Защита питон-скрипта от несанкционированного изменения

Рыжий Лис · Регистрация: 17.05.2012

Студворк — интернет-сервис помощи студентам

Здравствуйте.

Есть скрипт, написанный на питоне, и пользователи с шаловливыми ручками, которые могут упороться и начат править скрипт своими кривыми руками. Что-то типа модель угроз:
1) проверять, что скрипт не был модифицирован
2) не давать возможность видеть исходный код
3) и спрятать от беглого взгляда вшитые в код логин/пароли/токены.

Мои мысли, начнём с конца:
3) зашифровать константные строки простым симметричным шифром или хранить секреты где-то в другом надёжном месте.
2) принудительно скомпилировать py-файлы в pyc с оптимизацией и удалить исходники - уменьшится общий объём и скрипт буде продолжать запускаться. Остаётся вариант, что можно легко декомпилировать вплоть до имён файлов - будем надеяться, что пользователи не настолько упоротые.
1) и самое интересное. Единственной стоящей мыслью остаётся подписывать каждый файл отсоединённой цифровой подписью. И перед запуском проверять её валидность. Вот только как? Будет ли сам скрипт проверять свою подпись - но тогда что мешает убрать проверку из кода? Если проверять внешним инструментом, то что мешает запустить скрипт минуя проверку.

Или я слишком парюсь по несуществующей причине?

Рыжий Лис · 10.11.2020, 06:41 **[ТС]**

Не-не-не, всё, решение принято - переписываем на раст. С ним вообще никаких проблем: ни с записью блобов в оракл, ни с кросскопиляцией.

@Garry Galler · 10.11.2020, 13:30

Не по теме:

Сообщение от Рыжий Лис

переписываем на раст.

Не понимаю я людей, которые используют низкоуровневые языки для хэлловордов.
Ты все равно на расте писать нормально даже за два-три года не научишься - это слишком концептуально сложный (как и С++) язык. Но туда же - потому что "стильно, модно, молодежно".

Рыжий Лис · 10.11.2020, 13:36 **[ТС]**

Не по теме:

Цель быстро собрать бинарник, подцепить специфические библиотеки и получить минималистичное приложение. Хотя да, тут бы ява тоже подошла. Но увы-увы, основные proof of concept написаны, работают и показали простоту и отсутствие непредвиденных проблем при написании кода и эксплуатации.

@Fudthhh · 11.11.2020, 14:40

Рыжий Лис, python -> cython -> pyd/so

@Adastraz · 12.11.2020, 18:30

для обфускации - pyarmor
для секретов - либо енв, либо что-то типо vault

Новые блоги и статьи Все статьи Все блоги /
Асинхронный приём данных из COM-порта Argus19 01.05.2026 Асинхронный приём данных из COM-порта Купил на aliexpress термопринтер QR701. Он оказался странным. Поключил к Arduino Nano. Был очень удивлён. Наотрез отказывается печатать русские буквы. Чтобы. . .	попытка написать игровой сервер на C++ pyirrlicht 29.04.2026 попытка написать игровой сервер на плюсах с открытым бесконечным миром. возможно получится прикрутить интерпретатор питон для кастомизации игровой логики. что есть на текущий момент:. . .	Контроль уникальности выбранного документа-основания при изменении реквизита Maks 28.04.2026 Алгоритм из решения ниже разработан на примере нетипового документа "ЗаявкаНаРемонтСпецтехники", разработанного в КА2. Задача: уведомлять пользователя, если указанная заявка (документ-основание). . .	Благородство как наказание Maks 24.04.2026 У хорошего человека отношения с женщинами всегда складываются трудно. А я человек хороший. Заявляю без тени смущения, потому что гордиться тут нечем. От хорошего человека ждут соответствующего. . .
Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .

Рыжий Лис Просто Лис 5973 / 3735 / 1099 Регистрация: 17.05.2012 Сообщений: 10,791 Записей в блоге: 9

	Защита питон-скрипта от несанкционированного изменения 03.11.2020, 12:27. Показов 5489. Ответов 24 Метки python, цифровая подпись (Все метки) Здравствуйте. Есть скрипт, написанный на питоне, и пользователи с шаловливыми ручками, которые могут упороться и начат править скрипт своими кривыми руками. Что-то типа модель угроз: 1) проверять, что скрипт не был модифицирован 2) не давать возможность видеть исходный код 3) и спрятать от беглого взгляда вшитые в код логин/пароли/токены. Мои мысли, начнём с конца: 3) зашифровать константные строки простым симметричным шифром или хранить секреты где-то в другом надёжном месте. 2) принудительно скомпилировать py-файлы в pyc с оптимизацией и удалить исходники - уменьшится общий объём и скрипт буде продолжать запускаться. Остаётся вариант, что можно легко декомпилировать вплоть до имён файлов - будем надеяться, что пользователи не настолько упоротые. 1) и самое интересное. Единственной стоящей мыслью остаётся подписывать каждый файл отсоединённой цифровой подписью. И перед запуском проверять её валидность. Вот только как? Будет ли сам скрипт проверять свою подпись - но тогда что мешает убрать проверку из кода? Если проверять внешним инструментом, то что мешает запустить скрипт минуя проверку. Или я слишком парюсь по несуществующей причине? 0

Рыжий Лис Просто Лис 5973 / 3735 / 1099 Регистрация: 17.05.2012 Сообщений: 10,791 Записей в блоге: 9
	10.11.2020, 06:41 [ТС]
	Не-не-не, всё, решение принято - переписываем на раст. С ним вообще никаких проблем: ни с записью блобов в оракл, ни с кросскопиляцией. 0

Рыжий Лис
	10.11.2020, 13:36 [ТС]
	Не по теме: Цель быстро собрать бинарник, подцепить специфические библиотеки и получить минималистичное приложение. Хотя да, тут бы ява тоже подошла. Но увы-увы, основные proof of concept написаны, работают и показали простоту и отсутствие непредвиденных проблем при написании кода и эксплуатации. 0

@Fudthhh Модератор 2696 / 1602 / 513 Регистрация: 21.02.2017 Сообщений: 4,210 Записей в блоге: 1
	11.11.2020, 14:40
	Рыжий Лис, python -> cython -> pyd/so 0

@Adastraz 43 / 7 / 0 Регистрация: 27.11.2013 Сообщений: 96
	12.11.2020, 18:30
	для обфускации - pyarmor для секретов - либо енв, либо что-то типо vault 0

Опции темы