zabezpieczenie kodu przed kopiowaniem Opcje

[Kabraxis]

Witam, wczoraj natkneła mnie taka myśl... zaliczmy, że sprzedajesz oskryptowanie na licencję płatną co roku lub jednorazowo. Taki kod może bardzo łatwo wyciec i znaleźć się w sieci, ktoś zmieni design, ostatecznie kilka linijek kodu z nazwami w $_GET i po sprawie... Przecież go nie znajdziesz, a jeśli nawet to napewno nie będziesz się ze wszystkimi sądził.

Jestem ciekawy jakich metod zabezpieczenia używacie, słyszałem, że są specjalne narzędzia do szyfrowania kodu chociaż wydaję mi się to nielogiczne bo jeśli coś można zaszyfrować i apache musi umieć to czytać to równie łatwo można to odszyfrować. Gdzieś kiedyś widziałem kod w którym usunięte były wszystkie entery i spację przez co stawał się nieczytelny.
Co w przypadku kiedy klient powinien opłacić po roku ponownie licencję?
W jaki sposób sprawić aby skrypt informował mnie o swoich instalacjach na róznych serwerach. Mi przyszło do głowy tylko zaszyfrowanie kawałka kodu np. poprzez base64 i później odszyfrowanie i wykonanie. Ale to nie daje żadnej gwarancji.
Rozważałem także możliwość w której skrypt łączy się z moim serwerem aby sprawdzić swoje id i tajny klucz czy licencja jest opłacona ale zmienić jednego ifa to nie problem...

Prosiłbym tutaj o wypisanie najskuteczniejszych metod ochrony własnego kodu, jeśli dobrze go rozwiniemy ten temat może się przydać jeszcze wielu następnym

Pozdrawiam, Kabraxis

[tiraeth]

Jeden plik install.php, który pobiera resztę plików z Twojego serwera i zapisuje w bazie na jaki adres poleciała instalacji i kiedy... potem to juz sobie w ACP sprawdzasz czy licencja na skrypt mineła itd. Przy pobieraniu plików z serwera możesz poprosić o podanie np. klucza licencji itd

[Sabistik]

Jakis czas temu byl spory temat na forum o tym. Jak dobrze pamietam scanner to opisywal. Jesli nie uzyjesz jakiegos encodera to nigdy nie bedziesz mial pewnosci ze Twoj skrypt gdzies sie nie ulotni..

topic

Ten post edytował Sabistik 26.01.2006, 12:11:47

[vieri_pl]

Są narzędzia typu IonCube, polecam ! Sam zabezpieczałem tym skrypty, są one mniej więcej takiego wyglądu:

37yr saueifsdy78fr6 3w45 asdfDS%$$ BY^&%YDF gje8r9t6y76ngdfygfdgDF%^ $RSGDFG ^T%$@TSDFGwer5gdf A setEW RT



www.ioncube.com/

[splatch]

ion cube wymaga instalacji dodatkowego rozszeżenia do php, w rzeczywistości skrypt potraktowany tym encoderem nie pójdzie nigdzie, bo żaden ISP nie doinstaluje tego rozszeżenia.

[LBO]

nigdy nie sprawdzalem czy takie istnieja dla php, ale dobrym rozwiazaniem (bez dodatkowych rozszerzen itp) sa confuscatory... zmienia ja one nazwy zmiennych obiektow i wszystkiego co sie da.. na jakies zbitki alfanumeryczne np. zamiast $zalogowany (tutaj mozna sie domyslec do czego sluzy) zmieniona jest na $asfna4b3b43gjqbjhabfjagcrjdfgb23bc.. po prostu (jak nazwa wskazuje) wprowadza zamet w kodzie... jezeli ktos ma informacje o takich narzedziach niech sie wypowie..
Oczywiscie nie jest to 100% rozwiazanie problemu, bo jak ktos ma czas i to rozkmini o co w kodzie chodzi

edit: zawsze mozna samemu sprobowac takie narzedzie napisac

Ten post edytował LBO 26.01.2006, 15:42:26

[kszychu]

A nie lepiej użyć narzędzia do tego stworzonego? Mówię tutaj o zend encoder'ze. Nie dość, że kompiluje on kod, przez co skrypt wykonuje sięszybciej, to robi kod w ogóle nieczytelnym i nieedytowalnym. Ma ponadto wiele innych ciekawych funkcji, jak chociażby taka kompilacja, by skrypt działał do określonego dnia.
Jest to narzędzie komercyjne, ale jeśli ktoś robi oprogramowanie na sprzedaż, to uważam, że taki wydatek się opłaci.

[Kabraxis]

Mnie np. interesują tylko rozwiązania za free, ponieważ gdybym miał tak patrzeć przy każdej rzeczy jaką robie to byłoby to znacznie mniej opłacalne, pozatym wole wspierać opensource
Ciekawi mnie jeszcze jedna rzecz... vieri czy wiesz może jak takie zaszyfrowanie kodu wpływa na szybkość jego wykonywania? Bo chyba nikt nie byłby za tym aby używać czegoś co spowalniało by za mocno wykonywanie skryptu.

Wedłóg mnie narazie najlepszym ze sposobów jest propozycja podana przez LBO.

A co do Ion Cube trzeba mieć uprawnienia administratora aby doisntalować rozszerzenie? Bo tak to zrozumiałem?

Co do pliku install.php to jest dobry pomysł tylko jak ktoś już to zainstaluje to jak zabezpieczyć to przed skopiowaniem tego co jest po zainstalowaniu?

[splatch]

Zend Encoder do uruchomienia przerobionego kodu wymaga jeszcze Zend Optimizera - czyli kolejnego rozszeżenia do php, którego admin na pewno nie będzie chciał zainstalować bądź będzie bardzo oporny..

Ja osobiście skorzystałem kiedyś z POBSa (php Obfuscator) - kod po nim wymaga czasami poprawek (zwłaszcza kiedy się używa extract itp) ale potrafi utrudnić odczytanie kodu.

[vieri_pl]

Co do szybkości działania, fakt chodzi to wolniej ponieważ musi skrypt się tak jakby w locie odkodować itp. Jednak propozycja LBO również wydaje mi się najlepsza... chociażby dlatego że ionCube wymaga właśnie dodatkowych rozszerzeń

[Kabraxis]

Mysle, ze wszelkiego rodzaju rozwiazania, ktore wymagaja uprawnien adminsitratora z gory odpadaja, badzmy realistami

Czy ktos w takim razie moze sie wypowiedziec na temat confuscatow?
Mnie np. interesowało by rozwiązanie dla linuksa (programy działające pod linuksem bo windowsa nie uzywam)

Ten post edytował Kabraxis 26.01.2006, 21:38:07

[LBO]

zawsze wyjsciem jest doatkowo hosting dla swoich skryptow - czyli klient nie placi za skrypt tylko za usluge jaka on wykonuje... i tym spsobem,ma swoja strone do ktorej stworzono panel adminitracyjny.. moze miec dostep do bazy danyc, ale do plikow bezposrednio nie.. co o tym mslicie?

[ikioloak]

z tego co wiem to sie nazywa ASP. Rozwiaznaia takiego uzywaja powazniejsze firmy sprzedajace CRM'y. Generalnie jest to najlepsze rozwiazanie, dajace 1oo% pewnosci ze kod pozostanie wasz.

btw: nie wiecie moze ile kosztuje postawienie swojego kompa w serwerowni? tzn chodzi mi wlasnie o hosting na swoje potrzeby. czy lepszym wyjsciem jest kupno sewera dedykowanego..? nie znam sie za bardzo na tym :/

[sf]

z tego co wiem to sie nazywa ASP. Rozwiaznaia takiego uzywaja powazniejsze firmy sprzedajace CRM'y. Generalnie jest to najlepsze rozwiazanie, dajace 1oo% pewnosci ze kod pozostanie wasz.

btw: nie wiecie moze ile kosztuje postawienie swojego kompa w serwerowni? tzn chodzi mi wlasnie o hosting na swoje potrzeby. czy lepszym wyjsciem jest kupno sewera dedykowanego..? nie znam sie za bardzo na tym :/

Nie tylko CRMy. Takze CMSy, np. RedDot.

Ceny są różne, zależy jaki to jest sprzęt. Oferta 300 PLN na miesiąc wydaje się już rozsądna. Tylko wtedy musisz sam się serwerem opiekować. Serwerownia co najwyżej Ci go zresetuje jak już wszystko padnie

[vieri_pl]

Takie rozwiązanie jest kosztowne.... a jemu chodzi o tani, a tak na prwdę darmowe

[Kabraxis]

160 zł w stanach VPS ze wsparciem technicznym

LBO także myślałem o takim rozwiązaniu ale tutaj pojawia się drugi problem, klienci musieliby opłacać zużyty transfer i być może miejsce. Bo np. ja ostatnio miałem pomysł na pewien serwis i w nim byłoby dużo zdjęć. Więc klient płacać przykładowo 300 zł za licencję na rok zużywał by transferu i miejsca za dwukrotnie wyższą cenę...

A tutaj chodzi o jednorazową opłatę.

[vieri_pl]

Korzystne rozwiązania == Wysokie koszty niestety

[LBO]

w tym wypadku placimy za utrzymanie naszych - superwydajnych, uzywajacych najnowszych obiektowych metod i patternow oraz wogole takich kto kazdy chcialby miec - skryptow za dala od klienta... czasem sie to oplaca, a czasem nie...

sluchajcie - to jak? slyszal ktos cos o confuscatorach dla php, bo ja nawet dla javascriptu widzialem kiedys i nie chce mi sie wierzyc ze dla PHPka nikt nic nie napisal

[mike]

sluchajcie - to jak? slyszal ktos cos o confuscatorach dla php, bo ja nawet dla javascriptu widzialem kiedys i nie chce mi sie wierzyc ze dla PHPka nikt nic nie napisal

A czytasz w ogóle odpowiedzi
Przecież ~splatch wspominał o POBS

[LBO]

a czemu od razu oburzenie , ucieklo mi zwyczajnie... a odpowiedzi czytam, bo temat nie da sie ukryc bardzo ciekawy