Работаешь ты над проектом , работаешь и подходя к завершению начинаешь задаваться вопросом - как продавая свой проект обезопасить его от перепродаж - то бишь сделать своего рода лицензирование. Продал скрипт одному человеку и знаешь на 99% , что этот человек его уже не сможет никому перепродать -( скрипт не будет работать либо будут большущие баги) . В голове есть некоторые идеи , все в стадии зародышей - так как реализовывать подобное ни разу не приходилось . Может у знающих есть какие либо наработки, идеи в этом русле .
Благодарю за содействие.
Спустя 58 минут, 27 секунд (6.08.2011 - 15:48) jetistyum написал(а):
Если тебя интересует юридическая сторона вопроса - думаю будет не плохо посоветоваться с юристами.
Если техническая - в большинстве случаев вся защита в пхп может быть обойдена, и еще, чаще всего существует опенсурс - фри-версия чегоугодно. Если уж ты действительно считаешь что написал что-то "звездное", то достаточно будет просто юридически оформить движок, и иметь какие-то методы проверки того, что сайт работает на этом движке, и самому отслеживать и выдавать лицензии на использование продукта, либо же обращаться в соотв. органы для соблюдения прав.
Если техническая - в большинстве случаев вся защита в пхп может быть обойдена, и еще, чаще всего существует опенсурс - фри-версия чегоугодно. Если уж ты действительно считаешь что написал что-то "звездное", то достаточно будет просто юридически оформить движок, и иметь какие-то методы проверки того, что сайт работает на этом движке, и самому отслеживать и выдавать лицензии на использование продукта, либо же обращаться в соотв. органы для соблюдения прав.
Спустя 2 часа, 5 минут, 9 секунд (6.08.2011 - 17:53) andrey888 написал(а):
Границы звездности каждый для себя определяет сам . Для меня это был большой проект - поэтому хочу защитить именно с технической стороны. Конечно при желании обойти можно все - если уж оборону пентагона обходят то что тут говорить , как говориться . Но по крайней мере попытаться предотвратить это в большинстве случаев/попыток - Это я считаю нужным сделать поэтому и спрашиваю , может у кого был опыт .. Есть мысли привязки к самому железу , хотя вариант не особо нравится - полетел комп - полетело все . Еще идеи ?
Спустя 3 часа, 53 минуты (6.08.2011 - 21:46) Romms написал(а):
andrey888, всё зависит от того, что именно ты даёшь потребителю... если скрипт в чистом не компилированном виде, тогда все попытки, как по мне, бессмысленные...
Спустя 9 часов, 51 минута, 25 секунд (7.08.2011 - 07:38) Белый Тигр написал(а):
Я бы посоветовал использовать шифрование исходного кода (IonCube/ZendGuard) + какую-нибудь замысловатую обфускацию той части кода, которая отвечает именно за проверку лицензии (либо очень сильная обфускация только части отвечающей за лицензию, это опаснее, но может быть выходом когда надо дать основные исходники покупателю). Понимаю что сейчас многие начнут писать что всё это можно декодироват запросто и т.д. и т.п., но вы лучше сами попробуйте взять часть кода, зашифровать и потом найти в сети инструменты для расшифровки. Или же на форумах нульщиков/взломщиков попросить его декодировать. Часто бывает так что декодеры имеют какие-нибудь маленькие, но очень вредные проблемы. На моей памяти есть один случай когда декодер ZendGuard не мог расшифровывать имена объектов и оставлял их пустыми, что напрочь убивало возможность адекватной расшифровки движков полностью завязанных на ООП.
Что касается обфускации, то она вместе с шифрованием кода может оказаться просто непреступной стеной. Вполне возможно что встретив этакую подозрительную кашу байт декодер не сможет с ней работать если она сильно запутана.
Лицензии можно выдавать для конкретного хоста или набора хостов. По HTTP_HOST вы всегда сможете определить текущий сайт. Проверять разрешённость хоста можно раз в сутки. То есть при запуске движка вы смотрите проверялась ли сегодня валидность лицензии, и если нет, проверяете (желательно в самом конце работы, чтоб пользователь не страдал). Отправляете зашифрованный запрос к себе на сервер, оттуда получаете ответ и на сутки движок спокоен.
Кроме того желательно сделать обновление движка доступным только
1) Зарегистрированным клиентам
2) Автоматически из админ-панели с проверкой валидности хоста, который обновление запрашивает.
Таким образом вы ещё раз подстрахуетесь. Если обновления с вашей стороны будут выходить регулярно, использовать нулёные варианты будет не выгодно т.к. они будут быстро устаревать.
Что касается обфускации, то она вместе с шифрованием кода может оказаться просто непреступной стеной. Вполне возможно что встретив этакую подозрительную кашу байт декодер не сможет с ней работать если она сильно запутана.
Лицензии можно выдавать для конкретного хоста или набора хостов. По HTTP_HOST вы всегда сможете определить текущий сайт. Проверять разрешённость хоста можно раз в сутки. То есть при запуске движка вы смотрите проверялась ли сегодня валидность лицензии, и если нет, проверяете (желательно в самом конце работы, чтоб пользователь не страдал). Отправляете зашифрованный запрос к себе на сервер, оттуда получаете ответ и на сутки движок спокоен.
Кроме того желательно сделать обновление движка доступным только
1) Зарегистрированным клиентам
2) Автоматически из админ-панели с проверкой валидности хоста, который обновление запрашивает.
Таким образом вы ещё раз подстрахуетесь. Если обновления с вашей стороны будут выходить регулярно, использовать нулёные варианты будет не выгодно т.к. они будут быстро устаревать.
Спустя 4 часа, 22 минуты, 56 секунд (7.08.2011 - 12:01) andrey888 написал(а):
Спасибо за ответы . Насчет проверки хоста - тоже идея была . Продавая скрипт прикручивать его именно к определенному хосту , а еще лучше домену . (конечно в этом случае нужно чтоб пользователь/покупатель сначало сиим обзавелся), ну а потом в самом коде действительно сделать обфускацию тех частей которые отвечают за проверку всего этого .
Насчет IonCube/ZendGuard - как я понимаю они платные , но можно достать бесплатно . - я прав ? ) или не стоит ...
Насчет обфускации , программу обфускатор где можно заиметь ?
Если у кого другие идеи - буду рад выслушать .
Ответившим Спасибо за инфо .
Насчет IonCube/ZendGuard - как я понимаю они платные , но можно достать бесплатно . - я прав ? ) или не стоит ...
Насчет обфускации , программу обфускатор где можно заиметь ?
Если у кого другие идеи - буду рад выслушать .
Ответившим Спасибо за инфо .
Спустя 24 минуты, 45 секунд (7.08.2011 - 12:26) jetistyum написал(а):
как защитить свой скрипт от взлома с помощью взломанной программы защиты 
Спустя 2 часа, 19 минут, 26 секунд (7.08.2011 - 14:45) andrey888 написал(а):
| Цитата (jetistyum @ 7.08.2011 - 09:26) |
| как защитить свой скрипт от взлома с помощью взломанной программы защиты |
Правда жизни )))
Спустя 1 час, 32 минуты, 35 секунд (7.08.2011 - 16:18) Белый Тигр написал(а):
| Цитата |
| Насчет IonCube/ZendGuard - как я понимаю они платные , но можно достать бесплатно . - я прав ? |
Мы в России
| Цитата |
| Насчет обфускации , программу обфускатор где можно заиметь ? |
Такого софта сейчас много, но есть одно большое НО. Сегодня вы шифруете код какой-то программой, а завтра для неё пишут декодер и появляется нулёнка. Выхода здесь 2 - либо выбрать софт под который декодеров нет и регулярно опрашивать поисковики и хак-форумы на наличие такового, либо писать самому. Тут уже решать вам. От себя могу сказать что второй вариант не так уж и сложен, порой достаточно просто заменить имена у функций/переменных на что-нибудь ужасное типа IlIlIIIlIIl и разбить весь код на кучу частей, тщательно перемешав.
Если вдруг решите писать обфускатор самостоятельно, особое внимание уделите тестам. Покрываете ими полностью целевой код и в процессе работы постоянно следите за тем чтоб они выполнялись на 100%. Это даст гарантию того, что всё отлично работает как в оригинальном виде, так и в виде "каши".
Спустя 3 часа, 11 минут, 21 секунда (7.08.2011 - 19:29) jetistyum написал(а):
Скажу что все это фигня. Сейчас есть масса коммерческих продуктов (php), как правило они все выпускаются в OpenSource каждый покупающий хочет за свои бабки иметь возможность модифицировать либо нанять программиста, который может модифицировать движок. НЕ- опенсурс никому не нужен.
Опенсурс будет все равно взломан, выложен в свободный доступ. Крупным компаниям это не мешает заработать. Bitrix, Magento, vBulletin, крупные компании, получающие хорошую прибыль не убереглись от этого, но у них действительно серьезные продукты. На сколько серьезен твой продукт, стоит ли игра свеч?
Опенсурс будет все равно взломан, выложен в свободный доступ. Крупным компаниям это не мешает заработать. Bitrix, Magento, vBulletin, крупные компании, получающие хорошую прибыль не убереглись от этого, но у них действительно серьезные продукты. На сколько серьезен твой продукт, стоит ли игра свеч?
Спустя 3 часа, 18 минут, 46 секунд (7.08.2011 - 22:48) andrey888 написал(а):
Белый Тигр Спасибо за ответ . Ты прав насчет самостоятельной обфускации . Буду делать все ручками .
jetistyum Достаточно серьезен в той сфере где такие скрипты применяются . Для меня игра всегда стоит свеч, Иначе зачем играть .. )
jetistyum Достаточно серьезен в той сфере где такие скрипты применяются . Для меня игра всегда стоит свеч, Иначе зачем играть .. )
_____________
Прогноз на следующие 5 лет : Россия, Китай - две величайшие державы.
США в Ж*пе. Справедливость восторжествует. )