Zabezpieczanie aplikacji przed kradzieżą Opcje

[Sh4dow]

kodowany hash plikow, do tego kodowanie samego pliku przez jakis encoder, klucz do rejestracji, to musiala by byc podstawa, a do tego przydal by sie klucz oparty o webservices.
Ale sadze ze przy bardzo popularnej aplikacji to tez byla by kwestia czasu aby pojawily sie juz polamane paczki.
Mozna jedynie utrudnic zabawe "lamaczom"

[Spirit86]

Może by zrobić to za pomocą pliku wykonywalnego i za pomocą funkcji exec? Można by w ten sposób zakodować plik z funckjami / klasami głównymi i aglorytmem rozkodywującym resztę plików. Można też skorzystać z programu do kompilowania plików php. (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

[hawk]

@DeyV:
Niby sporo się uczyłem o szyfrowaniu, ale... co dokładnie chcesz mieć?

1) Jeden skrypt sprawdzający i generujesz wiele pasujących do niego kluczy (relacja 1-wiele)

2) Dla każdego klucza osobny skrypt sprawdzający (pewnie różnią się parametrem, relacja wiele-wiele)

Może dało by się wykombinować coś z liczbami pierwszymi i arytmetyką modulo X...

[SHiP]

Ja bym to zrobił tak...
Sprzedaje program panu XXX i podaje mu cd-keya np ZBX123456789. Przy okazji zapisuję go do bazy (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) . Teraz gdy pan XXX chce zainstalować program musi wpisać cd keya. Aby skrypt działał musi jednak połączyć sie z serwerem. Spradzany jest cd-key z bazy czy już go ktos używa i jak tak to zonk (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[kszychu]

Ja to was nie rozumiem. Podajecie te wszystkie przykłady tak, jakby to było skompilowane. Niestety NIE JEST i wystarczy jeden dzień, aby obejść te wszystkie cd-kije czy inne kodowania. Wystarczy po prostu wyłączyć moduł sprawdzania zabezpieczeń...

[matid]

Niestety, jedynym wyjściem jest użycie jakiegoś zewnętrznego programu, innego rozwiązania nie widzę.

Ten post edytował matid 30.09.2004, 15:23:36

[hawk]

@DeyV: ejże, albo jestem głupi albo to jednak nie jest takie skomplikowane. Idea jest prosta: PKI.

Robisz jakiś debilny klucz, kodujesz swoim kluczem prywatnym. Kod sprawdzający ma dostęp do klucza publicznego. I tyle. Każdy może sobie wygenerować inny poprawny klucz, tylko co z tego, skoro nie może go zakodować.

Inna sprawa, jaki jest tego sens, skoro można po prostu wywalić/zmienić kod sprawdzający klucz. Ale sama generacja kluczy jest IMHO prosta i w zasadzie nie do złamania, jeżeli nie będziemy się oszczędzali z długością klucza.

Aż za proste... ale nie widzę problemów...

[borec]

czy ktos wogole czytam moj poprzedni post w tym topicu?!

Solace - skrypt ktory koduje zrodla php za pomoca jedynie wbudowanych funkcji - nie sa potrzebne zadne zendy itp (chociaz mozna tez encodowac z pomoca turck mmcache - opcja)

skrypt opatrzony jest #1 Innovation Award na PHPClasses.org, to chyba o czyms swiadczy

[Spirit86]

Może by zrobić to za pomocą pliku wykonywalnego i za pomocą funkcji exec? Można by w ten sposób zakodować plik z funckjami / klasami głównymi i aglorytmem rozkodywującym resztę plików. Można też skorzystać z programu do kompilowania plików php. (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

Ja napisałem sposób, którego się nie da ominąć :]

[kubatron]

Może by zrobić to za pomocą pliku wykonywalnego i za pomocą funkcji exec? Można by w ten sposób zakodować plik z funckjami / klasami głównymi i aglorytmem rozkodywującym resztę plików. Można też skorzystać z programu do kompilowania plików php.  (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

Ja napisałem sposób, którego się nie da ominąć :]

No to przedstaw go (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[patrycjusz]

Witam,
ostatnio sporo sie nad tym tematem zastanawiałem, wypytywałem speców, wyszukiwałem i lipa... kochani każdy sposób zabezpieczenia aplikacji to jedynie kwestia czasu i wiedzy osoby która chce go złamać....
moim zdaniem należy się skupić na odpowiedniej umowie licencyjnej, to podstawa ..
i zawarcie w niej odpowiednich elementów zawsze gwarantuje ze w przypadku jak znajdziecie złodzieja to macie z nim duże szanse wygrać.
I na koniec dodam że nie ma sensu sie az tak nad tym głowić, moim zdaniem należy się skupić na tym aby ludzie chcieli kupować orginalną wersje i kupowali jej sporo, jednocześnie uzależniając się w pewnych elementach od was, tu włożyć wszystkie siły w osiągnięcie zadowalającego wyniku, a nie siedzieć nocami i zastanawiac się nad tym
jak zabezpieczyć aplikacje bo może jakiś jasiu ją zkrakuje i sprzeda innym w 5 egzemplarzach....
no pozatym wszystko zależy co to ma być (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) bo jak OS to trzeba zabezpieczyć (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) a jak skrypt do FAQ to juz lepiej browarka obrócić (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
pozdro 600 :]

[matid]

Ja napisałem sposób, którego się nie da ominąć :]

Nie ma takiego sposobu. Jak mówią - każde zabezpieczenie można złamać.

[mpps]

brawo @ scanner(IMG:http://forum.php.pl/style_emoticons/default/exclamation.gif) !
ten temat, który szanownie rozpocząłeś pretenduje do pierwszego miejsca pod względem ilości odpowiedzi i "nowatorskich(?)" rozwiązań!
jak już coś z tego wszystkiego sklecisz, to sprzedaj to billowi g., żeby przestał szukać... (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)
i pamiętaj, że to będzie Twój jedyny klient, więc go skroj ile wlezie!!! a on ma trochę(?) kasy... (IMG:http://forum.php.pl/style_emoticons/default/cool.gif)

zgadzam się z kszychem i się nie zgadzam..., cyt.:

Ja to was nie rozumiem. Podajecie te wszystkie przykłady tak, jakby to było skompilowane. Niestety NIE JEST i wystarczy jeden dzień, aby obejść te wszystkie cd-kije czy inne kodowania. Wystarczy po prostu wyłączyć moduł sprawdzania zabezpieczeń...

tu się zgadzam

Moim skromnym zdaniem nie da się tego zabezpieczyć. Złamanie/obejście/wywalenie każdego zabezpieczenia w nieskompilowanym kodzie to tylko kwestia czasu.

jasne, że wszystko się da tak czy inaczej złamać! to znaczy co: dajmy sobie spokój? nie ma sensu tworzyć (łamać) zabezpieczeń? zobacz, jakie możliwości otwierasz SOBIE łamiąc sobie łeb i niszcząc klawiaturę nad stworzeniem lub złamaniem zabezpieczeń!!!
bez obrazy, jeśli programiści php mieliby takie podejście, to wersji php 5.0 moglibyśmy się spodziewać może w 2040 a nie w 2004!
uważam, że takie podejście prowadziłoby do degradacji ilości zwojów mózgowych szanownego grona koderów i dekoderów (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
wolę stracić(?) jeden(?) dzień nad stworzeniem (he, he - jeden dzień) lub złamaniem kodu niż nie spróbować swoich skromnych możliwości!!! (może kiedyś będą większe)
a poza tym: wiesz jaka to satysfakcja, jak się dowiesz, że ktoś próbuje lub złamał zabezpieczenie, które stworzyłeś do swojego programu? to znaczy, że jest on poszukiwany (ten program) i używany z chęcią, a nie z musu, bo go szef kupił, bo był tani...
no dobra - już kończę...

[M4chu]

Wystarczy znalezc program .php -> .dll (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[borec]

nie widac moich postow czy co?

przyklad uzycia Solace Maze Script:

[PHP] pobierz, plaintext 
<?
echo Hello, world!;
?>
[PHP] pobierz, plaintext 

po przepuszczeniu przez skrypt (najnizszy poziom kodowania, bez kompresji, bez zabezpieczenia haslem, bez uzycia turck mmache encoding)

[PHP] pobierz, plaintext 
<?php $V000='4d27bd16bb9f99840567e7fdd92adfaf';$V176='version_compare';$V155='phpversion';$V656='strrev';$V734='microtime';$V614='chr';$V478='ob_start';$V137='base64_decode';$V929='ob_get_contents';$V677='ob_end_clean';if($V176('4.3.0',$V155(),'>=')){echo $V656('o 0.3.4 noisrev php seriuqer tpircs sihT').'r higher (current version is '.eval(base64_decode('cmV0dXJuICRWMTU1KCk7')).')';return;};$GLOBALS['V002']=$V734();$GLOBALS['V001']='';for($V427=0;$V427<=255;$V427++)$GLOBALS['V001'].=eval(base64_decode('cmV0dXJuICRWNjE0KCRWNDI3KTs='));$V478();?>~}{~_c?prx|f?Ąž˛ł ąłfzc?qpp|fĄ ˛¤usžŁ¤˘?Ł¤fzc?urq|f˛łąžą?łprfzc?pvs|f?ĄžŚ¤łž˘?­ł¤­ł˛fzc?txr|f?Ąž¤­Łž˘?¤ ­fzc?prxghz~}ŹŤqu§Š(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Žx.ł°..˛..xŚu§(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?Žxł˛.ś(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) °?ś´.?śxŚu§(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?Žx...°...(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) xŚu§ƒˆƒŽx....ś.xŚu§(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?Žx.ł°¸ś.°´

[PHP] pobierz, plaintext 

powodzenia z odkodowywaniem

Ten post edytował borec 30.09.2004, 19:53:01

[rogrog]

na pewno da się radę odkodować.

trzeba sobie uświadomić - wszystko na poziomie php co można wykonać, można też odkodować. Jedynym wyjściem jest kompilacja, ale to też nie może zapewnić w 100% że w jakiś sposób program nie zostanie złamany.

[Bakus]

wszystko jest kwestią czasu...

[PHP] pobierz, plaintext 
<?php
$V000='4d27bd16bb9f99840567e7fdd92adfaf';
$V176='version_compare';
$V155='phpversion';
$V656='strrev';
$V734='microtime';
$V614='chr';
$V478='ob_start';
$V137='base64_decode';
$V929='ob_get_contents';
$V677='ob_end_clean';
if(version_compare('4.3.0',phpversion(),'>='))
{
	echo strrev('o 0.3.4 noisrev php seriuqer tpircs sihT')
	. 'r higher (current version is '
	. eval(&#092;"return phpversion();\").')';
	return;
}
$GLOBALS['V002']=microtime();
$GLOBALS['V001']='';
for($V427=0;$V427<=255;$V427++)
{
	$GLOBALS['V001'] .= eval(&#092;"return chr($V427);\");
}
print $GLOBALS['V001'];
ob_start();
?>~}{~_c?prx|f?Ąž˛ł ąłfzc?qpp|fĄ ˛¤usžŁ¤˘?Ł¤fzc?urq|f˛łąžą?łprfzc?pvs|f?ĄžŚ¤łž˘?­ł¤­ł˛fzc?txr|f?Ąž¤­Łž˘?¤ ­fzc?prxghz~}?ŹŤ?qu§Š(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Žx.ł°..˛..xŚu§(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?Žxł˛.ś(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) °?ś´.?śxŚu§(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?Žx...°...(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) xŚu§(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?Žx....ś.xŚu§(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?Žx.ł°¸ś
[PHP] pobierz, plaintext 

chociaż moim zdaniem skrypt jest urwany...

[mpps]

pobite gary!
podglądałeś(IMG:http://forum.php.pl/style_emoticons/default/exclamation.gif)
(IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
kszychu pamiętasz co pisłem (jak czytałeś) wcześniej?
i skąd Ty byś wziął takiego bakus-a? (IMG:http://forum.php.pl/style_emoticons/default/cool.gif)

[Vengeance]

Jak to sobie kiedyś tam czytałem/słyszałem zanim taki skrypt php się wykona to:
* najpierw jest przetwarzany do jakiegos pre-kodu
* potem dobiero jest wykonywany.

A jakby niektore skrypty wlasnie rozpowszechniac w postaci tego pre-kodu ? :/

Nie mam pojecia jak to by dzialalo i czy to mozliwe ;] kazdy tu daje durne sposoby do ominiecia w kilka minut/godzin wiec i ja dam swoj ;]

[Bakus]

@mpps: nie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) zastosowałem pewnego rodzaju standard przy próbie zrozumienia pewnych schematów...
1. Formatowanie kodu
2. zamiana głupich konstrukcji (nazwy funkcji w zmiennych)
3. odszyfrowanie tego, co zaszyfrowane...
4. "lektura" kodu...
P.S. Może mi powiesz, czy kod jest urwany... ciekawi mnie to...

durne sposoby do ominiecia w kilka minut/godzin

Hmmm... Nie powiem, że się z tym zgodzę, bo tak naprawdę, to co na dobrą sprawę "uczytelniłem" w dalszym ciągu jest nie odszyfrowane i nie wiem co skrypt może wykonywać, nie mówiąc o podglądnięciu kodu...
Co prawda mam wrażenie, że skrypt jest urwany i nie jestem pewein co do metody kodowania i odkodowywania podanego ciągu...
Czy to jest proste do złamania? Dla osoby wprawionej i mającej spore doświadczenie (ale jestem skromny (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) ) nie jest to jakimś większym problemem. - ale taka osoba może taki kod napisać samemu, więc nie widzę tu nic wielkiego - kwestia chęci...
Osoba nie znająca się zabardzo na php (księgę gości to może by napisała) i tak nie wie jak napisać skrypt, który my wymyślnie zaszyfrujemy, więc pytanie w tym temacie powinno brzmieć nie "czy można zabezpieczyć", tylko "czy jest sens zabezpieczania kodu (bez użycia kompilatorów_)"...