![]() |
![]() ![]() |
![]() |
![]() ![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 81 Pomógł: 2 Dołączył: 28.03.2003 Ostrzeżenie: (0%) ![]() ![]() |
Witam, wczoraj natkneła mnie taka myśl... zaliczmy, że sprzedajesz oskryptowanie na licencję płatną co roku lub jednorazowo. Taki kod może bardzo łatwo wyciec i znaleźć się w sieci, ktoś zmieni design, ostatecznie kilka linijek kodu z nazwami w $_GET i po sprawie... Przecież go nie znajdziesz, a jeśli nawet to napewno nie będziesz się ze wszystkimi sądził.
Jestem ciekawy jakich metod zabezpieczenia używacie, słyszałem, że są specjalne narzędzia do szyfrowania kodu chociaż wydaję mi się to nielogiczne bo jeśli coś można zaszyfrować i apache musi umieć to czytać to równie łatwo można to odszyfrować. Gdzieś kiedyś widziałem kod w którym usunięte były wszystkie entery i spację przez co stawał się nieczytelny. Co w przypadku kiedy klient powinien opłacić po roku ponownie licencję? W jaki sposób sprawić aby skrypt informował mnie o swoich instalacjach na róznych serwerach. Mi przyszło do głowy tylko zaszyfrowanie kawałka kodu np. poprzez base64 i później odszyfrowanie i wykonanie. Ale to nie daje żadnej gwarancji. Rozważałem także możliwość w której skrypt łączy się z moim serwerem aby sprawdzić swoje id i tajny klucz czy licencja jest opłacona ale zmienić jednego ifa to nie problem... Prosiłbym tutaj o wypisanie najskuteczniejszych metod ochrony własnego kodu, jeśli dobrze go rozwiniemy ten temat może się przydać jeszcze wielu następnym ![]() Pozdrawiam, Kabraxis |
|
|
![]()
Post
#2
|
|
![]() Grupa: Przyjaciele php.pl Postów: 1 789 Pomógł: 41 Dołączył: 30.10.2003 Skąd: Wrocław Ostrzeżenie: (0%) ![]() ![]() |
Jeden plik install.php, który pobiera resztę plików z Twojego serwera i zapisuje w bazie na jaki adres poleciała instalacji i kiedy... potem to juz sobie w ACP sprawdzasz czy licencja na skrypt mineła itd. Przy pobieraniu plików z serwera możesz poprosić o podanie np. klucza licencji itd
![]() |
|
|
![]()
Post
#3
|
|
![]() Administrator wortalu Grupa: Przyjaciele php.pl Postów: 960 Pomógł: 39 Dołączył: 21.10.2003 Skąd: Kraków Ostrzeżenie: (0%) ![]() ![]() |
Jakis czas temu byl spory temat na forum o tym. Jak dobrze pamietam scanner to opisywal. Jesli nie uzyjesz jakiegos encodera to nigdy nie bedziesz mial pewnosci ze Twoj skrypt gdzies sie nie ulotni..
topic Ten post edytował Sabistik 26.01.2006, 12:11:47 |
|
|
![]()
Post
#4
|
|
![]() Grupa: Zarejestrowani Postów: 406 Pomógł: 9 Dołączył: 24.07.2005 Skąd: Bydgoszcz Ostrzeżenie: (0%) ![]() ![]() |
Są narzędzia typu IonCube, polecam ! Sam zabezpieczałem tym skrypty, są one mniej więcej takiego wyglądu:
37yr saueifsdy78fr6 3w45 asdfDS%$$ BY^&%YDF gje8r9t6y76ngdfygfdgDF%^ $RSGDFG ^T%$@TSDFGwer5gdf A setEW RT ![]() www.ioncube.com/ |
|
|
![]()
Post
#5
|
|
![]() Grupa: Zarejestrowani Postów: 487 Pomógł: 7 Dołączył: 7.01.2004 Skąd: Warszawa Ostrzeżenie: (0%) ![]() ![]() |
ion cube wymaga instalacji dodatkowego rozszeżenia do php, w rzeczywistości skrypt potraktowany tym encoderem nie pójdzie nigdzie, bo żaden ISP nie doinstaluje tego rozszeżenia.
-------------------- Łukasz Dywicki
Independent Java and open source software consultant. Blog - Java, OSGi, integracja oprogramowania.. |
|
|
![]()
Post
#6
|
|
![]() Grupa: Zarejestrowani Postów: 1 415 Pomógł: 117 Dołączył: 7.09.2005 Skąd: Warszawa Ostrzeżenie: (0%) ![]() ![]() |
nigdy nie sprawdzalem czy takie istnieja dla php, ale dobrym rozwiazaniem (bez dodatkowych rozszerzen itp) sa confuscatory... zmienia ja one nazwy zmiennych obiektow i wszystkiego co sie da.. na jakies zbitki alfanumeryczne np. zamiast $zalogowany (tutaj mozna sie domyslec do czego sluzy) zmieniona jest na $asfna4b3b43gjqbjhabfjagcrjdfgb23bc.. po prostu (jak nazwa wskazuje) wprowadza zamet w kodzie... jezeli ktos ma informacje o takich narzedziach niech sie wypowie..
Oczywiscie nie jest to 100% rozwiazanie problemu, bo jak ktos ma czas i to rozkmini o co w kodzie chodzi ![]() edit: zawsze mozna samemu sprobowac takie narzedzie napisac ![]() Ten post edytował LBO 26.01.2006, 15:42:26 |
|
|
![]()
Post
#7
|
|
![]() Grupa: Przyjaciele php.pl Postów: 2 712 Pomógł: 23 Dołączył: 27.10.2003 Skąd: z kontowni Ostrzeżenie: (0%) ![]() ![]() |
A nie lepiej użyć narzędzia do tego stworzonego? Mówię tutaj o zend encoder'ze. Nie dość, że kompiluje on kod, przez co skrypt wykonuje sięszybciej, to robi kod w ogóle nieczytelnym i nieedytowalnym. Ma ponadto wiele innych ciekawych funkcji, jak chociażby taka kompilacja, by skrypt działał do określonego dnia.
Jest to narzędzie komercyjne, ale jeśli ktoś robi oprogramowanie na sprzedaż, to uważam, że taki wydatek się opłaci. -------------------- "Coś się kończy, coś się zaczyna." Andrzej Sapkowski
|
|
|
![]()
Post
#8
|
|
Grupa: Zarejestrowani Postów: 81 Pomógł: 2 Dołączył: 28.03.2003 Ostrzeżenie: (0%) ![]() ![]() |
Mnie np. interesują tylko rozwiązania za free, ponieważ gdybym miał tak patrzeć przy każdej rzeczy jaką robie to byłoby to znacznie mniej opłacalne, pozatym wole wspierać opensource
![]() Ciekawi mnie jeszcze jedna rzecz... vieri czy wiesz może jak takie zaszyfrowanie kodu wpływa na szybkość jego wykonywania? Bo chyba nikt nie byłby za tym aby używać czegoś co spowalniało by za mocno wykonywanie skryptu. Wedłóg mnie narazie najlepszym ze sposobów jest propozycja podana przez LBO. A co do Ion Cube trzeba mieć uprawnienia administratora aby doisntalować rozszerzenie? Bo tak to zrozumiałem? Co do pliku install.php to jest dobry pomysł tylko jak ktoś już to zainstaluje to jak zabezpieczyć to przed skopiowaniem tego co jest po zainstalowaniu? |
|
|
![]()
Post
#9
|
|
![]() Grupa: Zarejestrowani Postów: 487 Pomógł: 7 Dołączył: 7.01.2004 Skąd: Warszawa Ostrzeżenie: (0%) ![]() ![]() |
Zend Encoder do uruchomienia przerobionego kodu wymaga jeszcze Zend Optimizera - czyli kolejnego rozszeżenia do php, którego admin na pewno nie będzie chciał zainstalować bądź będzie bardzo oporny..
Ja osobiście skorzystałem kiedyś z POBSa (php Obfuscator) - kod po nim wymaga czasami poprawek (zwłaszcza kiedy się używa extract itp) ale potrafi utrudnić odczytanie kodu. -------------------- Łukasz Dywicki
Independent Java and open source software consultant. Blog - Java, OSGi, integracja oprogramowania.. |
|
|
![]()
Post
#10
|
|
![]() Grupa: Zarejestrowani Postów: 406 Pomógł: 9 Dołączył: 24.07.2005 Skąd: Bydgoszcz Ostrzeżenie: (0%) ![]() ![]() |
Co do szybkości działania, fakt chodzi to wolniej ponieważ musi skrypt się tak jakby w locie odkodować itp. Jednak propozycja LBO również wydaje mi się najlepsza... chociażby dlatego że ionCube wymaga właśnie dodatkowych rozszerzeń
![]() |
|
|
![]()
Post
#11
|
|
Grupa: Zarejestrowani Postów: 81 Pomógł: 2 Dołączył: 28.03.2003 Ostrzeżenie: (0%) ![]() ![]() |
Mysle, ze wszelkiego rodzaju rozwiazania, ktore wymagaja uprawnien adminsitratora z gory odpadaja, badzmy realistami
![]() Czy ktos w takim razie moze sie wypowiedziec na temat confuscatow? Mnie np. interesowało by rozwiązanie dla linuksa (programy działające pod linuksem bo windowsa nie uzywam) ![]() Ten post edytował Kabraxis 26.01.2006, 21:38:07 |
|
|
![]()
Post
#12
|
|
![]() Grupa: Zarejestrowani Postów: 1 415 Pomógł: 117 Dołączył: 7.09.2005 Skąd: Warszawa Ostrzeżenie: (0%) ![]() ![]() |
zawsze wyjsciem jest doatkowo hosting dla swoich skryptow - czyli klient nie placi za skrypt tylko za usluge jaka on wykonuje... i tym spsobem,ma swoja strone do ktorej stworzono panel adminitracyjny.. moze miec dostep do bazy danyc, ale do plikow bezposrednio nie.. co o tym mslicie?
|
|
|
![]()
Post
#13
|
|
![]() Grupa: Zarejestrowani Postów: 416 Pomógł: 0 Dołączył: 8.01.2004 Ostrzeżenie: (0%) ![]() ![]() |
z tego co wiem to sie nazywa ASP. Rozwiaznaia takiego uzywaja powazniejsze firmy sprzedajace CRM'y. Generalnie jest to najlepsze rozwiazanie, dajace 1oo% pewnosci ze kod pozostanie wasz.
btw: nie wiecie moze ile kosztuje postawienie swojego kompa w serwerowni? tzn chodzi mi wlasnie o hosting na swoje potrzeby. czy lepszym wyjsciem jest kupno sewera dedykowanego..? nie znam sie za bardzo na tym :/ |
|
|
![]()
Post
#14
|
|
![]() Grupa: Zarejestrowani Postów: 1 597 Pomógł: 30 Dołączył: 19.02.2003 Skąd: Tychy Ostrzeżenie: (0%) ![]() ![]() |
Cytat(ikioloak @ 2006-01-26 23:39:34) z tego co wiem to sie nazywa ASP. Rozwiaznaia takiego uzywaja powazniejsze firmy sprzedajace CRM'y. Generalnie jest to najlepsze rozwiazanie, dajace 1oo% pewnosci ze kod pozostanie wasz. btw: nie wiecie moze ile kosztuje postawienie swojego kompa w serwerowni? tzn chodzi mi wlasnie o hosting na swoje potrzeby. czy lepszym wyjsciem jest kupno sewera dedykowanego..? nie znam sie za bardzo na tym :/ Nie tylko CRMy. Takze CMSy, np. RedDot. Ceny są różne, zależy jaki to jest sprzęt. Oferta 300 PLN na miesiąc wydaje się już rozsądna. Tylko wtedy musisz sam się serwerem opiekować. Serwerownia co najwyżej Ci go zresetuje jak już wszystko padnie ![]() -------------------- Zapraszam na mój php blog, tworzenie stron.
|
|
|
![]()
Post
#15
|
|
![]() Grupa: Zarejestrowani Postów: 406 Pomógł: 9 Dołączył: 24.07.2005 Skąd: Bydgoszcz Ostrzeżenie: (0%) ![]() ![]() |
Takie rozwiązanie jest kosztowne.... a jemu chodzi o tani, a tak na prwdę darmowe
![]() |
|
|
![]()
Post
#16
|
|
Grupa: Zarejestrowani Postów: 81 Pomógł: 2 Dołączył: 28.03.2003 Ostrzeżenie: (0%) ![]() ![]() |
160 zł w stanach VPS ze wsparciem technicznym
![]() LBO także myślałem o takim rozwiązaniu ale tutaj pojawia się drugi problem, klienci musieliby opłacać zużyty transfer i być może miejsce. Bo np. ja ostatnio miałem pomysł na pewien serwis i w nim byłoby dużo zdjęć. Więc klient płacać przykładowo 300 zł za licencję na rok zużywał by transferu i miejsca za dwukrotnie wyższą cenę... A tutaj chodzi o jednorazową opłatę. |
|
|
![]()
Post
#17
|
|
![]() Grupa: Zarejestrowani Postów: 406 Pomógł: 9 Dołączył: 24.07.2005 Skąd: Bydgoszcz Ostrzeżenie: (0%) ![]() ![]() |
Korzystne rozwiązania == Wysokie koszty niestety
![]() |
|
|
![]()
Post
#18
|
|
![]() Grupa: Zarejestrowani Postów: 1 415 Pomógł: 117 Dołączył: 7.09.2005 Skąd: Warszawa Ostrzeżenie: (0%) ![]() ![]() |
w tym wypadku placimy za utrzymanie naszych - superwydajnych, uzywajacych najnowszych obiektowych metod i patternow oraz wogole takich kto kazdy chcialby miec - skryptow za dala od klienta... czasem sie to oplaca, a czasem nie...
sluchajcie - to jak? slyszal ktos cos o confuscatorach dla php, bo ja nawet dla javascriptu widzialem kiedys i nie chce mi sie wierzyc ze dla PHPka nikt nic nie napisal ![]() |
|
|
![]()
Post
#19
|
|
Grupa: Przyjaciele php.pl Postów: 7 494 Pomógł: 302 Dołączył: 31.03.2004 Ostrzeżenie: (0%) ![]() ![]() |
Cytat(LBO @ 2006-01-27 12:58:28) sluchajcie - to jak? slyszal ktos cos o confuscatorach dla php, bo ja nawet dla javascriptu widzialem kiedys i nie chce mi sie wierzyc ze dla PHPka nikt nic nie napisal ![]() A czytasz w ogóle odpowiedzi ![]() Przecież ~splatch wspominał o POBS |
|
|
![]()
Post
#20
|
|
![]() Grupa: Zarejestrowani Postów: 1 415 Pomógł: 117 Dołączył: 7.09.2005 Skąd: Warszawa Ostrzeżenie: (0%) ![]() ![]() |
a czemu od razu oburzenie
![]() |
|
|
![]() ![]() |
![]() |
Wersja Lo-Fi | Aktualny czas: 19.06.2024 - 02:47 |