Что имеем:
Есть PHP разработка, есть необходимость превратить ее в коробочный продукт. Бюджет на ПО для защиты и лицензирования до 1000$.
Требования:
Нужна возможность шифрования кода, чтобы не скомуниздили
Нужна возможность простой выдачи лицензий юзерам, кто заинтересуется в покупке данного продукта.
Возможный продукт решения проблемы:
Zend Guard. На сколько я знаю, он может и лицензии выдавать и код защитить. Вся радость 600$ в год.
Вопросы:
1) Если лицензия у зенда закончиться, что будет с ранее закодированными проектами и проданными заказчикам? Будут ли они дальше работать? (Если лицензия выданная им не предполагала тайм бомбу на 1 год?)
2) Как вообще выглядит у Zend guard и у его менеджера лицензий выдача этих лицензий? На сколько просто с ними работать для продажи коробочных продуктов через интернет?
Хотелось бы простого решения по типу как у битрикса (они выдают при покупке их ПО ключ активации, который вписываешь и программа начинает работать).
Я знаю что зенд может выдавать лицензии со следующими ограничениями для конечного юзера (нашего клиента):
1 Concurrent Users - Usage is limited to the number of real-time users.
2 Evaluation License - A time limited license used for evaluation purposes or time dependant terms with pre-set expiration date.
3 Segment of Network - Usage is limited by IP address range, restricting licenses by geographical area depending upon networks topology.
4 Specific Server - License limited to specific hardware based on Host ID.
5 Usage and Restrictions - The license manager allows vendors the flexibility to enforce a license policy that controls the type of access a user has to a product.
Еще на сколько я знаю, у zend guard есть возможность привязки к домену, на сколько удобно и надежно выдавать такую защиту? и на сколько сложно будет потом сменить привязку, если клиент поменял свой сайт?
3) На сколько сложно будет потом выдать юзеру новую лицензию предположим на новый домен? (нужно ли будет для этого ему что-то переустанавливать или достаточно будет дать ему 1 ключик для его дистибьютива?)
P.S. Есть кто тут использует зенд для продажи коробочных версий? Какой вариант выдачи лицензий через Zen guard вы выбрали?
Всем заранее благодарен.
Спустя 9 дней, 4 часа, 17 минут, 28 секунд (28.09.2011 - 11:50) andrey888 написал(а):
Тоже самое спрашивал несколько недель назад - прочти ( http://phpforum.ru/index.php?showtopic=49073 ) В итоге пришел к очень простому выводу для себя - не создавать себе проблем чтобы потом тратить время на их решение .
В итоге что сделал я :
1) Инсталяционный файл обфусцировал сам (замена имен функций и переменных на кашу) , затем эту кашу зашифровал бесплатным онлайн обфускатором .
2) Подкрутил немного БЛЕФА ( вспомнить покер ) - то бишь указал на файлы - которые так же полностью обфусцированны , где вообще ничего полезного нет .
3) При инсталяции детища - оно высылает на имейл полную инфу об адрессе сайта , IP пользователя , адрессе компании ,которая предоставляет услугу интерента для предполагаемого покупателя , соответственно город , контактные телефоны этой компании и т.д. (все что можно) , апосля высылки данных файл который их высылает удаляется автоматом .
4) сделал пару своих ключей для удаления детища , либо наченения его всвозможными багами . То есть в коде прописал MD5 кашу - которая получается при определенном ключе (фразе) и если в комментариях либо авторизации админа в его панель после шифрования вошедших данных они будут идентичны моему ключу - скрипт сам себя сьест.. - то есть если на имейл придет уведомление об инсталяции - я (если этому человеку
/сайту я детище не продавал) сохраняю за собой возможность его же и загубить .
5) на сайте продаж своего детища - сделал проверку . То есть любой человек захотевший проверить покупал тот или иной сайт/человек мою разработку - может перейти на сайт продаж и удостовериться в лицензии , либо ее отсутствии ).
6) сделал значек копирайта )
Итог : ясен пень что если кто то задастся целью взломать код и вообще переделать его для нелецензионных продаж - при достаточном опыте в таких вещах, сопутствующей удаче и недюженном терпении - он сможет это сделать и обойти все пункты (кроме 5-ого) , но я считаю что таких средств будет вполне достаточно . Тем более что в той сфере в которой данный продукт будет применятся людям очень интересно - есть лицензия иль нет . То есть пункт 5 будет пользоваться достаточной популярностью чтоб отследить мошенника.
Смотря на все твои пункты мне кажется - что это больше проблем , вопросов , сомнений и так далее , а не обеспечения продукту безопасность . Так как с такой безопасностью можно обеспечить себе лишние десятки часов ежедневно на решение идущих за такой безопасностью вопросов , а ведь эти часы можно потратить на (как пример) выход новых версии твоего продукта , различных бесплатных доработок для тех кто купил и т.д. - то есть в любом случае тот кто будет думать купить продукт с лицензией или сходить за преобретением налево (без лицензии) подумает дважды , чего он лишается при выборе второго варианта ..
Вот ,совсем некратко, ход моих мыслей после того как мне ,знающие на этом форуме люди, дали свои советы . Решай что выгоднее .
В итоге что сделал я :
1) Инсталяционный файл обфусцировал сам (замена имен функций и переменных на кашу) , затем эту кашу зашифровал бесплатным онлайн обфускатором .
2) Подкрутил немного БЛЕФА ( вспомнить покер ) - то бишь указал на файлы - которые так же полностью обфусцированны , где вообще ничего полезного нет .
3) При инсталяции детища - оно высылает на имейл полную инфу об адрессе сайта , IP пользователя , адрессе компании ,которая предоставляет услугу интерента для предполагаемого покупателя , соответственно город , контактные телефоны этой компании и т.д. (все что можно) , апосля высылки данных файл который их высылает удаляется автоматом .
4) сделал пару своих ключей для удаления детища , либо наченения его всвозможными багами . То есть в коде прописал MD5 кашу - которая получается при определенном ключе (фразе) и если в комментариях либо авторизации админа в его панель после шифрования вошедших данных они будут идентичны моему ключу - скрипт сам себя сьест.. - то есть если на имейл придет уведомление об инсталяции - я (если этому человеку
/сайту я детище не продавал) сохраняю за собой возможность его же и загубить .
5) на сайте продаж своего детища - сделал проверку . То есть любой человек захотевший проверить покупал тот или иной сайт/человек мою разработку - может перейти на сайт продаж и удостовериться в лицензии , либо ее отсутствии ).
6) сделал значек копирайта )
Итог : ясен пень что если кто то задастся целью взломать код и вообще переделать его для нелецензионных продаж - при достаточном опыте в таких вещах, сопутствующей удаче и недюженном терпении - он сможет это сделать и обойти все пункты (кроме 5-ого) , но я считаю что таких средств будет вполне достаточно . Тем более что в той сфере в которой данный продукт будет применятся людям очень интересно - есть лицензия иль нет . То есть пункт 5 будет пользоваться достаточной популярностью чтоб отследить мошенника.
Смотря на все твои пункты мне кажется - что это больше проблем , вопросов , сомнений и так далее , а не обеспечения продукту безопасность . Так как с такой безопасностью можно обеспечить себе лишние десятки часов ежедневно на решение идущих за такой безопасностью вопросов , а ведь эти часы можно потратить на (как пример) выход новых версии твоего продукта , различных бесплатных доработок для тех кто купил и т.д. - то есть в любом случае тот кто будет думать купить продукт с лицензией или сходить за преобретением налево (без лицензии) подумает дважды , чего он лишается при выборе второго варианта ..
Вот ,совсем некратко, ход моих мыслей после того как мне ,знающие на этом форуме люди, дали свои советы . Решай что выгоднее .
Спустя 15 минут, 58 секунд (28.09.2011 - 12:06) redreem написал(а):
проинсталил я на локале, развернул, почистил все подозрительные высылки на почту и усе. это защита сработает уж для полных профанов.
Спустя 16 минут, 50 секунд (28.09.2011 - 12:22) andrey888 написал(а):
Ну как я и сказал если задаться целью - возможно . Но сказать проще чем сделать , в реале возьми скрипт любого опен сорса и даже без того чтоб приводить код в удобоваримый попробуй изменить то или се .. сделай выводы . Чужая логика - иногда потемки . Поэтому в итоге после твоих деяний скрипт может работать не на все 100% . - это раз .
Два - попробуй впихни этот скрипт тому кто заинтересован в его покупке при том что покупая у тебя - он на сайте продаж не будет в списке лицензированных (что уже дает плохую репутацию для сайта - а это не хорошо , если ты хочешь делать денюжку со своего сайта ) , а так же он не будет иметь право на бесплатные дополнения и скидки на новые версии продукта (что опять же идет в разрез с логикой создания своего интернет бизнесса / сайта и т.д. ).
Три - для инсталяции скрипта (на локале) есть одна очень интересная штука которая идет наряду с пунктом номер 2 , но поверь мне если ты нарвешься на нее то нервных растрат у тебя будет настолько много - что скорее всего ты откажешься от дальнейшего взлома )
Два - попробуй впихни этот скрипт тому кто заинтересован в его покупке при том что покупая у тебя - он на сайте продаж не будет в списке лицензированных (что уже дает плохую репутацию для сайта - а это не хорошо , если ты хочешь делать денюжку со своего сайта ) , а так же он не будет иметь право на бесплатные дополнения и скидки на новые версии продукта (что опять же идет в разрез с логикой создания своего интернет бизнесса / сайта и т.д. ).
Три - для инсталяции скрипта (на локале) есть одна очень интересная штука которая идет наряду с пунктом номер 2 , но поверь мне если ты нарвешься на нее то нервных растрат у тебя будет настолько много - что скорее всего ты откажешься от дальнейшего взлома )