Forum PHP.pl

Zazwyczaj firmy kupują duże skrypty, a wtedy łatwo jest ukryć złośliwy kod tj. robiący to co jest przez nas pożądane, a mała przejrzystość kodu (brak komentarzy i wcięć) powoduje trudności dogrzebania się do odpowiednich linijek.
Jeżeli produkt będzie sprzedawany tylko firmą (wiemy kto miał dostęp do kodu naszego skryptu - kluczowy jest tutaj odbiorca usług ) i będzie składał się z licznych plików to jest szansa, że nikt nie będzie bawił się w kreatywne oszczędzanie kosztem nas ;].

Wracając jednak do naszego kodu ;]. Kod ten pobierałby aktualną datę serwera i dodawał po okresie instalacji określoną ilość dni, kiedy nie wyświetlany byłby błąd licencji ;].

Ewentualnie wysyłałby do naszej bazy potajemnie adres strony + plus czas zainstalowania, ale nie pokazywałby po skończeniu licencji żadnych błędów.
Później mielibyśmy argumentacje, że przypadkiem odkryliśmy nasz skrypt na ich stronie (wtedy nie uraczyliby nas grzebaniem w naszym kodzie ;] w przyszłości ).


Można także w skrypcie sprzedawanym jakoś ważną część silnika php includować z naszego serwera, ale tutaj jest problem bezpieczeństwa.

Ten post edytował RAFpl 15.03.2006, 02:53:20

Jakiś czas temu napisałem taki projekt do ukrywania kodu php, zasada działania dokładnie taka sama jak POBS ale działanie lepsze, POBS wywala się w przypadku pracy z dużym projektem. Żadne rozwiązanie tego typu nie daje 100% pewności, że kod nie zostanie ukradziony, ale generalnie znacznie utrudnia sprawe. Soft był testowany w kilku przypadkach na dużych aplikacjach po kilkanście tysięcy zmiennych i generalnie nie było problemów.

http://www.turtle.dotproject.pl/

jest kilka dobrych metod ale zaproponuje bezpaltne:

Bezpatny zammennikem dla zend encoder i ionCube jest eAccelerator ktury nie szyfruje kod tylko go kompiluje, co uniemozliwia decompulacje, to co do szyfrowania kody.
a co do za bezpieczeniem przed zmanato sprobuj ta metode.
niech guwny plik w twoim programie ktury zawsze ject 'includowany' mial w sobie nastepujace instrukcje:
1) musisz manualnie obliczyc wszyskie md5() plikow kture sa w twoim programie,
2) wpisac je do tego pliku
3) spawdzac czy sie zgadzaja z aktualnymi md5() pilkow i pokazac error w razie bledu
4) to wszysko bedzie skompilowane wiec nikt nie bedzie wiedzial o co chodzi


ps. sorki za muj plski, ale ja jest obcokrajowcem

Terefere. Obcokrajowiec wbrew pozorom nie popełnia notorycznych błędów ortograficznych.

---
Masz jakieś spostrzeżenia, napisz to autorowi na PW.
Masz ochotę na ostrzeżenie to pisz dalej takie idiotyczne posty.
~mike_mech

Wroce jeszcze do IonCube.. najnowsza wersja jest w stanie funkcjonowac bez zadnego doinstalowywania bibliotek (IMG:http://forum.php.pl/style_emoticons/default/aaevil.gif)
Fakt, pelna wersja kosztuje nawet 300$ ale nie ma co sie oszukiwac jezeli robisz oprogramowanie warte 500zl to zwykle mieszanie kodu wystarczy, natomiast przy 5000zl trzeba zainwestowac (jednorazowo!).
Dla skapcow - mozna na ich stronie przeprowadzic kompilacje kodu online za smieszne pieniazki (kilka $).

Pozwolę się sobie zabrać głos w tym temacie:

Rozwiązanie, które proponuje nie jest darmowe ale za to najskuteczniejsze z jakim miałem do czynienia, nie było ich mało. Przejde do rzeczy:

Proponuje użyć programy Codelock firmy Website Creations Ltd, (http://www.websitecreations.co.nz/).
//to nie jest żadna reklama //
Osobiście używam tego programu i jest po prostu idealny. Pliki kodowane są nie do rozkodowania, blokuje debugery co zwiększa bezpieczeństwo skryptu), możliwośc działania skryptu przez ileś dni od poerwszego uruchomienia lub do pewnej konkretnej daty, hasło przy pierwszym uruchomieniu, lub bez hasła, blokadana na konkretne domeny lub IP, kompresja ZLIB i wiele innych.
Jeżeli po roku chcesz przedłużyć okres ważności skryptu podmienia się tylko plik licencji, którego nazwę ustalasz sam.

Co najlepsze: Skrypt nie wymaga żadnych dodatkowych bibliotek, a wszystko niezbędne ma już w pliku licencji (oczywiście zakodowane).

Ponadto sam program może jeszcze kodować HTML, kod php i HTML np w taki sposób:
<?php
eval(base64_decode('JGNvZGVsb2NrX2NvZGU9IlB6NDhQdzBLUHo0OFAxQklVQ0E9IjsgJGNvZGVsb2NrX2NvZGU9c3Ry
X3JlcGxhY2UoIkAiLCJDQWciLCAkY29kZWxvY2tfY29kZSk7ICRjb2RlbG9ja19jb2RlPXN0cl9yZXBsY
WNlKCIhIiwgIlc1IiwgJGNvZGVsb2NrX2NvZGUpOyAkY29kZWxvY2tfY29kZT1zdHJfcmVwbGFjZSgiKi
IsICJDQWdJIiwgJGNvZGVsb2NrX2NvZGUpOyAkY29kZWxvY2tfY29kZT1iYXNlNjRfZGVjb2RlKCRjb2R
lbG9ja19jb2RlKTsgZXZhbCgkY29kZWxvY2tfY29kZSk7IAo='));
?>

Poniżej daje link do paczki z zakodowanym phpinfo:
http://webdesign.bitmar.net/phpinfo.zip

Tak jak mówiłem wcześniej, nie ma dobrych zabezpieczeń kodu php. Jeśli da się rozkodować Windowsa ( a da się ) to co dopiero php. Lepszym rozwiązaniem jest zendEncoder lub iCube ale to też nie daje 100% gwarancji że ktoś kto będzie uparty nie rozbroi naszych zabezpieczeń dla przykładku główne funkcje wspomnianego wyżej programu CodeLock :

[PHP] pobierz, plaintext 
<?php
function codelock_run($ciph,$key)
		{ 
			$m=0; 
			$abc=''; 
 
			for($i=0;$i<strlen($ciph);$i++)
			{ 
				$c=substr($ciph,$i,1); 
				$dv=codelock_dec($c); 
				$dv=($dv-$m)/4; 
				$fb=decbin($dv); 
 
				while(strlen($fb)<4)
				{ 
					$fb='0'.$fb; 
				} 
 
				$abc=$abc.$fb; 
				$m++; if($m>3){ $m=0; } 
			} 
 
			$kl=0; 
			$pd=''; 
 
			for($j=0;$j<strlen($abc);$j=$j+8)
			{ 
				$c=substr($abc,$j,8); 
				$k=substr($key,$kl,1); 
				$dc=bindec($c); 
				$dc=$dc - strlen($key); 
				$c=chr($dc); $kl++; 
 
				if($kl>=strlen($key)){ $kl=0; } 
 
				$dc=ord($c)^ord($k); 
				$p=chr($dc); 
				$pd=$pd.$p; 
			} 
 
		return $pd; 
 
		}
 
		function codelock_dec($codelock_v)
		{ 
			switch($codelock_v) { 
				case 'A':$dv=0;break; 
				case 'B':$dv=1;break; 
				case 'C':$dv=2;break; 
				case 'D':$dv=3;break; 
				case 'E':$dv=4;break; 
				case 'F':$dv=5;break; 
				case 'G':$dv=6;break; 
				case 'H':$dv=7;break;	
				case 'I':$dv=8;break; 
				case 'J':$dv=9;break; 
				case 'K':$dv=10;break; 
				case 'L':$dv=11;break; 
				case 'M':$dv=12;break; 
				case 'N':$dv=13;break; 
				case 'O':$dv=14;break; 
				case 'P':$dv=15;break; 
				case 'Q':$dv=16;break; 
				case 'R':$dv=17;break; 
				case 'S':$dv=18;break; 
				case 'T':$dv=19;break; 
				case 'U':$dv=20;break; 
				case 'V':$dv=21;break; 
				case 'W':$dv=22;break; 
				case 'X':$dv=23;break; 
				case 'Y':$dv=24;break; 
				case 'Z':$dv=25;break; 
				case 'a':$dv=26;break; 
				case 'b':$dv=27;break; 
				case 'c':$dv=28;break; 
				case 'd':$dv=29;break; 
				case 'e':$dv=30;break; 
				case 'f':$dv=31;break; 
				case 'g':$dv=32;break; 
				case 'h':$dv=33;break; 
				case 'i':$dv=34;break; 
				case 'j':$dv=35;break; 
				case 'k':$dv=36;break; 
				case 'l':$dv=37;break; 
				case 'm':$dv=38;break; 
				case 'n':$dv=39;break;	
				case 'o':$dv=40;break; 
				case 'p':$dv=41;break; 
				case 'q':$dv=42;break; 
				case 'r':$dv=43;break; 
				case 's':$dv=44;break; 
				case 't':$dv=45;break; 
				case 'u':$dv=46;break; 
				case 'v':$dv=47;break; 
				case 'w':$dv=48;break;
				case 'x':$dv=49;break; 
				case 'y':$dv=50;break; 
				case 'z':$dv=51;break; 
				case '0':$dv=52;break; 
				case '1':$dv=53;break; 
				case '2':$dv=54;break; 
				case '3':$dv=55;break;	
				case '4':$dv=56;break; 
				case '5':$dv=57;break; 
				case '6':$dv=58;break; 
				case '7':$dv=59;break; 
				case '8':$dv=60;break; 
				case '9':$dv=61;break; 
				case '+':$dv=62;break; 
				case '/':$dv=63;break; 
				case '=':$dv=64;break; 
				default: $dv=0;break; 
			} 
 
			return $dv; 
		} 
 
	function codelock_dec_int($codelock_decint_code,$codelock_calc_key) 
	{  
		if ($codelock_calc_key == '') 
		{ 
 
		} else { 
 
			$codelock_calc_key = base64_encode($codelock_calc_key); 
			$codelock_k1=substr($codelock_calc_key,0,1); 
			$codelock_k2=substr($codelock_calc_key,1,1); 
			$codelock_k3=substr($codelock_calc_key,2,1); 
			$codelock_decint_code = str_replace('$', '$codelock_k1', $codelock_decint_code); 
			$codelock_decint_code= str_replace('(', '$codelock_k2', $codelock_decint_code); 
			$codelock_decint_code=str_replace(')', '$codelock_k3', $codelock_decint_code); 
 
		} 
 
		$codelock_decint_code=base64_decode($codelock_decint_code);  
 
		return $codelock_decint_code; 
 
		} 
	}
?>
[PHP] pobierz, plaintext 

Pogrzebalem troche w sieci i doszedlem do jednej refleksji:
Produkty zapezpieczajace skrypty php przed podgladem zrodla sa nie zbyt dobrym rowiazaniem (http://wwww.18yuan.com/), dlaczego ? dlatego bo za duzo ludzi grzebalo w nich, prawie karzdy kiedzys mial stycznisc z kodem zabespieczonym w ten sposob, dlatego napewno ktos staral sie to zalamac, i pewnie kilku sie udalo ( nie zabezpieczenia bez crack-u !). i moim zdaniem najlepszym sposobem ukrywania kodu jest polaczenie php + jakis c/c++ itp. wtedy php bedzie uzywac system() aby uzyskac swoj source programy i then exe bedzie mu go dawal, ale to rowiazanie jest dla bardzo zaawansowanych, i gwarantuje lepszy poziom bezpieczenstwa.

Drugi sposob, jest takrze bezpieczny are trzeba durzego bandwidtha do tego: zamiast stawiac kody na kompie klienta i sciagac klucz szyfry z twojego serwera, mozesz posunac sie o krok dalej i urzyc WebServices, ktore beda wykonywaly te najbardziej "tajemnicze" funkcje, a reszte operacji ja np: (echo, itd. itp) to na lokalnym kompie klienta bedzie, to rozwiazanie ma kilka zalet:
1) pelna kontrola execucji
2) na 100% kod nie zostanie skradziony.
3) klient ni musi sciagac update tylko ty zmieniasz kod u siebie

wady:
1) zre bandwidth jak cholera
2) nie kazdy ma internet (np. intranet)
3) niektuzy nie maja zaufania to tego typu dzialanosci...

Ten post edytował nasty_psycho 7.06.2006, 22:59:04

Wady:
4) Ktos moze sobie dopisac brakujacy kod.

O dopisywanie brakujacego kodu az tak bardzo bym sie nie martwil bo skoro dopisze to juz nie ukradnie. Za to dostrzegam inna wade. Funkcjonowanie strony zbudowanej o tak zorganizowany skrypt zalezy od poprawnego funkcjonowania nie tylko serwera na ktorym jest umieszczona, ale tez od serwera uslugodawcy. Podwojenie awaryjnosci.

To sa wlasnie nastepstwa nadciagnietego bandwidtha...

Nie napisałeś o najważniejszej wadzie - czasie wykonania. Nawet przy najszybszych łączach szybkość takiej strony będzie kiepska. Ogólnie, to nie jest najlepsze rozwiązanie, bo jeszcze trzeba opłacić serwer, który to utrzyma. Jeżeli już mamy działający serwer, można pójść krok dalej i żądania wykonywać z przeglądarki klienta, ale to nie będzie miało nic wspólnego z tematem...

Ja polecam ionCube. Oczywiście płatny, płacisz za oprogramowanie do kodowania. Ma bardzo dużo możliwości kodowania!. Jego największą zaletą jest to, że nie trzeba instalowac żadnych dodatkowych modułów (bibliotek) do serwera - aby skrypt działał wystarczy wgrac folder z odpowiednimi plikami (kilka plików .php ale mozna usunąc zbędne i kilka plików jako do wczytania przez chyba funkcję system()) Na prawdę opłaca się zakupic.. Osobiście zakupiłem ich licencję i nie żałuję tego (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Na prawdę jestem pod wielkim wrażeniem. Jak ktoś chciałby się pobawic tym (może coś zakodowac ;-) ) zapraszam na PW.

Pozdrawiam.

Ten post edytował NetJaro 18.06.2006, 07:57:40

wlasnie ze trzeba bo dl() nie dziala wszedzie, trzeba specjalnie zainstalowac apache zeby dziala, a pozatym jest kilka dekoderow dla ionCube sieci.

Mało który usługodawca blokuje funkcję.. kiedyś to była podstawa (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

A co do dekoderów - znajdź mi (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Ja znalazłem jeden gdzie koszt wynosił 20€ - sprawdziłem, opłaciłem i gościa nie ma, kasy nie ma a tym bardziej skryptu odkodowanego (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Nie znam administratora, który zostawia system(), exec() niezablokowane. Bardzo niewiele serwerów ma tą opcję włączoną. W poprzedniej pracy administrator nie dopuszczał użycia żadnej z tych funkcji nawet na serwerze testowym. Nie mówie już o dl() ponieważ ta funkcja jest domyślnie wyłączona i w przyszłości (PHP6) jej nie będzie, tzn. będzie dostępna tylko w CLI, zatem w grę będzie wchodzić modyfikacja php.ini. Dlatego też twierdzenie, że nie trzeba instalować dodatkowych modułów uważam za śmieszne tak samo jak fakt, że najwyraźniej chyba nawet nie przyglądałeś się bliżej kodowi który wywala z siebie ionCube. Jest tam wyraźnie wykonywany dl() wraz ze sklejaniem ciągu z dll/so, który ma być wczytany.

@splatch- masz racje, funkcje dl,system,exec itp. sa tylko na BARDO drogich dedykowanych serwerach, a na takie rowiazania stac tylko duze firmy. a te to maja zazwyczaj cale teamy tylko do twozenia zabezpiczen.

Ten post edytował nasty_psycho 21.06.2006, 08:15:08

ta widze ze nie znasz terminu dedykowany serwer.

Do samego tego wystarczy po prostu zatrudnić kiepskiego programistę. (IMG:http://forum.php.pl/style_emoticons/default/aaevil.gif)

Sorry, NMSP. (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

IonCube lub Zend Encoder. Nie ma co kombinować, tym badziej że zazwyczaj jeśli aplikacja jest robiona dla klienta i kod jest na tyle wartościowy, że go nie powinien zobaczyć/móc powielić, to i tak to ma na swoich serwerach, tym samym może sobie wszelkie rozszerzenia doinstalowywać.

Inna kwestia - umowa o udostępnienie kodu może mówić jednoznacznie, że nie można wykorzystać go w innych, własnych celach czy odsprzedawać dalej, a jak ktoś łamie licencję, to do sądu - toż to zwykłe piractwo.

Ten post edytował macbirdie 11.09.2006, 11:42:45