Pero, descubrimos que si el usuario tiene el 7zip y abre el dispositivo (.ova), puede navegar por las carpetas y obtener el código PHP.
Un archivo .ova es simplemente un archivo tar que contiene configuraciones e imágenes de disco para el dispositivo. 7zip permite al usuario abrir el archivo tar y, dado que 7zip es compatible con varios formatos de imagen de disco, el usuario también puede ver qué hay en el disco, es decir, sus archivos PHP.
Hay otras formas de hacer esto sin usar 7zip, por lo que no tendría ningún sentido desarrollar una solución específica para 7zip.
La causa del problema es que distribuye el código fuente de su aplicación al usuario, incluso si está empaquetado dentro de múltiples contenedores (imagen de disco, tar). Usted hace esto porque su aplicación web en el dispositivo necesita tener acceso a estos archivos. El cifrado del archivo .ova o la imagen del disco no ayudará, ya que para ejecutar la aplicación es necesario descifrar estos datos y, una vez hecho esto, el usuario puede acceder nuevamente a los datos.
Tampoco es posible cifrar el código PHP en sí mismo porque el intérprete de PHP necesita el código descifrado. La mejor posibilidad de ocultar el código del usuario es, probablemente, ofuscar para que siga siendo una fuente utilizable Código pero lo suficientemente ilegible para una ingeniería inversa simple.
Al final, se enfrenta a la pregunta de herramientas como los reproductores de DVD y otras soluciones DRM enfrentadas anteriormente: una vez que ha enviado la aplicación para su uso, pierde el control sobre ella. Mientras no tenga control sobre el sistema del usuario, no podrá limitar las actividades del usuario. Esto significa que puede hacer que la ingeniería inversa sea más difícil pero no imposible.