[PHP]Hashowanie kodu Opcje

[HasH1]

Witam serdecznie,

Mój problem polega na kodzie php, który muszę ukryć/zahashować przed edycją, a jednocześnie udostępnić użytkownikom.
Jak mógłbym tego dokonać ?

Pozdrawiam.
Hash / Cookiedesign

Ten post edytował HasH1 30.05.2010, 14:47:21

[erix]

To ukryć, czy zahashować?

[Robert1985]

Też nie rozumiem nie wiem czy wiesz ,ale forum rządzi się kilkoma zasadami i jedną z ważniejszych jest konkretne zadawanie pytań.
Ukryć kod PHP? Ale przed kim? Przed użytkownikiem? A jak rozumiesz użytkownika? Użytkownik strony nie widzi kodu PHP. Ukryć przed programistą? Do tego służą modyfikatory dostępu. Opisz proszę konkretniej co chcesz osiągnąć.

[dudi1261]

Jesli ukryc/zahashowac przed edycja, a jednoczesnie udostepnic uzytkownikowi to znaczy wyslac komus swoj skrypt, ale taki ktory nie mozna w zaden sposob zmienic. Dołączam sie do pytania. Widzialem ioncube, ale licencja kosztuje 800zl. Jest cos tanszego, a zarazem bezpieczniejszego?

[kipero]

Ciężko będzie coś zrobić, żeby zabezpieczyć całkowicie kod przed edycją. Ja spróbowałbym pozamieniać nazwy zmiennych z ich hashami, tzn. wyrażeniami regularnymi pozamieniać $zmienna na $6d259a17912852827ba75e7d114194d78a475292, itd. Dodatkowo można zrobić to samo z nazwami klas/interfejsów/funkcji. Na koniec możesz jeszcze usunąć wszystkie białe znaki(spacje, tabulatory, znaki nowego wiersza). Kod stanie się nieczytelny, choć nadal nie będzie w stu procentach zabezpieczony. Jeśli ktoś będzie bardzo zdesperowany to i tak zdoła przy dużym wysiłku go edytować.
Pozdrawiam.

Ten post edytował kipero 31.05.2010, 09:59:00

[erix]

To jest tylko obfuskacja.

Albo wybulisz, się nie zabezpieczysz.

A jeśli chodzi o ionCube'a, to jest również usługa kodowania online; płacisz wówczas per plik.

[dudi1261]

Znajomy powiedzial, ze nie ma takiego encryptera php, ktorego nie da sie zlamac. ionCube kosztuje 800zl, a nie chcialbym abym wylozyl ta kase na niego, a on zostal zlamany przez jakiego hackera..

obfuskator nic nie da, gdyz ja musze zabezpieczyc haslo do mojej bazy danych ktore jest w kazdym pliku.

[thek]

Hasło do bazy w każdym pliku? Pogięło Cię? Tak się nie robi. Hasło do bazy i konfigurację połączenia zapisujesz w osobnym pliku w postaci zmiennej/tablicy, by nawet po jawnym wywołaniu pliku interpreter przetworzył dane (zwróci wtedy pustą stronę), a nie je wyświetlił w postaci tekstu. A najlepiej by było jeszcze, żebyś sam plik zabezpieczył pod kątem możliwości wywołania go tylko z serwera.

[dudi1261]

Witam.
Wykorzystywalbym to do skryptow ktore moglby kupic kazdy uzytkownik za np. smsa na miesiac. przy kupowaniu podawaloby sie adres domeny na ktorej ma skrypt dzialac. Wtedy zostalby aktywowany skrypt tylko na podana domene. Aby blokada dzialala musialby skrypt laczyc sie z moja baza danych w ktorej bedzie zapisane jaki skrypt i gdzie ma dzialac. Jest jakis inny sposob aby to dzialalo?

[pedro84]

Witam.
Wykorzystywalbym to do skryptow ktore moglby kupic kazdy uzytkownik za np. smsa na miesiac. przy kupowaniu podawaloby sie adres domeny na ktorej ma skrypt dzialac. Wtedy zostalby aktywowany skrypt tylko na podana domene. Aby blokada dzialala musialby skrypt laczyc sie z moja baza danych w ktorej bedzie zapisane jaki skrypt i gdzie ma dzialac. Jest jakis inny sposob aby to dzialalo?

Tak, tak. W Przypadku gdy serwer MySQL Ci padnie ktoś ma nieużyteczny skrypt. Poza tym, co za problem usunąć (zlokalizować i wywalić) te fragmenty z kodu? Żaden.

[erix]

ionCube kosztuje 800zl, a nie chcialbym abym wylozyl ta kase na niego, a on zostal zlamany przez jakiego hackera..

Nie ma takiego zabezpieczenia, którego nie da się złamać. Skoro szukasz takiego, który nie zostanie złamany, to życzę szerokości.

Tak nawiasem, jeszcze nie słyszałem o przypadku odkodowania skryptu zabezpieczonego ionCubem bez klucza. Ale i tak jest to do złamania, wystarczy że ktoś ma pojęcie o deasemblacji oprogramowania, wtedy ŻADNE zabezpieczenie nie będzie miało przed nim tajemnic.

Aby blokada dzialala musialby skrypt laczyc sie z moja baza danych w ktorej bedzie zapisane jaki skrypt i gdzie ma dzialac. Jest jakis inny sposob aby to dzialalo?

Głupie rozwiązanie. Choćby dlatego, że wystarczy zostawić sniffer na port, na którym działa MySQL, a Twoje zabezpieczenia na nic się nie zdadzą. MySQL domyślnie przesyła dane przez połączenie nieszyfrowane; nawet jeśli to hash, to jest kwestią czasu, aby ktoś znalazł kolizję, ew. wstrzyknął go do własnego programu i robił Tobie cyrki z bazą. Rozwiązanie nigdzie nie stosowane i stwarzające za duże ryzyko.

Jeśli chodzi o bardziej sensowne, to poczytaj o XML-RPC albo SOAP. Przeprowadzasz handshaking kluczy i zapisujesz, co trzeba; zależy od tego, co chcesz osiągnąć.

Tak BTW, każdorazowe sprawdzanie czegoś takiego jest złe. Twój serwer pada = padają wszystkie aplikacje zależne.

[dudi1261]

Czytalem, ze ionCube moze tak kodowac pliki ze przestaja one dzialac po okreslonym czasie. To takze, by mnie satysfakcjonowalo, ale wtedy musialbym inaczej rozwiazac kupowanie skryptu. uzytkownicy musieliby co miesiac sciagac na nowo modyfikacje..

Ma ktos inna propozycje?

[erix]

No ściągać, ale w czym problem zrobić skrypt, który automatycznie by sprawdzał i pobierał pliki licencji? Naprawdę szukasz problemu, gdzie go nie ma. (IMG:style_emoticons/default/winksmiley.jpg)

[dudi1261]

Automatyczne pobieranie plikow licencji? Jakby to mialo dzialac? Nie rozumie Twojego zamyslu..

[marcio]

Laczysz sie socketami z twoja strona ewentualnie mozesz zastosowac cos ala "rss" zeby bylo latwiej spradzasz co masz sprawdzic i jesli jest ok dajesz mozliwosc user'owi sciagnac licencje (IMG:style_emoticons/default/snitch.gif)

[dudi1261]

czyli mialbym to polaczyc z premium smsami. Ale skrypt sam pobieralby licencje czy musialby to manualnie zrobic wlasciciel strony?
Myslalem, aby zapisywac domeny na ktorych ma dzialac skrypt i skrypt laczy sie z tymi moimi danymi, sprawdza czy domena na ktorej sie znajduje jest dozwolona i jesli tak to wtedy zaczyna dzialac. Dobrze mysle? ;>

[erix]

A jaki problem z cronem to połączyć?

[dudi1261]

Zadania Cron na moim serwerze. Tu mam dwa pytania. Jakie funkcje mialby wykonywac cron? W jakim odstepie czasowym?

Znam wylacznie php i wiekszosc rzeczy o ktorych mi tu mowicie tylko slyszalem. Nigdy nie uzywalem, ani nie czytalem o tym wiecej. Prosilbym o konkretniejszy opis.

Z gory dzieki (IMG:style_emoticons/default/snitch.gif)

[erix]

Cron ma działać na serwerze, na którym działa konkretna instancja aplikacji.

Jakie konkrety? Mamy Ci całą aplikację opisać? Dostałeś naprawdę sporo podpowiedzi.

[zend]

@dudi - a nie lepiej było by Ci to trzymać na własnym serwerze i udostępniać w chmurze jako saas?