Nel libro “The more with symfony” un capitolo viene dedicato a questo plugin come mezzo per sviluppare applicazioni per Facebook oltre che per integrare facilmente Facebook Connect. Io lo sto utilizzando per questo secondo scopo integrandolo su un sito con una base utenti già consolidata ed a cui vorrei dare comunque il vantaggio di accedere con un semplice click o trovarsi loggati nel momento in cui fossero già loggati su Facebook.

Ma vediamo un po’ come funziona il connect e cosa si deve fare perchè tutto fili liscio (parto dal presupposto che seguendo la documentazione si sia modificato lo schema del db per introdurre i nuovi campi necessari al plugin).

Utente non iscritto al sito

Il primo caso è quello di un utente non ancora iscritto al sito che vuole accedervi sfruttando il fatto di essere iscritto a Facebook. Semplicemente cliccando sul pulsante, che avrete posizionato da qualche parte vicino all’area di login, viene richiamata l’azione di signin del plugin che si occupa di recuperare la sessione ed i dati di Facebook per verificare l’eventuale esistenza di un utente già presente a database ed associato al corrente utente Facebook.

Dato che stiamo analizzando il caso dell’utente non iscritto non verrà trovata nessuna corrispondenza, il plugin quindi creerà un nuovo utente sfGuard con username del tipo “Facebook_123456789″ (dove la parte numerica è lo uid di FB per l’utente) e facebook_uid corrispondente all’uid dell’utente. Fatto. Da questo momento l’utente è loggato ed ha una registrazione base al sito dato che spesso nella registrazione “tradizionale” vengono richiesti più dati.

Nel progetto in questione andrò a compilare anche il campo del nickname permettendo così all’utente di utilizzare alcune funzionalità di base, completando invece il proprio profilo avrà l’accesso completo ad altre funzionalità. Così facendo si accontenta sia l’utente (che si iscrive con poco) che il cliente (che vuole sì l’utente ma anche i suoi dati).

Utente già registrato in passato

Il secondo caso è quello dell’utente iscritto al sito tramite la registrazione tradizionale che vuole comunque connettere il proprio account a quello di Facebook per sfruttare l’autenticazione rapida (ed eventuali funzioni di pubblicazione che verranno implementate). Cliccando sul pulsante del connect (da loggato o meno) viene eseguita l’azione di signin che come prima cerca una corrispondenza tra gli utenti presenti; questa volta la trova e invece di creare un nuovo utente modifica quello esistente aggiungendo l’uid dell’utente della sessione Facebook completando così la connessione. Fatto.

Per far funzionare questo ho dovuto aggiornare il metodo invocato per utilizzare il nuovo php-sdk. Il mio fork lo trovate sempre su Github. Ho già richiesto il pull quindi non dovrebbe passare molto tempo prima di vedere tale modifica nel codice “ufficiale” del plugin.

Ok ma il plugin cosa cerca per trovare l’utente corrispondente a quello restituito dalla sessione di Facebook?

Il tassello mancante è rappresentato dal campo email_hash aggiunto, in fase di setup del plugin, al profilo dell’utente. Facebook passa alla nostra applicazione un hash dell’email utilizzata per l’iscrizione (non in chiaro quindi) rappresentata dalla stringa crc32(email)_md5(email) che quindi andrà utilizzata come ricerca sulla tabella degli utenti.

E’ quindi importante fare due cose per disporre di questo hash: per gli utenti già presenti sarà necessario calcolare tale hash e inserirlo nel profilo di ogni singolo utente in modo batch (c’è un task per questo che però al momento non è aggiornato per funzionare con il nuovo php-sdk), per i nuovi iscritti (via registrazione “tradizionale”) andrà calcolato al momento della registrazione andando quindi a modificare il processo utilizzato o invocando un evento che calcola tale hash.

Fatto questo sarà possibile identificare gli utenti tramite l’email_hash evitando così la creazione di utenti duplicati (tradizionale + creato dal plugin).

Fine

Risolto abbastanza velocemente vero? Chiaramente si possono fare molte altre cose: pensate solo ad una versione modificata della registrazione in cui il form viene precompilato partendo dai dati dell’utente recuperati direttamente da Facebook (trovate qualcosa sul capitolo di More with symfony). Se pensate di fare qualche esperimento fate attenzione al fatto che l’applicazione deve essere pubblica (non in lan, raggiungibile da Internet) per permettere a Facebook di comunicare con il plugin.

Per questo motivo in un progetto che sto affrontando in questo periodo ho deciso che l’utente non potrà agire direttamente sulla password ma sarà sempre il sistema ad occuparsene. Al momento della registrazione verrà creata una password comunicata all’utente via mail (caratteri alfanumerici); in caso di smarrimento l’utente potrà richiedere una nuova password con relativo reset della precedente dovuto al fatto che la password non verrà memorizzata in chiaro sul database.

L’approccio non è certo rivoluzionario, tuttavia in molte applicazioni la gestione password è diversa e lascia più libertà all’utente andando a dare spazio quindi ai problemi visti in precedenza.

Zend Guard

Zend Guard è senz’altro il più usato strumento a pagamento ( 600$ ) che permette di criptare i files PHP, forse perchè si integra perfettamente nell’interfaccia di Zend Studio, usandolo potrete anche creare delle licenze per i vostri prodotti, l’interfaccia è semplice ed intuitiva così come la sua installazione. Per usare Zend Guard è però necessario avere installato sul nostro webserver Zend Optimizer (Zend Optimizer è gratuito).
Seppur il più usato Zend Guard non è di certo lo strumento più sicuro al quale affidare i nostri script. Esistono vari servizi gratuiti e a pagamento offerti dalla comunità online, di questi, però, troviamo online solamente quelli a pagamento: primo fra tutti Zend Decode ( 50$ – per PHP4 e PHP5, solo per Windows ).
Per provare Zend Guard scaricate ed installate Zend Guard [
Scarica ] ed anche Zend Optimizer [ Scarica - Quando lo si installa fare molta attenzione a non premere invio senza curarsi di ciò che ci viene chiesto perchè è molto importante configurarlo correttamente! ].

Ecco come si presenta un semplicissimo script prima e dopo essere stato criptato ( ho usato la versione demo ):

Prima

[source:Php]<?php
function isOnline($address=”localhost”, $port=”80″, $timeout=”1″)
{
@$fp=fsockopen($address,$port,$err_no,$errstr,$timeout);
if($fp)
{
return 1;
fclose($fp);
}
else
{
echo “Errore numero $err_no: $errstr\n”;
return 0;
}
}
?>[/source]

Dopo

[source:Php]<?php @Zend;
4123;
/*
ñ!This is not a text file!Þí */
print <<<EOM
<html><body><a href=”http://www.zend.com/products/zend_guard”><img border=”0″ src=”http://www.zend.com/images/store/safeguard_optimizer_img.gif” align=”right”></a><center><h1>Zend Optimizer not installed</h1></center><p>This file was encoded by the <a href=”http://www.zend.com/products/zend_guard”>Zend Guard</a>. In order to run it, please install the <a href=”http://www.zend.com/products/zend_optimizer”>Zend Optimizer</a> (available without charge), version 3.0.0 or later. </p><h2>Seeing this message instead of the website you expected?</h2>This means that this webserver is not configured correctly. In order to view this website properly, please contact the website’s system administrator/webmaster with the following message:<tt>The component “Zend Optimizer” is not installed on the Web Server and therefore cannot service encoded files. Please download and install the Zend Optimizer (available without charge) on the Web Server.</tt><b>Note</b>: Zend Technologies cannot resolve issues related to this message appearing on websites not belonging to <a href=”http://www.zend.com”>Zend Technologies</a>. <h2>What is the Zend Optimizer?</h2><p>The Zend Optimizer is one of the most popular PHP plugins for performance-improvement, and has been available without charge, since the early days of PHP 4. It improves performance by scanning PHP’s intermediate code and passing it through multiple Optimization Passes to replace inefficient code patterns with more efficient code blocks. The replaced code blocks perform exactly the same operations as the original code, only faster. </p><p>In addition to improving performance, the Zend Optimizer also enables PHP to transparently load files encoded by the Zend Guard. </p><p>The Zend Optimizer is a free product available for download from <a href=”http://www.zend.com”>Zend Technologies</a>. Zend Technologies also developed the PHP scripting engine, known as the <a href=”http://www.zend.com/products/zend_engine”>Zend Engine</a>.</p></body></html>
EOM;
exit();
__halt_compiler();
?>
200407220335061262xù
Ÿ2}W½N#1ö!t‚,Ez„уvìõ=5=Wœ¢Ä›5ò&Å=½/Á# ^€Ž’††‚’@ºæüŸÍÖÍ|ãÙùÆóc»æ©šéè¼qƒÆØa:×Z`_ÊJɬf
%a˜2iŠ¿LW‹ÅŸÓñtjœq‰f­ž\ëÕ@)¥ Bº[ïlRëVœ#’k„ûT‹þ×’w™{/‘ÒøzÜÚWÃS~ú$š·º©çŠ©.¬àÂœ
ñï訶õ.ìBISÈ´Y†# ö8ZÎJ¯ºB_­n…ð¯aüq¦òù~o©õd\_év‡åÑ0„<é⬋‘Hõ}žwI‰d%@u^w¾
uêoÊé¸-³ÝžFµ‹ÜIÀ5Ö‡m~Žð0ø?d˜D˜táÃW®¶Ã8´ßïvî»rMÏ¿#_zô0šÝl2;ö/È̼5‘ÐbëààmvŒÇRº91Cÿ¾Ë[èŒÿÓ¢BçÆh£FÍj¡Œm$2Fw(öÓ£ãMkvõ
¼uâüÙÀSÏ€}Úö4{„z&HÞ°­É…ÈÐ:çö Â5ƒP^Ì¡”Øö˜Ny
(ã¸â üneÌïF )'„b^Ea»4N(JV²Š#ò¤’Àyjîÿ
rý—Ä
[/source]

Se volete provare il programma dovete creare un nuovo progetto seguendo le istruzioni, una volta creato vi comparirà una schermata, sulla destra della sezione centrale cliccate sull’opzione “Encode project”, vi troverete il file criptato nella path specificata alla voce “Output Location”.

Conclusioni: Il programma è caro, richiede zend optimizer installato sul webserver e la protezione è facilmente aggirabile, a mio parere esistono alternative più valide e più economiche .

Source Guardian

Source Guardian (250$, windows, linux, mac), tramite un’interfaccia che lascia un po’ a desiderare vi permette di criptare il vostro codice. Il primo approcio con la versione Demo è stato ottimo, l’interfaccia scarna del programma è compensata da una semplicità di utilizzo veramente alta. Con pochi clicks guidati potremo visualizzare il nostro sorgente criptato.

I nodi giungono però al pettine dopo poco tempo: al momento dell’esecuzione dello script comparirà la richiesta di installazione di Source Guardian loader, dopo una ricerca un po’ macchinosa sono giunto ad una pagina (nei files di installazione di source guardian) che spiega come effettuarne l’installazione:

Prima

[source:php]
<?php
function isOnline($address=”localhost”, $port=”80″, $timeout=”1″)
{
@$fp=fsockopen($address,$port,$err_no,$errstr,$timeout);
if($fp)
{
return 1;
fclose($fp);
}
else
{
echo “Errore numero $err_no: $errstr\n”;
return 0;
}
}
?>[/source]

Dopo

[source:php]<?php @SourceGuardian; 1051555483; 2602881255; //v7.0 evaluation
if(!function_exists(‘sg_load’)){$__v=phpversion();$__u=strtolower(substr(php_uname(),0,3));$__f=$__f0=’ixed.’.substr($__v,0,strpos($__v,’.',3)).’ev.’.$__u;$__ff=$__ff0=’ixed.’.$__v.’ev.’.$__u;$__ed=ini_get(‘extension_dir’);if(!$__e=realpath($__ed)) die(‘extension_dir does not exists ‘.$__ed);if(file_exists($__e.’/’.$__ff)) dl($__ff);else if(file_exists($__e.’/’.$__f)) dl($__f);else {$__d=getcwd();if(@$__d[1]==’:'){$__d=str_replace(‘\\’,'/’,substr($__d,2));$__e=str_replace(‘\\’,'/’,substr($__e,2));}$__e.=($__h=str_repeat(‘/..’,substr_count($__e,’/')));$__f=’/ixed/’.$__f;$__ff=’/ixed/’.$__ff;while(!file_exists($__e.$__d.$__ff) && !file_exists($__e.$__d.$__f) && strlen($__d)>1){$__d=dirname($__d);}if (file_exists($__e.$__d.$__ff)) dl($__h.$__d.$__ff);else if (file_exists($__e.$__d.$__f)) dl($__h.$__d.$__f);}if(!function_exists(‘sg_load’)){die(‘PHP script <B>’.__FILE__.’</B> is protected by <A href=”http://www.sourceguardian.com/”>SourceGuardian</A> and requires the SourceGuardian loader <B>’.$__f0.’</B>. The SourceGuardian loader has not been installed, or is not installed correctly. Please find the required loader in the ixed subdirectory within your SourceGuardian installation directory.’);exit();}}return sg_load(‘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′);
?>[/source]

Conclusioni: Source Guardian è un po’ difficile da installare, ha un’interfaccia che di certo non è delle migliori ma pare che decifrare il codice sia più complicato. E’ anche vero che costa molto meno di Zend Guard.

Ho così deciso di chiedere le proprie preferenze agli utenti del gruppo symfony su LinkedIn e le molteplici risposte sono state interessanti.

Alla mia domanda “What’s your favourite environment to work with symfony?” hanno risposto 24 utenti appartenti al gruppo symfony, qui di seguito riepilogo brevemente i risultati.

Eclipse + PDT  13
Textmate 6
jEdit 2
Zend Studio 6.1 1
NetBeans 1
Komodo 1

E tu cosa preferisci? Aiutami ad allargare questa ricerca!

37signals basandosi sui principi descritti in Getting Real ha realizzato 5 applicazioni web (Basecamp, Campfire, Backpack, Writeboard, Ta-da List) che hanno riscosso un grande successo tra gli utenti (privati e aziende), attualmente oltre un milione. Va inoltre ricordato che 37signals con David Heinemeier Hansson ha dato vita al framework di sviluppo Ruby on Rails.

Il libro è disponibile in 3 formati:

1. Getting Real in pdf 19$
2. Getting Real in copia cartacea 25$
   
3. Getting Real online Gratis

I sedici capitoli del libro propongono idee interessanti per tutto il processo di progettazione-sviluppo-rilascio di un progetto, in particolare nel settore web restando tuttavia ad un livello piuttosto alto in modo da poter applicare i principi espressi anche il altri settori senza grossi problemi.

E così che si parte dall’idea (alla base di tutto chiaramente) focalizzando le proprie energie per definire il core dell’applicazione ignorando nelle prime fasi i dettagli ed evitando di fasciarsi la testa pensando ad un futuro che non potrebbe mai arrivare con problemi di scalabilità e gestione dei costi. Restare semplici per poter cambiare con maggiore facilità.

Per restare semplici al grido di less is more è importante capire quali feature sviluppare e come gestire le possibili richieste valutando i costi nascosti che esse comporterebbero. Dopotutto quello che si vuole è realizzare qualcosa che si possa gestire, gli sforzi sono concentrati verso la creazione di un progetto sano. Piuttosto è meglio cercare di scoprire cosa gli utenti non vogliano vedere nell’applicazione.

Si passa quindi ai primi passi dell’applicazione vera e propria, è importante avere qualcosa di funzionante in breve tempo. Partendo dal brainstorming, passando per delle simulazioni (prototipizzazione) in html per poi passare finalmente alla scrittura del codice vero e proprio. Per restare semplici è importante prendere alcune decisioni direttamente senza lasciarle agli utenti, alcune preferenze non sono di vitale importanza ecco quindi che basterà prendere una decisione una volta per tutte piuttosto che aver a che fare con la gestione di esse. Fondamentale è la fase di test durante la quale è bene dare l’applicazione in pasto agli utenti con delle sessioni di utilizzo reale, lo sviluppatore userebbe degli schemi ben precisi di utilizzo e questo non è ciò che avviene con un nuovo utente.

La parte centrale del libro si occupa della messa in pratica del progetto dall’organizzazione del lavoro e alla scelta dello staff necessario per la crescita del progetto. Utili consigli vengono trasmessi per cercare di ottenere il massimo dalla proprie capacità. Si passa quindi al design dell’applicazione in termini di interfaccia come punto fondamentale da definire prima di scrivere codice, vedere realmente come il progetto si presenterà agli utenti permette di capire molte cose e correggerne altre. Si chiude la parte tecnica con un capitolo dedicato interamente al codice: mantenerlo semplice per gestirlo meglio e poter cambiare più rapidamente, aprire le porte agli altri con rss e api, usare tool e linguaggi che piacciano agli sviluppatori. A happy programmer is a productive programmer. 

Si chiude quindi con quella che è la fase meno tecnica e più commerciale/promozionale parlando di preview e facilità di registrazione/cancellazione, passando al lancio vero e proprio dopo aver generato il giusto hype e cavalcando l’onda del buzz grazie al quale capire la direzione presa dal progetto in termini di immagine. Passato il lancio non è tutto finito, si continua a lavorare per migliorare il prodotto dando le giuste priorità ai problemi comparsi man mano che gli utenti utilizzano il servizio. Essere pronti al cambiamento è fondamentale.

Il mio consiglio? Leggetelo, leggetelo, leggetelo. Tutto, questo fine settimana. Non ci vorrà molto e di sicuro alla fine avrete una carica in più, se anche una sola delle idee lette vi farà dire “interessante!” non sarà stato tempo sprecato. Poi tornate su questo post e parliamone assieme!

Per chi avesse problemi con l’inglese c’è la traduzione in italiano (ma non avendola letta non posso garantire che tutto renda come in lingua originale).

La documentazione di symfony è già molto completa (tra le migliori indubbiamente) e l’esperienza dello sviluppatore è una componente aggiuntiva fondamentale per la buona riuscita di un progetto. Tuttavia poter vedere analizzati problemi comuni da chi un framework l’ha ideato e sviluppato non ha prezzo e permette di abituarsi a lavorare con metodo rispettando delle best-practice sicure.

Qui l’accesso diretto alle cinque puntate:

• Parte 1
• Parte 2
• Parte 3
• Parte 4
• Parte 5 

E voi studiate il codice altrui per migliorarvi? Io lo faccio e mi diverto parecchio.

Attenzione: Questo articolo è un’introduzione alle possibili soluzioni adottabili per offuscare il nostro codice, le varie soluzioni saranno approfondite in una serie di articoli successivi.

Penso che molti programmatori PHP sarebbero contenti di poter proteggere il loro codice da sguardi indiscreti o da utilizzi non autorizzati.
Si pensi per esempio a quando si realizza una bozza di un progetto, sareste contenti di sapere che il committente lo distribuisce a vostra insaputa? A me no di certo. Potremmo ospitare la bozza su un nostro server senza consegnare il codice, potremmo anche rimuovere il progetto dopo la sua analisi da parte del cliente, ma se ciò non fosse possibile per motivi di stile o per altri motivi dovremmo affidarci ad altre tecniche.

Esistono due principali metodi che ci permettono di proteggere il nostro codice, attenzione però: il livello di protezione non è mai totale (è cioè sempre possibile aggirare il metodo di protezione per ottenere il sorgente dello script) ma con un po’ di fortuna riusciremo ad allontanare il nostro codice da sguardi indiscreti, eccoli:

Il primo metodo è molto semplice: nominare le variabili in modo da renderle simili fra loro, rimuovere gli spazi e non andare a capo, come nell’esempio (non testato), che vi fa capire in linea di massima ciò che intendo:

[source:Php]
<?php
$mysql_address=”localhost”;
$mysql_username=”root”;
$mysql_password=”";
$mysql_database=”mio_database”;
$mysql_connessione=mysql_connect($mysql_address,$mysql_username,$mysql_password);
mysql_select_db($mysql_database,$mysql_connessione);
$query=”SELECT * FROM $mysql_database.visite WHERE data=’19910429′”;
$risultato=mysql_query($query, $mysql_connessione);
$quanti=mysql_num_rows($risultato);
echo “il 29 aprile 1991 sono venuti a trovarci $quanti visitatori!”;
mysql_close($mysql_connessione);
?>
[/source]
Questo diventerà
[source:Php]
<?php $mxazfhm=”localhost”;$mxgzfhm=”root”;$mxazfbm=”";$mxasfhm=”mio_database”;$mxazthm=mysql_connect($mxazfhm,$mxgzfhm,$mxazfbm);mysql_select_db($mxasfhm,$mxazthm);$mcazfhm=”SELECT * FROM $mxasfhm.visite WHERE data=’19910429′”;$mxzafhm=mysql_mcazfhm($mcazfhm, $mxazthm);$maczfhm=mysql_num_rows($mxzafhm);echo “il 29 aprile 1991 sono venuti a trovarci $maczfhm visitatori!”mysql_close($mxazthm);?>
[/source]

Esistono software come PHP Obfuscator (nell’immagine di questo articolo) che automatizzano il processo di sostituzione.

Un utente esperto sarà indubbiamente in grado di risalire al codice originale in poco tempo: il livello di protezione di questa soluzione è proporzionale alla sua facilità d’uso, cioè basilare. E’ però vero che potremo utilizzare lo script senza dover installare alcun software aggiuntivo, e questo è davvero un bel vantaggio.

Non vi preoccupate se l’efficacia del metodo precedentemente descritto non vi soddisfa: esiste un secondo metodo: utilizzare software progettati per gestire la protezione (quella seria) del nostro codice (come Zend Guard).
Come funzionano questi software? E’ bene aver presente la strada che percorre il nostro script prima di tornare nel browser: esso infatti, dopo essere stato riconosciuto in una pagina, viene interpretato e successivamente viene restituito l’output che verrà caricato all’interno della pagina. Il riconoscimento dei frammenti di codice avviene tramite la ricerca dei tags php (in genere <?php; ?>), dopo aver riconosciuto il codice esso viene trasformato in linguaggio macchina, ecco il problema: il codice PHP deve essere “puro”, ovvero non cifrato per essere comprensibile! I software che si occupano di cifrare e poi decifrare il codice (l’analisi ed il giudizio di questi saranno il tema di una serie di articoli che approfondiranno l’argomento) inseriscono un controllo del sorgente tra la fase di riconoscimento del codice e quella di trasformazione in linguaggio macchina, se il controllo troverà files cifrati li trasformerà nel linguaggio comprensibile dal compilatore, ovvero quello “puro”. Attenzione però: non tutti i servizi di hosting offrono la possibilità di utilizzare queste soluzioni.

Indice: Introduzione