Fórum Root.cz
Hlavní témata => Server => Téma založeno: Vetroplax 15. 10. 2014, 10:59:11
-
Dobry den,
rad by som vas poprosil o radu, resp. nasmerovanie na cestu k spravnemu rieseniu:
Prevadzkujeme malu aplikaciu (debian, apache, php, mariadb), ako externy dodavatel pre istu spolocnost.
Pre tuto spolocnost je to business-critical, my dodavame applikaciu, support, analyzy a dalsie sluzby a veci s pridanou hodnotou okolo tohto. Hoci vztahy su korektne, s aktualnym vedenim, nastali iste zmeny, kde vnimame riziko, ze nasu aplikaciu, nainstalovanu na ich serveroch, si jednoducho odkopiruju a zacnu prevadzkovat sami. Riziko je realne, je to krajina balkanskeho typu, kde sa veselo pirati...
Nejde tu o peniaze (nie primarne, je to minoritny klient), resp. nepredpokladame, ze sa to podari (na business vrstve urcite nebudu schopni dlhodobo maintainovat, na technologickej asi ano), ale o ten princip "ukradnutia".
Navrh riesenia:
aplikacia (db, php kody) budu/su na zasifrovanych particiach, mountovane manualne pri boote, pricom heslo sa aktualne zadava manualne - toto existuje, principialne "MUST".
Chceme sprevadzkovat "validacny" server na nasej strane, na ktory by sa aplikacia (u klienta) pri kazdom boote A pri nejakych urcitych nahodnych intervaloch kontrolovala, ci dana instalacia je validna, optimalne i dokedy je validna.
ak validacia zlyha (i v pripade, ze nebude konektivita na validacny server), vyhlasi piratsky mod a vykona prislusne akcie.
Otazka:
ako/aky postavit "validacny" server, a ako by mohla prebiehat efektivna validacia?
preferujeme existujuce riesenia, overene praxou.
Dakujem za podnety.
Vetroplax
-
A co bude bránit "pirátovi" prostě onu validační funkci ze software odstranit? Je to PHP, předpokládám tedy, že mají zdrojové kódy u sebe (když píšete že budou aplikaci schopni nadále udržovat).
-
Jednoducho povedane to, co vrazis do vytvorenia "ochrany" su vyhodene peniaze. Nech sa akokolvek snazite, tak vzdy sa najde sposob, ako to obist.
Prvy krok - sifrovana particia je ok, pokial nemaju root heslo, alebo nejaky pristup na server.
Jedine, co by ako/tak mohlo pomoct je osetrit si to v zmluve, ina realna moznost nie je.
-
Zapomen. Bud muzes spolehat na slusnost a pravo nebo to provozovat jako servis. Takhle to "zabezpecit" poradne nejde.
-
nebrani, samozrejme nic, aby to nakoniec obisli.
okrem miernej obfuskacie predmetneho kodu z nasj strany a najma casu potrebneho na danu analyzu a upravu z ich strany.
ja mi jasne, ze dana architektura neposkytne 100% ochranu, ide najma o stazenie tejto moznosti, resp. aby klient ani neskusal pomysliet na "piratenie".
cele to ma mat najma odstrasujuci efekt, kedze pre nich je to misson-critical, i denny vypadok sluzby je celkom drahy (vyrazne drahsi ako poplatky pre nas...)
-
aplikacia (db, php kody) budu/su na zasifrovanych particiach, mountovane manualne pri boote, pricom heslo sa aktualne zadava manualne pri boote
Svatá prostoto :-) Dřív nebo později na serveru spustí patřičně upravené sshd a mají hesla komplet.
rad by som vas poprosil o radu, resp. nasmerovanie na cestu k spravnemu rieseniu:
Provozovat vlastní server nebo virtuální server, třeba tady v ČR a zákazníkovi to prodat jako službu. Když je to LAMP, tak by to neměl být problém.
-
;D ;D ;D
-
Jedine co ma trochu smysl je obfuskace kodu nejakym udelatkem, vsechno ostatni se da pomerne rychle obejit.
-
"kompiluj" to pres Zend Guard, IonCube apod.
-
Zend Guard i IonCube už mají k dispozici dekompilátory obfuskovaného kódu. Osobně užívám bcompiler, ale funguje jen do verze PHP 5.3.x.
-
Ano, obfuskace kódu je dobrý začátek, ale licenční server bych tam nedával.
Lepší řešení:
Include soubor s licencí, což je číslo, obfuskovaný kód si číslo přeloží a získá z toho datum, pokud je datum o šest měsíců vyšší, jsi v pohodě.
Include: proměnná
Proměnná v kódu
Sůl uvedená někde jinde.
Spojí obě proměnné a vynásobíš to solí -> pustíš to do funkce, která je buď ok nebo ne.
Důležité je, aby se to nezaseklo na stejném místě.
Lepší je v případě nesouladu licence vyvolávat chybu pokaždé na jiném místě kódu.
To ve spojení se zmatením kódu by mělo vyvolat stav, že nebude snadné to změnit.
Jde o to, aby se chyba projevila tam, kde nebude samotná validační funkce, aby nestačilo rozmotat jen tu validační funkci.
Mohlo by postačit, aby nefungovalo zadávání nových údajů.
Kód půjde snadno ukrást a přenést, ale rozmotat to bude oříšek možná větší, než haxnout licenční server.
A vy si přihodíte jednoduchou funkci, která změní kód tak, aby byla licence dalších šest měsíců platná.
-
Zend Guard i IonCube už mají k dispozici dekompilátory obfuskovaného kódu. Osobně užívám bcompiler, ale funguje jen do verze PHP 5.3.x.
Když se mnou navrhované řešení udělá dobře, tak ti dekompilovaný kód bude stejně k ničemu.
Vyřešení licence by vyžadovalo důkladné seznámení se s licenční funkcí.
Jinak licenční server je v tomhle případě ptákovina, protože snadno zjistím, která funkce se připojí na licenční server a upravím jí.
Já naopak chci funkci udávající "oprávněnost" použití co nejvíc zahrabat do kódu.
A bude se hodit i implementace GET: www.firmatvruce.cz/oznameniovyprsenilicence.php
-
dakujem za odpovede,
najma hinty od Miramela vyzeraju prakticky implementovatelne (v nasom kontexte krajiny klienta, kde vcera bude az zajtra :o ), asi pojdeme tymto smerom.
Dakujem samozrejme i ostatnym, i ked ich odpovede boli skor urcene pre civilizovany svet (posvatnost obch.zmluvy, prevadzkovat ako servis....), co ale v tomto pripade zial absolutne nie je tento pripad.
Dam potom feedback, do konca tyzdna, co-ako sme naimplementovali, aby sa mohla otazka uzatvorit.
este raz vdaka.
V.
-
Dovolím si připojit pár myšlenek k navrhované protipirátské úpravě :
1) Pokud to neumíte, pak i nezkušený pirát tu ochranu prolomí za zlomek času, který vzal její vývoj. Zkušený pirát to zmákne s prstem v nose během obědové pauzy. (ochrany se neanalyzují, ale NOPují)
2) Protipirátská ochrana sere pouze legální uživatele. Sere je obzvlášť, pokud nefunguje. Například pokud ji napsal někdo, kdo to neumí.
3) Přidat do něčeho dodatečně protipirátskou ochranu je jednoznačné obvinění. U software na zakázku je jasný i obviněný.
-
zbytocne vyhodeny cas, pripadne peniaze.
Ak to ma byt tajne, prejdite na SaaS model.
-
To jsou zase hróóózně chytré řeči ;D
SaaS rofl!
Když RUS bude chtít, tak k serveru přijde fyzicky a data si vezme, nehledě na to, že cena dobrého hackera, který stáhne zdrojové kódy z SaaS, bude stejná jako cena dobrého hackera zabývajícího se crackingem, který to rozlouskne.
Je pravda, že zkušený pirát překoná i velmi dobrou ochranu, zbytek je čistá fabulace.
PHP není právě jazyk, který by šel snadno ochránit.
Možnosti samozřejmě jsou, například si vytvořit vlastní klon PHP překladače a používat Vaše nedokumentované funkce, které budou něco dělat, ale to mi přijde jako velmi přehnané.
Ale ve chvíli, kdy to bude obfuskované a chráněné, tedy snadno nezcizitelné, bude zcizení vyžadovat investice.
Počítá se s tím, že to dají mamlasovi A, mamlasovi B a pokud to nevyjde, možná i mamlasovi C.
Pokud zrovna z těch mamlasů nebude nikdo schopný programátor a hacker, řeknou jim, že za haxnutí chtějí mega balík a to se úsporychtivému odběrateli nebude chtít dát.
-
krome "validacniho" serveru bych taky doporucoval "aktivacni" server + nutnost mit 8" disketu s licencnim kodem v mechanice a k tomu jeste bych dolepil HW klic a vse bych samozrejme sifroval klicem ulozenym ve vasi spolecnosti ktery se bude updatovat treba kazdych 5 minut aby to nestihli vykopirovat... A z pohledu business bych doporucil zridit aktivacni telefonni linku a at uzivatelum treba kazdych 15 minut vyskoci pop-up s nutnosti zadat aktivacni kod od operatora z call centra...
OMG
-
Když RUS bude chtít, tak k serveru přijde fyzicky a data si vezme, ....
....
Ale ve chvíli, kdy to bude obfuskované a chráněné, tedy snadno nezcizitelné, bude zcizení vyžadovat investice.
Počítá se s tím, že to dají mamlasovi A, mamlasovi B a pokud to nevyjde, možná i mamlasovi C.
Pokud zrovna z těch mamlasů nebude nikdo schopný programátor a hacker, řeknou jim, že za haxnutí chtějí mega balík a to se úsporychtivému odběrateli nebude chtít dát.
Bull's Eye! (a +1k za zlepsenie dna ;))
to je pointa toho celeho, ako zabezpecit, aby klienta takato "ptakovina" ani nenapadla, resp. rozumne rychlo presla.
vyzera to tak, ze rozumne prevedena obfuskacia v php kode, vid rady Miramela vyssie + skutocnost, ze drviva vacsina business logiky je manazovana priamo a len na najvyssej uzivatelskej vrstve (a bez patricneho know-how to i pri skopirovani kodu to mozno technicky rozbeha, ale dlhodobo neudrzi) je asi jedina moznost.
este raz vdaka,
V.
PS vidno, ze ste asi uz mali takehoto zakaznika...
-
krome "validacniho" serveru bych taky doporucoval "aktivacni" server + nutnost mit 8" disketu s licencnim kodem v mechanice ...
M$ cestou urcite nie ;)
ale ten HW kluc... hmmmm :o
-
SaaS rofl!
Když RUS bude chtít, tak k serveru přijde fyzicky a data si vezme, nehledě na to, že cena dobrého hackera, který stáhne zdrojové kódy z SaaS, bude stejná jako cena dobrého hackera zabývajícího se crackingem, který to rozlouskne.
Tohle nějak nechápu. SaaS znamená, že zákazník přístup k HW nemá. Vetroplax nepsal, že dělá software pro ruskou mafii nebo někoho podobného, kdo by se mu dokázal vloupat do serverovny :D
Zneškodnit ochranu v obfuskovaném PHP na mašině ke které mám fyzický přístup je nesrovnatelně jednodušší, než se vlámat do rozumně zabezpečeného serveru. Navíc je daleko víc lidí, kteří jsou schopni rozumně zabezpečit server, než lidí co jsou schopni napsat rozumnou protipirátskou ochranu.
Jako mamlas, co už pár věcí crackl si dovolím porovnávat. Najít a opravit bug v neznámém (ale rozumném) kódu je nesrovnatelně složitější, než zneškodnění pár ochranných testů. Ochrana, která se nedá tak jednoduše zneškodnit, musí být prorostlá strukturou celého programu.
PHP není právě jazyk, který by šel snadno ochránit.
Nic, co běží na mašině, ke které má útočník fyzický přístup, nejde snadno chránit.
Ale ve chvíli, kdy to bude obfuskované a chráněné, tedy snadno nezcizitelné, bude zcizení vyžadovat investice.
Počítá se s tím, že to dají mamlasovi A, mamlasovi B a pokud to nevyjde, možná i mamlasovi C.
Pokud zrovna z těch mamlasů nebude nikdo schopný programátor a hacker, řeknou jim, že za haxnutí chtějí mega balík a to se úsporychtivému odběrateli nebude chtít dát.
Jen jestli zákazník nebude uvažovat o úplně jiných investicích. Například po tom, co jim business-critical systém zdechne v tu nejlepší dobu právě kvůli protipirátské ochraně. :P
A někdo, kdo upirátí business-critical software a bude ho provozovat bez podpory se tím potrestá sám.
-
krome "validacniho" serveru bych taky doporucoval "aktivacni" server + nutnost mit 8" disketu s licencnim kodem v mechanice a k tomu jeste bych dolepil HW klic a vse bych samozrejme sifroval klicem ulozenym ve vasi spolecnosti ktery se bude updatovat treba kazdych 5 minut aby to nestihli vykopirovat... A z pohledu business bych doporucil zridit aktivacni telefonni linku a at uzivatelum treba kazdych 15 minut vyskoci pop-up s nutnosti zadat aktivacni kod od operatora z call centra...
OMG
Ty už ses taky potkal s perlami typu : Ovládací software k hardwaru za půl mega, ale "chráněný" usb donglem ?
-
krome "validacniho" serveru bych taky doporucoval "aktivacni" server + nutnost mit 8" disketu s licencnim kodem v mechanice a k tomu jeste bych dolepil HW klic a vse bych samozrejme sifroval klicem ulozenym ve vasi spolecnosti ktery se bude updatovat treba kazdych 5 minut aby to nestihli vykopirovat... A z pohledu business bych doporucil zridit aktivacni telefonni linku a at uzivatelum treba kazdych 15 minut vyskoci pop-up s nutnosti zadat aktivacni kod od operatora z call centra...
;D ;D ;D
-
A co to vyřešit tak nějak po česku?
Vyfakturovat peníze, sbalit peníze a nedodat zákazníkovi nic?
-
A co to vyřešit tak nějak po česku?
Vyfakturovat peníze, sbalit peníze a nedodat zákazníkovi nic?
Ano, Češi jsou už od pradávna spojeni se staroslovanskými božstvi, v tomto případě mluvíme o bohu poctivosti a obchodu, jehož jméno je Velký Vojeb ;D
-
nebrani, samozrejme nic, aby to nakoniec obisli.
okrem miernej obfuskacie predmetneho kodu z nasj strany a najma casu potrebneho na danu analyzu a upravu z ich strany.
ja mi jasne, ze dana architektura neposkytne 100% ochranu, ide najma o stazenie tejto moznosti, resp. aby klient ani neskusal pomysliet na "piratenie".
cele to ma mat najma odstrasujuci efekt, kedze pre nich je to misson-critical, i denny vypadok sluzby je celkom drahy (vyrazne drahsi ako poplatky pre nas...)
Maximalne si nadelas do vlastniho hnizda. A to doslova. Sem totiz vazne zvedav, jak budes zakaznikovi vysvetlovat, ze jeho radne zaplacena aplikace odmitla fungovat, protoze tobe/jim/nekde cestou/... nefungoval net.
Podivej, netusim co je to za appku a zakolik $$$ to je kseft, ale kdyz sme resili u zakaznika BI, uvazovalo se o oracle (mimochodem, je to moc pekna vecicka). A od oraclu sme dostali link (verejne dohledatelnej) na "demo", pricemz to "demo" byla zcela plna verze bez jakychkoli omezeni (jak nam lidi z oraclu potvrdili). A proc jim to nikdo "nekrade"? No protoze vtip je v tom, ze nez by ses to naucil realne konfigurovat a pouzivat, stravis rok zkoumanim. A to si zadna realne podnikajici firma platit nebude - nebude platit 2-3 lidem rok zkoumani nejaky appky jen proto, aby ji mohla provozovat "zadarmo". Cena licence + implementace se pohybovala nekde od 2M nahoru.
=> ve tvym pripade bud pokytujete natolik zajimavej servis k ty appce, ze se proste zakaznikovi nevyplati vas obchazet nebo ste si meli za appku samotnu rict dost na to, aby vam bylo jedno, co si sni nasledne zakaznik bude delat.
-
Hele, měl bys sledovat víc pořadů, než jen večerníček.
Máš o tom páru asi jako já o řízení ruské jaderné ponorky.
-
Hele, měl bys sledovat víc pořadů, než jen večerníček.
Máš o tom páru asi jako já o řízení ruské jaderné ponorky.
Hovnozlanec bla se projevil ...
-
Nejak to nechapu, predpokladam ze kdyz firma provozuje nejaky mission critical informacni system tak si pro nej koupi licenci aby ji ten software nemohl nikdo vzit a nabyla zavisla na tom kdo tu licenci prodal. Takze strach mate z ceho? Z toho ze si na support a dalsi vyvoj te apky najdou nekoho jineho nebo ze to sami budou prodavat nebo si udelaji vice kopii pro vlastni potrebu? Nez resit licencni ochranu doporucuji spis nabizet kvalitni sluzby a rozumne ceny, bude to jednodussi.
-
"demo" byla zcela plna verze bez jakychkoli omezeni (jak nam lidi z oraclu potvrdili)
Nesmysly, v demu jsou zadrátované omezení přímo v binárce, takže na zkoušení je to fajn ale do produkce nepoužitelné, evidentně jsi v životě Oracle neviděl.
-
Hovnozlanec bla se projevil ...
Ty lulínku ;D ty jsi akorát dal dohromady dvě pecka v jedné neziskovce, jak jsi se tuším chlubil a na tomto základě stavíš své odborné posudky ;D
Tak teď, protože to se ve večerníčku nedozvíš, ti řeknu tajemství.
A) Hodně firem nemá rádo Software As Service model
B) Řada firem takové služby nesmí používat, protože jim to nařizuje stát nebo matka
C) ISO 27001/27002 nemá Software as Service rádo, protože ve chvíli, kdy nemáš svoje data u sebe, nemáš nad nimi kontrolu
D) Předražit zakázku je rada jako od posledního maňasa nejhoršího skriptaře
E) Výchoďáci jsou zvláštní nátury, pokud tam mají průměrný plat okolo osmi tisíc korun měsíčně u poměrně inteligentního čověka, tak je pro ně lepší si najmout deset vlastních lidí a platit jim sto tisíc měsíčně, než těch sto tisíc měsíčně dávat nějaké firmě ze Slovenska nebo ČR
Prostě se smiř s tím, že o tomhle toho víš míň, než čajový pytlík, buď ticho a šoupej nohama.
Tvoje rady "Tak jim dejte tak super servis, abyste byli levnější, než deset jejich lidí!" nebo "Už je to sice napsané, ale měli jste jim to pořádně předražit, protože pořádně předražená cena je zaručená jistota jak vyhrát zakázku." no tak to jsou rady, že kdyby ses dneska náhodou nějak zabil, nejspíš tě nominují na Darwinovu cenu!
2 Vetroplax
K HW klíči bude přistupovat nějaká funkce, kterou půjde v dekompilovaném kódu poměrně snadno najít a když jde něco najít, tak to jde taky změnit. HW Klíč jsou vyhozené peníze v tomto případě.
-
Doplnění:
HW klíč by šlo použít, pokud bych používal nějakou CGI/PHP Extension, která by ke klíči přistupovala z binárního kódu a nikoliv z PHP.
Ale zase se dostáváme k tomu, že pak půjde poměrně jednoduše najít, který kus kódu komunikuje s tím HW.
Nicméně jsem viděl poměrně pěknou vychytávku, která by vám mohla pomoct.
Například do MySQL je možné dávat pluginy, pokud bude Váš software na tomto pluginu závislý, tak bez instalace pluginu budou mít problém to rozchodit, hlavně když to bude dobře udělané. A už vůbec, pokud to bude fungovat, ale přitom chovat se "divně".
-
"demo" byla zcela plna verze bez jakychkoli omezeni (jak nam lidi z oraclu potvrdili)
Nesmysly, v demu jsou zadrátované omezení přímo v binárce, takže na zkoušení je to fajn ale do produkce nepoužitelné, evidentně jsi v životě Oracle neviděl.
Hosicku, tohle neni zadna binarka, to je hromada javovyho kodu, bezi to na webu a binarniho na tom neni prakticky nic. Zjevne vubec netusis o cem meles. Mam to dodneska hozeny nekde na disku.
-
Hovnozlanec bla se projevil ...
Ty lulínku ;D ty jsi akorát dal dohromady dvě pecka v jedné neziskovce, jak jsi se tuším chlubil a na tomto základě stavíš své odborné posudky ;D
Tak teď, protože to se ve večerníčku nedozvíš, ti řeknu tajemství.
A) Hodně firem nemá rádo Software As Service model
B) Řada firem takové služby nesmí používat, protože jim to nařizuje stát nebo matka
C) ISO 27001/27002 nemá Software as Service rádo, protože ve chvíli, kdy nemáš svoje data u sebe, nemáš nad nimi kontrolu
D) Předražit zakázku je rada jako od posledního maňasa nejhoršího skriptaře
E) Výchoďáci jsou zvláštní nátury, pokud tam mají průměrný plat okolo osmi tisíc korun měsíčně u poměrně inteligentního čověka, tak je pro ně lepší si najmout deset vlastních lidí a platit jim sto tisíc měsíčně, než těch sto tisíc měsíčně dávat nějaké firmě ze Slovenska nebo ČR
Prostě se smiř s tím, že o tomhle toho víš míň, než čajový pytlík, buď ticho a šoupej nohama.
Tvoje rady "Tak jim dejte tak super servis, abyste byli levnější, než deset jejich lidí!" nebo "Už je to sice napsané, ale měli jste jim to pořádně předražit, protože pořádně předražená cena je zaručená jistota jak vyhrát zakázku." no tak to jsou rady, že kdyby ses dneska náhodou nějak zabil, nejspíš tě nominují na Darwinovu cenu!
2 Vetroplax
K HW klíči bude přistupovat nějaká funkce, kterou půjde v dekompilovaném kódu poměrně snadno najít a když jde něco najít, tak to jde taky změnit. HW Klíč jsou vyhozené peníze v tomto případě.
Jak sem psal, hownozlanec se projevil, tebe bych vykop hned mezi dverma, kdybys mi zacal nabizet ten svuj uzasnej kram, kterej se startuje zadavanim hesla ....
90% firem si plati na SW (mimo jine) support a maintanence. To je v 99% pripadu smlouva na 1-X let. A pochopitelne, pokud dodavatel dodava sracky/neposkytuje zadnou odpovidajici protisluzbu/... tak firma smlouvu neprodlouzi/vypovi. Takze se zvedni z nocniku a bez si k mamince at ti nabaca.
Resit muj dodavatel jak mi znemoznit SW pouzivat, tak to bude duvod k okamzitymu ukonceni vsech smluv a v nekterych pripadech k zalobe o nahrady skod.
Nikdo tady ty debile nemluvi o zadnym predrazovani. Pokud nekomu neco dodavam, tak za cenu kterou si ja urcim. A VZDY ve 100% pripadu tak, ze je mi uplne uzadeke co si stim pak bude delat. Pokud si nezaplati support, jeho vec. SW si zaplatil tak at si stim dela co chce. Pokud je ovsem nekdo debil a doda SW gratis, na zaklade per huba slibu, ze si od nich nekdo bude objednavat sluzby, tak jen dobre mu tak.
-
ty debile
Ty lulínku jeden ;D jsi mě pobavil.
Žel bohu nemám chuť se s tebou pouštět do odborné debaty o něčem, čemu nerozumíš ;D
-
Hosicku, tohle neni zadna binarka, to je hromada javovyho kodu, bezi to na webu a binarniho na tom neni prakticky nic. Zjevne vubec netusis o cem meles. Mam to dodneska hozeny nekde na disku.
Prosim o vysvetleni pro nas hloupe: oni distribujou neco co je napsan v jave a neni to z jejich strany dodavane jako binarka? co s tim ma spolecneho, ze to bezi na webu?
-
Deaktivacia na zaklade pohladu niekam von je nezmysel. To sa da vyhodit a nefunguje to vzdy dobre, aj keby ste na obidvoch serveroch mali 100% uptime.
Ja pouzivam zadne vratka, ktore sa tvaria ako bug, ale musela by nastat uzasna zhoda nahod, aby sa do toho niekto trafil. Ked sa aj niekto trafi, tak by tym nemal dokazat robit velmi vela. Zneuzitie toho bugu musi obsahovat moznost plausible deniality.
Nakoniec z toho vyjde nieco ako, ze ked je u zmeny uzivatela meno prazdne, priezvisko obsahuje zakazane znaky a pritom sa nahrava zakazany avatar, tak sa to dostane na taku code-path, ze sa pri tom zmaze inak vybrany uzivatelsky subor. Je to cele spravene ako bug, takze tam nie je explicitny "if" na tento pripad.
Subory odporucam obfuskovat a to tak, aby nasledne ich zmena alebo zmena adresaru sposobila nemoznost deobfuskacie. Kludne to xorujte par znakmi hashu index.php, zoznamu suborov v aktualnom adresari, __FILE__ a kludne este niecim. Takto bude obfuskovany aj sam index.php. Fantazii sa medze nekladu a taketo nieco odradi pomerne vela utocnikov, lebo ak si niekam pridaju debug vypis, tak im to bude vracat nezmysly.
Na druhu stranu to chce trochu chytristiky, ako vymysliet ten zakladny subor (index.php). S trochou snahy a trochou bruteforce to nebude problem ;-).
Akurat si potom treba dat pozor na update, ze sa vzdy nahradia vsetky subory.
-
Vaše starosti bych chtěl mít. Tak to vydejte jako open-source a nemusíte se bát kopírování. Hlavně kopírování není krádež, takže nevím, o co jako jde. Všichni se určitě třesou na cizí úžasný kód, který nikdo nezná :D
-
HipHop -> c++, crackout to sice jde, ale rozšiřovat a udržovat prakticky bez šance (c++ kompilátor provádí pokročilé optimalizace). Ale musíš se smířit s jistými omezeními v kódu.
-
Ak by som bol zakaznik, ktory si objedna a zaplati zakazkovu aplikaciu, tak by nevyhnutnou podmienkou bolo, aby bol dodany aj okomentovany zdrojovy kod (a samozrejme aj licencia umoznujuca jeho zmeny).
Kazdy pokus o obfuskaciu alebo ine obmedzenie mojho pristupu by som povazoval za podvod zo strany dodavatela a okamzite by som s nim prerusil spolupracu. V profesionalnej IT praxi je vazba na jedneho dodavatela cestou do otroctva.
"Closed source" akceptujem vyhradne v pripade hromadne (teda nie zakazkovo) dodavaneho softwaru zalozeneho na standartoch (OS, databazy, aplikacne servere ... ).
-
Ja pouzivam zadne vratka ... Je to cele spravene ako bug,
V duchu "kvality" této diskuse: Kokote, u tebe bych si teda určitě něco vobjednal. >:(
-
Doplnění:
HW klíč by šlo použít, pokud bych používal nějakou CGI/PHP Extension, která by ke klíči přistupovala z binárního kódu a nikoliv z PHP.
Ale zase se dostáváme k tomu, že pak půjde poměrně jednoduše najít, který kus kódu komunikuje s tím HW.
Nicméně jsem viděl poměrně pěknou vychytávku, která by vám mohla pomoct.
Například do MySQL je možné dávat pluginy, pokud bude Váš software na tomto pluginu závislý, tak bez instalace pluginu budou mít problém to rozchodit, hlavně když to bude dobře udělané. A už vůbec, pokud to bude fungovat, ale přitom chovat se "divně".
MySQL je licencovaná pod GNU GPL*, což je svobodná copyleftová licence, která dává uživateli právo požadovat zdrojové kódy a software upravovat, šířit, libovolně používat… Jestli tam není nějaká výjimka, i ten plugin musí být pod GNU GPL a zákazník k němu musí dostat zdrojáky a práva. A jestli ta aplikace závisí na pluginu nebo na MySQL, musí dodavatel poskytnout zdrojáky a práva i k té aplikaci.
Zákazníkovi bych tedy doporučil jít touhle cestou – požadovat zdrojové kódy a práva a pokud nebude vyhověno, ukončit s dodavatelem spolupráci a podat na něj žalobu za porušování autorského zákona.
*) případně komerčně od Oraclu, ale předpokládám, že takovou licenci si ti tragédi neplatí
-
*) případně komerčně od Oraclu, ale předpokládám, že takovou licenci si ti tragédi neplatí
Těžko říct, jestli vůbec používají MySQL, PHP je s MySQL "dost spojené", ale né výhradně.
V každém případě tuším že ano, že když chceš poskytovat komerční moduly s MySQL, musíš mít smlouvu s Oraclem.
(Ne zákoš, ale ty jako vývojář.)
-
Jen doplním, že MySQL stejně nemůžeš komečně nabízet, tedy nemůžeš říct "Udělám vám e-shop, který poběží na Apache, PHP a MySQL".
"MySQL may be used freely, including by commercial entities for evaluation or unsupported internal use. However, distribution for commercial purposes of MySQL, or anything containing or derived from MySQL in whole or in part, requires a written commercial license from TcX AB, the sole entity authorized to grant such licenses."
" Does your application require MySQL to function properly? If your product requires MySQL, you need a license for any machine that runs the mysqld server. For example, if you've designed your application around MySQL, then you've really made a commercial product that requires the engine, so you need a license."
Takže jsme znova u toho, že můžou napsat plugin a tím si to zabezpečit, protože jim to přece neprodali bez licence.
-
presne na toto je urceny Zend Guard - http://www.zend.com/en/products/guard
-
Jen doplním, že MySQL stejně nemůžeš komečně nabízet, tedy nemůžeš říct "Udělám vám e-shop, který poběží na Apache, PHP a MySQL".
"MySQL may be used freely, including by commercial entities for evaluation or unsupported internal use. However, distribution for commercial purposes of MySQL, or anything containing or derived from MySQL in whole or in part, requires a written commercial license from TcX AB, the sole entity authorized to grant such licenses."
" Does your application require MySQL to function properly? If your product requires MySQL, you need a license for any machine that runs the mysqld server. For example, if you've designed your application around MySQL, then you've really made a commercial product that requires the engine, so you need a license."
Takže jsme znova u toho, že můžou napsat plugin a tím si to zabezpečit, protože jim to přece neprodali bez licence.
Jiste, a pak ses probudil ... jelikoz je MySQL pod GPL, a ta zadna dalsi rozsirena ujednani nepripousti, natoz podobna omezeni ... tak ji samozrejme pro komercni ucely muze pouzivat kdo chce.
Pochopitelne GPL verze neobsahuje nektere casti funcionality, ktere komercni verze ano (treba zalohovani).
-
Jen doplním, že MySQL stejně nemůžeš komečně nabízet, tedy nemůžeš říct "Udělám vám e-shop, který poběží na Apache, PHP a MySQL".
"MySQL may be used freely, including by commercial entities for evaluation or unsupported internal use. However, distribution for commercial purposes of MySQL, or anything containing or derived from MySQL in whole or in part, requires a written commercial license from TcX AB, the sole entity authorized to grant such licenses."
" Does your application require MySQL to function properly? If your product requires MySQL, you need a license for any machine that runs the mysqld server. For example, if you've designed your application around MySQL, then you've really made a commercial product that requires the engine, so you need a license."
Tohle jsou marketingové/obchoďácké kecy :-) Ale platí to, co je napsané v licenci – licence je GNU GPL a ta proti komerčnímu používání nic nenamítá, naopak zaručuje právo používat software za libovolným účelem (tedy i komerčním) a právo šířit kopie (klidně za úplatu, klidně draho). Pouze vyžaduje dodržování copyleftu (odvozená díla musí být taky svobodná a zaručovat stejná práva uživateli).
Tohle se často plete, ale jsou to dvě různé ortogonální kategorizace:
- komerční vs. nekomerční
- uzavřený, proprietární vs. svobodný, otevřený
A z toho vyplývající 4 skupiny softwaru, ne dvě, jak se někteří mylně domnívají.
-
To je v pořádku, ale MySQL bylo od začátku i v komerční variantě.
A Oracle si v tomto případě přeje, aby sis to v případě prodeje zalicencoval, tedy ano, omezují původní licenci a protože to dělají dlouhou dobu a široce, tak si myslím, že to mají velmi dobře ošetřené, protože kdyby neměli, už by je někdo a tím nemyslím místní mameluky, v USA zažaloval. Něco jiného jsou databáze odvozené od MySQL, třeba MariaDB, které se licenčně vrací k původní GNU GPL licenci bez omezení.
-
To je v pořádku, ale MySQL bylo od začátku i v komerční variantě.
A Oracle si v tomto případě přeje, aby sis to v případě prodeje zalicencoval, tedy ano, omezují původní licenci a protože to dělají dlouhou dobu a široce, tak si myslím, že to mají velmi dobře ošetřené, protože kdyby neměli, už by je někdo a tím nemyslím místní mameluky, v USA zažaloval. Něco jiného jsou databáze odvozené od MySQL, třeba MariaDB, které se licenčně vrací k původní GNU GPL licenci bez omezení.
GNU GPL nelze omezit :-) Ale jde dělat dvě edice, které vycházejí z jedněch zdrojáků – za předpokladu, že vlastníš všechna autorská práva k těm zdrojákům, je to v pořádku – běžně se tomu říká duální licencování.
Ty „omezující“ kecy výše se nevztahují na toho, kdo si stáhne GPL verzi MySQL nebo si přeloží MySQL ze zdrojáků.
-
Mám se s ním hádat nebo si pustit film?
Hmmm...
Hele, Máš pravdu ;D
-
Já vím. Jdu si pustit film :-)
-
Podla mna jedina realna (ale bohuzial obmedzena na velmi specificke aplikacie) moznost ako spravit licenciu viazanu na jeden stroj je schovat malu ale podstatnu "funkciu()" do hardveroveho kluca.
Myslim tym to, ze vstupy sa poslu do kluca a ten posle naspat vystupy, algoritmus funkcie nikdy neopusti hw kluc. Mas kluc - mas algoritmus.
"Funkcia" musi robit nieco hodnotne / klucove a zaroven tazko odvoditelne zo suboru znamych vstupov/vystupov.
Toto je asi vo vacsine pripadov dost obmedzujuca poziadavka. Viem si predstavit pod "funkciou" napriklad algoritmus nejakeho vypoctu, ktory som dva roky vyvijal a nechcem ho dodat vo forme kodu.
Zaroven by hardverovy kluc musel mat definovany a limitovany troughput, aby nestihal spracovavat volania z viacerych strojov.
-
Jen ještě doplním, že tohle je defective by design (http://www.defectivebydesign.org/). Jeden můj zápisek k tématu (https://blog.frantovo.cz/c/306/%C3%9Atok%20skrze%20DVD%20%2B%20den%20boje%20proti%20DRM) a komentář (https://www.abclinuxu.cz/poradna/linux/show/396769#17). Špatné věci prostě nelze dělat dobře, nemá to řešení.