein d'une famille. D'ailleurs, il devrait y avoir une licence spéciale "achat de plusieurs licences dans un cadre familiale".
Sinon en cas de changement de machine et d'UID, on peut envisager une procédure de transfert des licences d'utilisation, avec un mot de passe permettant à un utilisateur d'accéder à un compte personnel sur le site d'un éditeur. Exactement comme sur l'AppStore, quand on change de machine, tout en gardant les droits sur les applications déjà achetées.
Après quand je vois ça (http://forum.ipodtouchmasterfr.com/index.php?/topic/6437-site-dhackulous-pirate-edit-maintenant-fonctionel/) la réaction de certains utilisateurs m'amènent à me demander s' ils méritent d'avoir de si belles applications à 0,79 € et les piratés
Oui ! exactement comme sur lAppStore ...
Au fait, l'AppStore s'occupe de tout, et prélève sa dime à ce titre non ?
Alors il me semble que c'est à l'AppStore de vérifier si l'utilisateur a acheté la licence.
Du reste il sait très bien le faire déjà ! (si on "achète" un soft qu'on a déjà , il nous prévient très gentilment et nous laisse le télécharger de nouveau gratuitement non ?)
Il pourrait mettre ses compétences et données d'enregistrement à disposition des developpeurs non ?
Pourquoi doubler ce sytème ? ???
Ce n'est certes pas aux développeurs de maintenir un site de vérification à mon sens.
Ou alors on sort totalement du partage des tâches imposé par Apple avec son AppStore! non ?
[EDIT] Précision, pourquoi ce soucier d'une changement d'aillePhone et de son UID dans la mesure ou, pour charger une App dedans, il faut (normalement) passer par une synchro d'iTune ou Apple s'occupe de toutes les vérifications ?
Un type a écrit un ver s'attaquant aux iphones jailbreakés, se propageant tout seul, via le Wifi. Et diffusé le code source de son création ! Je trouve que c'est une initiative intéressante. Bon cela n'as rien de fantastique, ça s'infiltre uniquement chez les machines des gens n'ayant pas modifié un mot de passe par défaut, lors du jailbreak.
C'est intéressant d'en parler ici, car ces histoires de vers et de virus iPhone sont liées au jailbreak, et aux piratages des applications. Les gens passeront peut être moins au déblocage, si cela rends leurs machines vulnérables à différents malwares.
http://www.web-libre.org/breves/iphone-jailbreake-intego-informe-sur-iphone-privacy-a,10277.html
[url=http://:http://www.macbidouille.com/news/2009/11/12/manque-de-securite-de-ssh-des-iphones-jailbreakes-on-passe-a-l-etape-2]MB:Manque de sécurité de SSH des iPhones jailbreakés, on passe à l'étape 2[/url]
Il faut bien un re(vers) de la médaille.
;D
En gros, le test est : si A est nul ou A n'est pas nul. Forcément, le résultat de ce test est toujours vrai...
C'est un petit truc en plus, sans lien avec la méthode de cryptage juste au-dessus, ou alors complémentaire pourquoi pas. En faites c'est une chausse-trappe pour le pirate qui cherche la chaine "SignerIdentity" dans un éditeur hexa, il ira ensuite chercher la variable "checked" pour la forcer à false. Ce qui fait qu'ensuite en testant si checked est false on sait que cela a été forcé et que l'application est pirate. Cela peut être plus ou moins efficace selon l'habileté du pirate.
Merci !