Protipirátská ochrana LAMP aplikace

[Miramel]

To jsou zase hróóózně chytré řeči 

SaaS rofl!
Když RUS bude chtít, tak k serveru přijde fyzicky a data si vezme, nehledě na to, že cena dobrého hackera, který stáhne zdrojové kódy z SaaS, bude stejná jako cena dobrého hackera zabývajícího se crackingem, který to rozlouskne.

Je pravda, že zkušený pirát překoná i velmi dobrou ochranu, zbytek je čistá fabulace.
PHP není právě jazyk, který by šel snadno ochránit.
Možnosti samozřejmě jsou, například si vytvořit vlastní klon PHP překladače a používat Vaše nedokumentované funkce, které budou něco dělat, ale to mi přijde jako velmi přehnané.

Ale ve chvíli, kdy to bude obfuskované a chráněné, tedy snadno nezcizitelné, bude zcizení vyžadovat investice.
Počítá se s tím, že to dají mamlasovi A, mamlasovi B a pokud to nevyjde, možná i mamlasovi C.
Pokud zrovna z těch mamlasů nebude nikdo schopný programátor a hacker, řeknou jim, že za haxnutí chtějí mega balík a to se úsporychtivému odběrateli nebude chtít dát.

[Reklama]

[OMG]

krome "validacniho" serveru bych taky doporucoval "aktivacni" server + nutnost mit 8" disketu s licencnim kodem v mechanice a k tomu jeste bych dolepil HW klic a vse bych samozrejme sifroval klicem ulozenym ve vasi spolecnosti ktery se bude updatovat treba kazdych 5 minut aby to nestihli vykopirovat... A z pohledu business bych doporucil zridit aktivacni telefonni linku a at uzivatelum treba kazdych 15 minut vyskoci pop-up s nutnosti zadat aktivacni kod od operatora z call centra...

OMG

[Vetroplax]

Když RUS bude chtít, tak k serveru přijde fyzicky a data si vezme, ....
....
Ale ve chvíli, kdy to bude obfuskované a chráněné, tedy snadno nezcizitelné, bude zcizení vyžadovat investice.
Počítá se s tím, že to dají mamlasovi A, mamlasovi B a pokud to nevyjde, možná i mamlasovi C.
Pokud zrovna z těch mamlasů nebude nikdo schopný programátor a hacker, řeknou jim, že za haxnutí chtějí mega balík a to se úsporychtivému odběrateli nebude chtít dát.

Bull's Eye! (a +1k za zlepsenie dna )
to je pointa toho celeho, ako zabezpecit, aby klienta takato "ptakovina" ani nenapadla, resp. rozumne rychlo presla.

vyzera to tak, ze rozumne prevedena obfuskacia v php kode, vid rady Miramela vyssie + skutocnost, ze drviva vacsina business logiky je manazovana priamo a len na najvyssej uzivatelskej vrstve (a bez patricneho know-how to i pri skopirovani kodu to mozno technicky rozbeha, ale dlhodobo neudrzi) je asi jedina moznost.

este raz vdaka,
V.
PS vidno, ze ste asi uz mali takehoto zakaznika...

[Vetroplax]

krome "validacniho" serveru bych taky doporucoval "aktivacni" server + nutnost mit 8" disketu s licencnim kodem v mechanice ...

M$ cestou urcite nie

ale ten HW kluc... hmmmm 

[JSH]

SaaS rofl!
Když RUS bude chtít, tak k serveru přijde fyzicky a data si vezme, nehledě na to, že cena dobrého hackera, který stáhne zdrojové kódy z SaaS, bude stejná jako cena dobrého hackera zabývajícího se crackingem, který to rozlouskne.

Tohle nějak nechápu. SaaS znamená, že zákazník přístup k HW nemá. Vetroplax nepsal, že dělá software pro ruskou mafii nebo někoho podobného, kdo by se mu dokázal vloupat do serverovny

Zneškodnit ochranu v obfuskovaném PHP na mašině ke které mám fyzický přístup je nesrovnatelně jednodušší, než se vlámat do rozumně zabezpečeného serveru. Navíc je daleko víc lidí, kteří jsou schopni rozumně zabezpečit server, než lidí co jsou schopni napsat rozumnou protipirátskou ochranu.

Jako mamlas, co už pár věcí crackl si dovolím porovnávat. Najít a opravit bug v neznámém (ale rozumném) kódu je nesrovnatelně složitější, než zneškodnění pár ochranných testů. Ochrana, která se nedá tak jednoduše zneškodnit, musí být prorostlá strukturou celého programu.

PHP není právě jazyk, který by šel snadno ochránit.

Nic, co běží na mašině, ke které má útočník fyzický přístup, nejde snadno chránit.

Ale ve chvíli, kdy to bude obfuskované a chráněné, tedy snadno nezcizitelné, bude zcizení vyžadovat investice.
Počítá se s tím, že to dají mamlasovi A, mamlasovi B a pokud to nevyjde, možná i mamlasovi C.
Pokud zrovna z těch mamlasů nebude nikdo schopný programátor a hacker, řeknou jim, že za haxnutí chtějí mega balík a to se úsporychtivému odběrateli nebude chtít dát.

Jen jestli zákazník nebude uvažovat o úplně jiných investicích. Například po tom, co jim business-critical systém zdechne v tu nejlepší dobu právě kvůli protipirátské ochraně.

A někdo, kdo upirátí business-critical software a bude ho provozovat bez podpory se tím potrestá sám.

[Reklama]

[JSH]

krome "validacniho" serveru bych taky doporucoval "aktivacni" server + nutnost mit 8" disketu s licencnim kodem v mechanice a k tomu jeste bych dolepil HW klic a vse bych samozrejme sifroval klicem ulozenym ve vasi spolecnosti ktery se bude updatovat treba kazdych 5 minut aby to nestihli vykopirovat... A z pohledu business bych doporucil zridit aktivacni telefonni linku a at uzivatelum treba kazdych 15 minut vyskoci pop-up s nutnosti zadat aktivacni kod od operatora z call centra...

OMG

Ty už ses taky potkal s perlami typu : Ovládací software k hardwaru za půl mega, ale "chráněný" usb donglem ?

[hawran diskuse]

krome "validacniho" serveru bych taky doporucoval "aktivacni" server + nutnost mit 8" disketu s licencnim kodem v mechanice a k tomu jeste bych dolepil HW klic a vse bych samozrejme sifroval klicem ulozenym ve vasi spolecnosti ktery se bude updatovat treba kazdych 5 minut aby to nestihli vykopirovat... A z pohledu business bych doporucil zridit aktivacni telefonni linku a at uzivatelum treba kazdych 15 minut vyskoci pop-up s nutnosti zadat aktivacni kod od operatora z call centra...

    

[hawran diskuse]

A co to vyřešit tak nějak po česku?
Vyfakturovat peníze, sbalit peníze a nedodat zákazníkovi nic?

[Bla]

A co to vyřešit tak nějak po česku?
Vyfakturovat peníze, sbalit peníze a nedodat zákazníkovi nic?

Ano, Češi jsou už od pradávna spojeni se staroslovanskými božstvi, v tomto případě mluvíme o bohu poctivosti a obchodu, jehož jméno je Velký Vojeb

[j]

nebrani, samozrejme nic, aby to nakoniec obisli.
okrem miernej obfuskacie predmetneho kodu z nasj strany a najma casu potrebneho na danu analyzu a upravu z ich strany.
ja mi jasne, ze dana architektura neposkytne 100% ochranu, ide najma o stazenie tejto moznosti, resp. aby klient ani neskusal pomysliet na "piratenie".
cele to ma mat najma odstrasujuci efekt, kedze pre nich je to misson-critical, i denny vypadok sluzby je celkom drahy (vyrazne drahsi ako poplatky pre nas...)

Maximalne si nadelas do vlastniho hnizda. A to doslova. Sem totiz vazne zvedav, jak budes zakaznikovi vysvetlovat, ze jeho radne zaplacena aplikace odmitla fungovat, protoze tobe/jim/nekde cestou/... nefungoval net.

Podivej, netusim co je to za appku a zakolik $$$ to je kseft, ale kdyz sme resili u zakaznika BI, uvazovalo se o oracle (mimochodem, je to moc pekna vecicka). A od oraclu sme dostali link (verejne dohledatelnej) na "demo", pricemz to "demo" byla zcela plna verze bez jakychkoli omezeni (jak nam lidi z oraclu potvrdili). A proc jim to nikdo "nekrade"? No protoze vtip je v tom, ze nez by ses to naucil realne konfigurovat a pouzivat, stravis rok zkoumanim. A to si zadna realne podnikajici firma platit nebude - nebude platit 2-3 lidem rok zkoumani nejaky appky jen proto, aby ji mohla provozovat "zadarmo". Cena licence + implementace se pohybovala nekde od 2M nahoru.

=> ve tvym pripade bud pokytujete natolik zajimavej servis k ty appce, ze se proste zakaznikovi nevyplati vas obchazet nebo ste si meli za appku samotnu rict dost na to, aby vam bylo jedno, co si sni nasledne zakaznik bude delat.

[Bla]

Hele, měl bys sledovat víc pořadů, než jen večerníček.
Máš o tom páru asi jako já o řízení ruské jaderné ponorky.

[j]

Hele, měl bys sledovat víc pořadů, než jen večerníček.
Máš o tom páru asi jako já o řízení ruské jaderné ponorky.

Hovnozlanec bla se projevil ...

[chemik]

Nejak to nechapu, predpokladam ze kdyz firma provozuje nejaky mission critical informacni system tak si pro nej koupi licenci aby ji ten software nemohl nikdo vzit a nabyla zavisla na tom kdo tu licenci prodal. Takze strach mate z ceho? Z toho ze si na support a dalsi vyvoj te apky najdou nekoho jineho nebo ze to sami budou prodavat nebo si udelaji vice kopii pro vlastni potrebu? Nez resit licencni ochranu doporucuji spis nabizet kvalitni sluzby a rozumne ceny, bude to jednodussi.

[Kolemjdoucí]

"demo" byla zcela plna verze bez jakychkoli omezeni (jak nam lidi z oraclu potvrdili)

Nesmysly, v demu jsou zadrátované omezení přímo v binárce, takže na zkoušení je to fajn ale do produkce nepoužitelné, evidentně jsi v životě Oracle neviděl.

[Bla]

Hovnozlanec bla se projevil ...

Ty lulínku ty jsi akorát dal dohromady dvě pecka v jedné neziskovce, jak jsi se tuším chlubil a na tomto základě stavíš své odborné posudky 

Tak teď, protože to se ve večerníčku nedozvíš, ti řeknu tajemství.

A) Hodně firem nemá rádo Software As Service model
B) Řada firem takové služby nesmí používat, protože jim to nařizuje stát nebo matka
C) ISO 27001/27002 nemá Software as Service rádo, protože ve chvíli, kdy nemáš svoje data u sebe, nemáš nad nimi kontrolu
D) Předražit zakázku je rada jako od posledního maňasa nejhoršího skriptaře
E) Výchoďáci jsou zvláštní nátury, pokud tam mají průměrný plat okolo osmi tisíc korun měsíčně u poměrně inteligentního čověka, tak je pro ně lepší si najmout deset vlastních lidí a platit jim sto tisíc měsíčně, než těch sto tisíc měsíčně dávat nějaké firmě ze Slovenska nebo ČR

Prostě se smiř s tím, že o tomhle toho víš míň, než čajový pytlík, buď ticho a šoupej nohama.
Tvoje rady "Tak jim dejte tak super servis, abyste byli levnější, než deset jejich lidí!" nebo "Už je to sice napsané, ale měli jste jim to pořádně předražit, protože pořádně předražená cena je zaručená jistota jak vyhrát zakázku." no tak to jsou rady, že kdyby ses dneska náhodou nějak zabil, nejspíš tě nominují na Darwinovu cenu!

2 Vetroplax
K HW klíči bude přistupovat nějaká funkce, kterou půjde v dekompilovaném kódu poměrně snadno najít a když jde něco najít, tak to jde taky změnit. HW Klíč jsou vyhozené peníze v tomto případě.