Forum PHP.pl

Tak swoja droga. Czemu piszecie 'confuscator'? Chyba powinno to sie nazywac 'obfuscator'. Zreszta tlumaczenie slowa obfuscate z ang


Nawet ten program, do ktorego link podaliscie ma w title na stronce napisane "POBS - php Obfuscator".

Dla mnie np. roziwazanie, w ktorym skrypty sa na moim serwerze mi odpowiada ponieważ mam akurat taką możliwość, tylko jak rozwiązać problem z duża ilościa transferu i zużywanego miejsca? Bo kazać płacić stałą wyższą kwotę (wliczającą przewidywalny transfer i zużyte miejsce) każdemu byłoby nie fair i by nie wyszlo, a zwykłą przynosiło by straty. Więc jak to rozwiązać? Kazać płacić miesięcznie za transfer? To by chyba nie przeszło... ma ktoś jakieś dobre rozwiązanie? A może skrypt umieszczał by pliki na ftp klienta?

---------------------------------------------
Czyli podsumowuąc najlepsze rozwiązania:
1) confuscator - program, który zamienia nazwy zmiennych oraz funkcji i niektóre z tego co wiem likwidują niepotrzebne entery i spację.
2) umieszczenie skryptów na własnym serwerze

Problematyka (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
1) Cały czas czekamy aż ktoś się rozpisze na ich temat, a najlepiej byłoby gdyby to była osoba doświadczona w tym zakresie poprzez ich używanie.
2) Jak rozwiązać problem z zużywanym transferem i miejscem gdy kod będzie na naszym własnym serwerze?
W momencie kiedy to pisałem wpadłem właśnie na pomysł, że można by sprzedawać pakiety z licencją o różnych parametrach.

Dla mnie te rozwiązania są satysfakcjonujące, a dla Was?
Moim jednymym problemem jak narazie będzie odszukanie w google dobrego confuscatora, który będzie napisany pod linuksa.

Ten post edytował Kabraxis 28.01.2006, 17:37:36

jak juz mi zwrocono uwage ;P.. ~splatch dal cynk o POBSsie, a skoro php jest cross-platform to na linuksa tez sie nada (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) pozdrowienia

Przykładowy kod po POBSie - http://media.dywicki.pl/simple_counter-0.6.zip

A ktoś zna zna jakieś inne programy niż POBS?
Ja się tym zajmę bardziej i znajdę coś fajnego za kilka dni jak będe miał przerwę pomiędzy egzaminami.

PS. Ten program nie jest zbyt nowy:
Version 0.99 - August 10th 2003

---------------------------------------------------------------
Dodane:
Przetesowałem ten program i stwierdzam wady:
- przy komentarzach z użyciem "#" się gubi
- jak jest $_POST[nazwa] zmienia takze nazwa....
Jak ustawilem w configu, zeby zostawil $_POST to $_POST[nazwa] nie zmieni ale jak mam $_POST[tab][nazwa] to znowu zmienia mi nazwe...

Myślę, że wkrótce podejmę się przeróbki tego programu (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Ten post edytował Kabraxis 29.01.2006, 22:18:21

To ten tego;-) Sciepka chłopaki na dedykowanego? 10 osób po 35 zł miesięcznie (chociaż dobrze by było zapłacić z góry) i stawiamy maszynkę;-) No i na niej:

• php 5.1.x jako moduł
• PostgreSQL i MySQL-e najnowsze;-)
• Zend Optimizera i InoCube - w brew pozorom zencodowany skrypt działa szybciej - nie jest on odkodowywany a uruchamiany - nie musi być po prostu ponownie analizowany, to tak jakby zapisane struktury z Zend Engine-a po tym jak on już przetrawił nasze skrypty
• CVS i Subversion
• SSH
• i co tam jeszcze chcemy;-)

Pozdrawiam,
Marcin Staniszczak

Pominales tylko jeden wazny szczegol (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
Jeśli ma być to kodowane to wtedy ktoś musiałby mieć u Ciebie swoje konta www, a kto by chcial założyć swoje konto w firmie u Pana Kowalskiego i mieć tam swój profesjonalny serwis (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
A jeśli klienci nie będą mieli dostępu do ftp i będzie to tylko samodzielny skrypt to wtedy nie będzie miało sensu kodowanie.

Chętni klienci by się znaleźli – klienci najczęściej nie znają się na tym wszystkim i nie wiedzą czy firma A to firma Pan Kowalski czy też nie. Oczekują tylko tego żeby sami jak najmniej musieli załatwiać i żeby wszystko dobrze działało, a to już zależy od tego kto opiekuj się serwerem i od serwerowni (czy na pewno im coś nie nawala). Wiem – są wyjątki;-) Ale tak naprawdę to nie widziałeś tych ;-) ? ;-)

Pozdrawiam,
Marcin Staniszczak

Turck MMCache. Wydajnością zbliżony do ZENDa. Z polskich hostingów na 100% obsługuje go home.pl.
Jeśli klienta stać na wykonanie serwisu przeze mnie to stać go także na home.pl. A działa to pięknie - przyspiesza jednocześnie działanie całego serwisu.

Jesli chodzi o praktyczna strone tego zagadnienia to moje doswiadczenie jest zerowe. Mam jednak
pewien pomysl. Dla kazdego sprzedanego "produktu" przydzielaj unikalny kod. W aplikacji mozna
by tez ustawic zeby co okreslony czas laczyla sie z serverem i sprawdzala poprawnosc kodu.
W ten sposob mozna takze sprawdzic czy wiecej niz jeden "produkt" laczy sie z tym samym unikatowym kluczem. Obawiam sie jednak ze takie podejscie moze zostac szybko ominiete przez osoby potrafiace programowac w php. Chociaz gdyby zrobic takie sprawdzanie klucza i "zahaszowac" kod aplikacji mozna by miec przynajmniej swiadomosc z jakiego ip i ile osob kozysta z tego samego egzemplarza aplikacji.

Bylo juz to przerabiane na forum... Jest to zadne zabezpieczenie dla kogos kto choc troche zna sie na php.

Jacek Idzik , autor cmsa PROcms (może widzieliście na allegro za 69 zł , system zresztą trochę słaby) zabezpieczył kod funkcją mail wysyłającą do niego mail jeśli ktoś zainastaluje aplikację . Widziałem jak osoby nie znające nawet htmla usuwają takie coś automatycznie , zabezpieczenie śmieszne (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

A czego się spodziewałeś po osobie która kod za 69 zł sprzedaje (IMG:http://forum.php.pl/style_emoticons/default/laugh.gif)
I to jeszcze taki co ma PRO w nazwie

Ten cms ma możliwość prowadzenia wielojęzykowej strony oraz system newsów .
O dziwo sprzedaje się nieźle (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

hm... A to dużo ma ten "cms". Też taki stworze.

---
Hehe, nie brnijmy w tego OTa, szkoda rozmywac taki fajny temat.
~mike_mech

Ja już wprowadziłem swoje poprawki do pobsa, ma jeszcze kilka niedopatrzeń ale to już mniejszy problem. Rozważam jego sprzedaż na allegro (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Zdecydowanie po przerobieniu koda przez pobsa nie ma najmniejszych szans sie połapać, sam widok odrzuca (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

rozumiem, ze twoj przerobiony kod sprzedany na allegro tez przenicujesz przez POBSa ? (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) a moze jednak sie podzielisz, ciom?

panowie, ja jestem zaskoczony jednym argumentem tutaj, ze zend encodera nie zainstaluje wam zaden admin, ze trzeba dedyki czy VPS-y... dla mnie to jakas pomylka to co bylo powiedziane . z tego co sie zorientowalem to na zachodzie prawie kazdy provider instaluje zend encodera wiec wiekszosc firm hostingowych to wam udostepni, nie sadze zeby w polsce byly jakies spore roznice w tej materii ( podejrzewam ze hostingi oferujace Cpanel oferuja rowniez rzeczony zend encoder ), co do ioncube-a to nie wiem dokladnie ale oni tez maja jakis loader ktorego chyba nie trzeba dolaczac do konfiga serwera ( ale pewnosci nie mam ), i mozna na starcie skryptu jakos wlaczyc bodajze ( rozwiazanie wolniejsze ). mozna to sprawdzic w phpinfo() (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) LOL, a adminow nie pytajcie mnie ostatnio powiedziano ze nie beda dostepne sqlite z php5 na serwerze, a jesli sa odpowiedni biblioteki zaladowane w php to zdaje sie ze to dziala prawda ? :]

Można tak: Kod źródłowy kodować algorytmem typu blowfish (potrzeba znać hasło do odkodowania) - i za każdym razem algorytm przysyła pytanie o hasło na nasz serwer. W sumie ściągnąć 32 znaki typu md5() to żadne obciążenie dla transferu, a zysk jest dość pewny - zawsze wiemy kto i ile używa naszego kodu źródłowego. Kod blowfish może być zintegrowany z serwerem - np. coś takiego:

User wchodzi na aplikację klienta -> aplikacja wysyła zapytanie do naszego serwisu -> Odczytujemy ip które nam przysyła. Kodujemy je przez naszą funkcję (np.

[PHP] pobierz, plaintext 
<?php
return md5($ip_usera . "blablabla");
?>
[PHP] pobierz, plaintext 

- chodzi o to żeby nikt nie mógł podrobić hasła dla innego ip -> Zakodowany ciąg znaków wraca do klienta i jest wykorzystany jako blowfish do hasła -> Po rozkodowaniu aplikacji, program się wykonuje dalej normalnie -> Zadowolony user kończy pracę

Zalety:
+ Klient nie może usunąć powiadamiania, bo skrypt mu przestanie działać
+ Jak ktoś skopiuje skrypt, od razu będziesz wiedzieć (ip pytania pochodzi z innego miejsca)
+ Małe obciążenie dla twojego serwera (w porównaniu z klienckim (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) )

Wady:
+ Zdeterminowany klient może odkryć że otrzymuje wciąż tą samą danę z twojego serwera i może mu ją ręcznie podać do skryptu. Z drugiej strony, jeżeli to potrafi to prawdopodobnie nie potrzebuje twojej pomocy, żeby skrypt napisać.
+ Klient musi ci mówić o każdorazowej zmianie ip serwera

Co do pierwsze czesci sie zgadzam, z drugiej strony: monitor sieci + ehtereal (OS program) -- bardzo proste narzedzia -- i masz haselko w rece, wystarczy przekierowac rzadania (na poziomie iptables (dla unixa)) do lokalnego serwera ktory poda ci to samo haslo. Co w porownaniu do napisania tak rozbudowanego/wielkiego skryptu (ktory az wymaga zeby zastosowac kodowanie/ochrone kodu) jest niczym.

Obnizenie wydajnosci:
- request po haslo
- "odkodowanie kodu" (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)