Zabezpieczanie aplikacji przed kradzieżą Opcje

[mpps]

@bakus:

P.S. Może mi powiesz, czy kod jest urwany... ciekawi mnie to...

ciekawi Cię, czy kod jest urwany, czy wiem ja?
to drugie powiem Ci od razu: nie wiem. (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)
Ty za to podszedłeś do tematu mimo wszystko profesjonalnie (czyt.: spróbowałeś...) i myślę, że poradziłbyś sobie nawet wtedy, gdy tego (a może i innego) rodzaju zaszyfrowany tekst (skrypt) nie byłby podany w całości. czemu? bo kombinujesz... a nie czekasz aż się samo rozkoduje (IMG:http://forum.php.pl/style_emoticons/default/guitar.gif)
teraz tylko nie spadnij z piedestału... (IMG:http://forum.php.pl/style_emoticons/default/snitch.gif)

[Bakus]

z kąd masz ten kod? (chodziło mi o to, czy go specjalnie skróciłeś, czy taki gdzieś był... jeżeli gdzieś był, to podaj adres...)
sądząc po wszystkim, co można wywnioskować z kodu jaki "odszyfrowałem" po ciągu magicznych krzaczków powinno być coś jeszcze... (dokończenie odszyfrowywania...

P.S. Dzięki za pochlebstwo - staram się (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[DeyV]

@hawk - właśnie o to chodzi.
To powinno być banalnie proste - ja w końcu też przerabiałem tę tematykę na 3 roku.
Problem tylko w tym, że niewiem jak zaimplementować to w php.
Fakt faktem, że nie starałem się jeszcze za bardzo i nie przewertowałem dokładnie manuala, ale dotychczas nie trafiłem na bibliotekę służącą do obsługi szyfrowania przy pomocy 2 kluczy. Niewątpliwie powinna być - chyba jednak musza dokładniej poszukać.
Zastanawiałem się jednak, czy jest jakiś w "miarę prosty" (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) algorytm który pozwoli na zaimplementowanie tego własnoręcznie.

Bo w sumie problem sprowadza się do twojego przykładu 2, czyli wykorzystanie dla danego klucza skryptu sprawdzającego + odpowiedni dla danego klucza parametr.

Poszukiwania takie mają sens, z uwagi na to, że w przypadku poważnych systemów masz możliwość wymagać, by na serwerze były zainstalowane odpowiednie biblioteki (w przypadku rozwiazań opensourcowych) nie wspominając już o Zend'zie który jest instalowany prawie wszędzie (tu jednak inwestycja jest już nieco "większa")

[hawk]

@DeyV:
Nie znam żadnej implementacji RSA dla php, ale też specjalnie nie szukałem.
Co do implementacji tego samemu i "w miarę prostego algorytmu"... owszem, RSA na papierze jest proste. Miałem o tym wykład i pamiętam że świeżo po mogłem spokojnie rozrysować wszyskie kroki. Ale implementacja jest chyba trudna, z uwagi na to że dochodzi kwestia wydajności i różnych skrótów/uproszczeń. Z drugiej strony, nie chcesz przecież implementować generatora kluczy, tylko samo dekodowanie wiadomości. Z trzeciej strony, chyba widziałem w manualu jakąś implementację SSL pod php, a SSL jak wiadomo opiera się o PKI...

[kszychu]

nie widac moich postow czy co?

przyklad uzycia Solace Maze Script:

[PHP] pobierz, plaintext 
<?
echo Hello, world!;
?>
[PHP] pobierz, plaintext 

po przepuszczeniu przez skrypt (najnizszy poziom kodowania, bez kompresji, bez zabezpieczenia haslem, bez uzycia turck mmache encoding)

[PHP] pobierz, plaintext 
<?php $V000='4d27bd16bb9f99840567e7fdd92adfaf';$V176='version_compare';$V155='phpversion';$V656='strrev';$V734='microtime';$V614='chr';$V478='ob_start';$V137='base64_decode';$V929='ob_get_contents';$V677='ob_end_clean';if($V176('4.3.0',$V155(),'>=')){echo $V656('o 0.3.4 noisrev php seriuqer tpircs sihT').'r higher (current version is '.eval(base64_decode('cmV0dXJuICRWMTU1KCk7')).')';return;};$GLOBALS['V002']=$V734();$GLOBALS['V001']='';for($V427=0;$V427<=255;$V427++)$GLOBALS['V001'].=eval(base64_decode('cmV0dXJuICRWNjE0KCRWNDI3KTs='));$V478();?>~}{~_c?prx|f?Ąž˛ł ąłfzc?qpp|fĄ ˛¤usžŁ¤˘?Ł¤fzc?urq|f˛łąžą?łprfzc?pvs|f?ĄžŚ¤łž˘?­ł¤­ł˛fzc?txr|f?Ąž¤­Łž˘?¤ ­fzc?prxghz~}�ŹŤ�qu§Š(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Žx.ł°..˛..xŚu§(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?Žxł˛.ś(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) °?ś´.?śxŚu§(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?Žx...°...(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) xŚu§���Žx....ś.xŚu§(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?Žx.ł°¸ś.°´

[PHP] pobierz, plaintext 

powodzenia z odkodowywaniem

Sorry, ale odpaliłem to u siebie i za Chiny Ludowe nie chciało się przywitać ze światem.

[Vengeance]

100% zabezpieczenia zrobić się nie da.
Skoro łamane są zabezpieczenia Windowsów i innych softów kompilowanych to co dopiero skryptów php!

Jeśli zas chodzi o to, aby uniemożliwić kopiowanie czy coś tam ludzią co umieją tylko Hello World lub księge gości na plikach podatna na XSS i include napisać to PO CO aż tak kombinować jak to teraz robicie ;]

Na takich wystarczą proste sposoby (poprostu im się odechce). Na tych lepszych i wytrwalszych już niestety nic dobrego nie wymyślimy (IMG:http://forum.php.pl/style_emoticons/default/sad.gif)

Teraz w IPB tym płatnym mają być jakieś zabezpieczenia co do nielegalnego kopiowania. I jakaś funkcja "Call Home" czy cos. Może warto zobaczyć co tam wymyślili (wymyślą) i ile to warte ;]

[mpps]

@bakus

z kąd masz ten kod? (chodziło mi o to, czy go specjalnie skróciłeś, czy taki gdzieś był... jeżeli gdzieś był, to podaj adres...)

skąd? nie wiem... to nie mój kod - pytaj borec-a, to On go postawił...

[Bakus]

y... faktycznie... (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
@borec: w takim układzie to pytanie jest do Ciebie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[Bora]

Kod

<?
  echo 'Hello, world!';
?>

Maze complexity level
Recommended levels: 1-10 for slight protection, 10-20 - quite strong, above 20 very secure but for fast CPU only. - 1

Morphing complexity level
Morphing of decode procedures tries to prevent automated decryption. Recommended levels: 1-2 is enough, 3 and above will GREATLY increase the size of mazed script and decoding time. - 1

Morphing complexity level
Morphing of decode procedures tries to prevent automated decryption. Recommended levels: 1-2 is enough, 3 and above will GREATLY increase the size of mazed script and decoding time. - Off

Master password
Password allows to retrieve script's source code, pass it as a value for "unmaze" parameter: http://host.com/mazed_script.php?unmaze=password
Do not use spaces and special chars. Leave blank to disable. - Off

Expiration date/time
Script will work only before desired date - Off

Do client/server IP binding (mazed scripts will work only for specified clients or on specified servers).
Provide one or several ip or masks (for example 192.168.0.1, 202.11.*.*) each on new line.
Leave blank to disable IP check. - Off

Self-integrity check
All mazed scripts while decoding open themselves (fopen()) to check for modifications (possible hacking?). I assume that can lead to some incompatibility issues on several systems. If you experience any problems running mazed scripts, try to uncheck (although it will heavily reduce protection strength). - On

Turck MMCache Encoding
Additionaly encode scripts with Turck MMCache - free and very fast php cache and encoder for multiply platforms. Please note that encoding is irreversible and you (and hackers as well) will not be able to unmaze your scripts anymore, but execution requires Turck extension to be loaded.

Adres :
http://217.97.239.212/mazed.php

Nie wiem czemu ale nie chce sie wkleić cały kod.
w poprzednim brakowało napewno końcówki

[PHP] pobierz, plaintext 
<?php
eval($V155($V435('WSL5ZGp9L3WyLKEyK2M1ozA0nJ9hXPpzWSL2BQtaYTWup2H2AS9xMJAiMTHbW0cTJGWCESx5FwABZIyh
wOwnJZ3FxMMAH9RFGyXZ04jL25FrHc6p2gJnzA6Gzbjn1VjrSOEn0MAIGSmoyMdDKqAH2ExGmWFoSxlr
uwoIIiMRqfnzRmGGyAD2f3FxMMrx56IGyXEyxlG0EMo0cTJGAAryymGIESZHkREGOAH2g1FxMMZx9RJJ
XEyxmGKcMp01Qq3uAISIjGTyFI05dMmWYD1WKGacAZxkREKuBH3A4GxESpR8mFzkxFSM5LzyPoTEgEaA
D1WKG1EarHgQHyqBnzp0GRAFI016LmSZD1WKGacAZxgGnmpaXFx7')));$V688=$V853();$V752();return eval($V917($V688));
// Protected by Solace Script Maze 1.1 light (c) Zilav, 2003-2004 
?>
[PHP] pobierz, plaintext 

i moze czegos wiecej bo musi byc ob_get_contents i ob_end_clean

Ten post edytował Bora 2.10.2004, 08:12:35

[Vengeance]

Pewnie są tam jakieś specyficzne znaki (kody ascii) ktorych nie wkleja. Ja tak czesto mam ze zaznaczam caly tekst robie kopiuj a zapamietuje tylko do pierwszego "kwadracika" ;]]]

[borec]

@Bakus: tu masz to samo na serwerze:

www.iii-lo.tarnow.pl/~borec/mazed.php
www.iii-lo.tarnow.pl/~borec/mazed.txt (zrodlo, zapisz na dysk i odpal, w przegladarce nie wyglada najlepiej)

jak wspominalem to jest najnizszy poziom zabezpieczenia, wiec nie powinnienes miec problemow z odkodowaniem

[sf]

Hm, a jak forum IPB 2, które jest teraz płatne ma zamiar się zabezpieczyć przed używaniem forum za darmo? (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

[kubatron]

Hm, a jak forum IPB 2, które jest teraz płatne ma zamiar się zabezpieczyć przed używaniem forum za darmo? (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Wydają tzw. wersje TRIAL czyli 15dniową, i ma być ograniczona...

[Vengeance]

Po 1. powiem ze ten "zakodowany" skrypt w ogole mi nawet nie dziala. ale szczegol.

po 2. rzeczywiście trudno jest to rozkodować. Ale nie jest to niemożliwe ;]
Nie będę tu wklejał moich dokonać bo to troche by zawaliło baze a i tak polowe by poucinalo ze wzgledu na "specjalne znaczki". Powiem tylko tyle (co i pewnie Bakus zauważy jeśli też będzie chciał rozpracować ten skrypt), że najgorsze w tym wszystkim są poziomy zagnieżdżenia. To znaczy te wszystkie dzikie znaczki przeinaczają się potem w kod php który znów ma dziwne znaczki w środku. Ów dziwne znaczki po modyfikacjach phpowych znów przeinaczają się w kolejny skrypt i staje się to dość monotonne ;]

Skrocone wersje tego co ja odszyfrowalem.

Poziom pierwszy zagniezdzenia

[PHP] pobierz, plaintext 
<?php
$V000='4d27bd16bb9f99840567e7fdd92adfaf';
 
if(version_compare('4.3.0',phpversion(),'>='))
{
   echo 'This script requires php version 4.3.0 or higher (current version is return '.phpversion().')';
   return;
}
 
$GLOBALS['V002']=microtime();
$znaki_ascii='';
 
for($i=0;$i<=255;$i++)
   $znaki_ascii .= chr($i);
ob_start();
?>
<?php
function nazwa($parametr)
{
   global $znaki_ascii;
   $znaczki=substr($znaki_ascii,63,128).substr($znaki_ascii,0,63).substr($znaki_ascii,63+128);
   echo $znaczki;
   return eval(strtr($parametr,$znaczki,$znaki_ascii));
}
$przyszly_parametr = ob_get_contents();
ob_end_clean();
 
nazwa($przyszly_parametr);
?>
[PHP] pobierz, plaintext 

Poziom drugi zagniezdzenia

[PHP] pobierz, plaintext 
<?php // drugi obieg
ob_start();
// ... smieszne znaczki otrzymane po rozkodowaniu wczesniejszych smiesznych znaczk
w ...
function nazwa2($parametr)
{
   global $znaki_ascii;
   $znaczki=substr($znaki_ascii,18,218).substr($znaki_ascii,0,18).substr($znaki_ascii,18+218);
   return eval(strstr($parametr,$znaczki,$znaki_ascii));
}
?>
[PHP] pobierz, plaintext 

trzeci tez rozszyfrowalem ale kupa w nim smieci dodanych ot tak poprostu przez ten szyfrator. W sumie zaprzestalem dalej sie tym bawic bo nie widze w tym celu hehe ;] do odszyfrowania to i tak jest ale szkoda czasu na to bo i tak nic mi to nie da ;]

[Vertical]

Numer seryjny w celu odpalenia? Wystarczy wejść na http://mscracks.com . Ja radziłbym wprowadzić do produktu coś w stylu "klucza autoryzacyjnego". Po pierwsze, program nie działałby (w przypadku windowsa) bez wpisów w rejestrze, a po drugie, przy każdym zainstalowaniu klucz autoryzacyjny zmieniałby się zależnie od numeru produktu. Numer produktu "szyfrowałby" klucz autoryzacyjny za pomocą algorytmu. Algorytm byłby zmieniany co jakiś czas, żeby nie powstawały "keygeny". Oczywiście za klucz autoryzacyjny trzeba byłoby zapłacić.

Ten post edytował Vertical 2.10.2004, 18:10:35

[Vengeance]

jak dla mnie wszystkie te sposoby sa denne ;]

kupuje taki user jedna kopie oryginalna. instaluje z tymi twoimi kluczami etc...
przez to ze zainstalowal tworza mu sie jakies tam pliki czy cos.

On to wszystko kopiuje pakuje i wystawia.
No i ludzie maja w 100% dzialajacy skrypcik.

[mpps]

klucz autoryzacyjny mógłbyś zmienić dopiero z kolejną wersją ( ew. upgreade). to samo się tyczy algorytmu numeru produktu szyfrującego klucz autoryzacyjny. w innym wypadku to, co byś zarobił, szło by na opłacenie zabezpieczeń (Twój poświęcony czas też ma swoją cenę)...
chyba, że stworzyłbyś algorytm szyfrujący algorytm numeru produktu szyfrujący klucz autoryzacyjny... (enigma?? coś w tym stylu...)

P.S. w ostatnim zdaniu nie ma błędu... (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

[Vertical]

@Vengeance: Nie może przekopiować, bo potrzebne są wpisy w rejestrze!
Ale tak na marginesie, to ten system tylko teoretycznie mógłby działać.

Twój poświęcony czas też ma swoją cenę

Właśnie o to chodzi. Wszystko, co powiedziałem, to czysta teoria (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował Vertical 2.10.2004, 19:23:03

[Puciek]

Sledze ten temat od poczatku z niemalym zainteresowaniem i po tych wszystkich postach postanowilem sie wypowiedziec.

Myslimy od zlej strony, poniewaz jak zostalo powiedziane na wytrwalych nie da rady - zbiora sie w pare osob i zawsze sobie poradzą. Dlatego tez nalezy poprostu pomyslec od drugiej strony - niezabezpieczamy kodu - niech mysla ze nie ma zabezpieczen a tak naprawde bedzie tam schowany skrypt laczacy sie z ogolna baza MyApp i jezeli adres z ktorego zostal wyslany sygnal niebedzie zgodny z zawartym w umowie MyApp (dodatkowy problem w tym ze klient bedzie musial informowac o zmianie adresu) wysyla email do autora. I wtedy kwestia czy zawarlismy w licencji klauzule oplaty za rozpowszechnienie skryptu. Dzieki temu zostaniemy poinformowani o tym i bedziemy mogli wytoczyc proces klienowi zadajac odszkodowania zawartego w umowie.

Innego rozwiazania niewidze.

[mpps]

i obudzisz się zlany zimnym potem... (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
jeśli to by było jedyne rozwiązanie, to crackerzy z nudów zaczęli by czyścić swoje klawiatury, co poniektórzy myszki... (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
Pućku drogi, czy uważasz, że światek przestępczy szanownie crackujący chodzi w dresach, nie ma szyi i ma zeza, czy wygląda jak wychudzony, niewyspany wypłoch, opity coli i redbull-a do granic możliwości?
żyjesz w matrixsie...
weź pigułkę (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)