Конкурс: Тур#1 Взлом PHP-скриптов

[Alexandre]

$17/мес не для всех не деньги... но как один из вариантов - катит....
во вторых - речь идет именно о защите своих скриптов у провайдера....

хотя в моих скриптах кроме меня - трудно кому будет разобраться... а слеаой перенос не сразу даст 100% запуск... тут повозиться с исходниками придется....а кому это надо? скрипты очень специфичны... и для их адоптации на др. сервере дешевле меня пригласить

 

[Scarab]

А про тебя лично никто и не говорит. Для себя обычно таких вот дорогостоящих скриптов, которые непременно надо защищать, никто и не пишет. А вот если ты пишешь на заказ какой-нибудь электронный магазин - то логично потребовать с заказчиков и нормального хостинга. Если откажутся - соответственно, и ты можешь отказаться от работы.

 

[Alexandre]

Scarab - я пишу небольшой сайт по онлайновому заказу авиа билетов, ни сколечко не проще чем электронный магазин. там у меня опробуются новые идеи по онлайн-заказу.
...и жалко будет - если его сопрут!
хотя новых заказчиков найти наверно - трудно, и я исхожу из того что мой сайт никому не нужен

 

[Scarab]

Во-во - я про это и говорю. Ты же его, наверно, не для себя пишешь? Для авиакомпании какой-нибудь. Что - у авиакомпании не найдется $17/мес на оплату нормального хостинга? Не верю. Даже разработка такого сайта - чисто программной части - стоит минимум раз в 20 дороже.
А если в авиакомпании сидят кретины и хотят хоститься в конторе, которая не способна защитить их сайт от внешних людей - то с такими заказчиками и работать не стоит. Либо работать в режиме "написал, отдал, деньги получил, забыл". Что лично для меня является не лучшим выходом - я как админ, в дополнение к программеру, предпочитаю делать "под ключ" и чтоб работало.

 

[Alexandre]

"написал, отдал, деньги получил, забыл"

наверно так и будет...

Даже разработка такого сайта - чисто программной части - стоит минимум раз в 20 дороже

так оно и есть...
я не админ, а программер.
А если использовать виртуальный сервер, то надо быть еще и админом! наверно пусть этим хостер и занимается...
Я планирую РБК, у меня с ними был положительный опыт сотрудничества....Закажу хостинг сразу после того как сделаю всю черновую работу (отлаживаюсь пока дома...)
а устанавливать дома FreeBSD или Lunix пока нет возможности, хотя в планах есть.
Scarab, Спасибо за совет - возможно в будущем им воспользуюсь

 

[sh]

Если не секрет, как ты данные о рейсах собираешь?

 

[Benjamin]

Блин, во проблемы. Значит защита состоит по крайней мере из четырех частей: правильно написанный скрипт и правильно настроенный сервак в правильном сейфе обслуживаемом правильными людьми. Но блин, за 100 - 200 у.е. легко дается гостевой доступ с рутовскими правами на 10 минут к каталогу пользователя. В конце концов весь вопрос встает кому платить, программеру который возьмется стащить исходник или админу, который даст доступ на 10 мин к системе. IMHO: чтобы не тратить нервы надо либо быть крутым чуваком разбирающимся в защите системы, выборе прова и прочих вопросах (помимо программирования), либо подходить к заказам по методу написал-отдал-получил_$$$-забыл

 

[Scarab]

Последнее - насчет "крутого чувака" - правильно. Крутым быть всегда полезно )
А вот насчет "100-200 у.е." - вот тут ты сильно заблуждаешься. Где-то, может быть, и дадут тебе доступ за бутылку пива - но порядочные конторы гораздо больше дорожат своей репутацией, не говоря уже о том, что владелец сайта может подать в суд на хостера - все зависит от контракта.
У меня, например, под контролем действуют сайты, каждый из которых ежесуточно приносит на порядок большую сумму, нежели ты назвал. И отношение к ним соответствующее

 

[Alexandre]

"100-200 у.е."

нормальный провайдер боится потерять клиента и за эти $ навря дли клюнет
Второе. А для хозяина скрипта - определить стащили скрипт или нет практически невозможно... Дизайн изменил и гуляй Вася...не же будешь ты отслеживать все новые сайты...
Правда - если твой скрипт появился на витринах Интернета, то это другое дело? - тут в суд подать можно, на на кого - кто вывесил твой скрипт...или на провайдера? Провайдер докажет, что его скрипт нельзя взять "голыми руками". А Интернет-Витрина - попробуй найди, кто отвечает за нее???
- тут есть над чем подумать?

 

[Kostik]

Меня больше волнует не проблема защищённости сервера, а защита скрипта.

Можно ли доверять Zend Encoder и как помимо этого защитить код от копирования? Может есть достойная альтернатива?

При этом всякого рода взаимодействие с третьим сервером полностью исключается, т.к. скрипты могут быть предназначены для локального сервера. Плюс такого рода решение понизит производительность и увеличит затраты.

 

[Alexandre]

Kostik - тебя что больше интересует:
- защита сервера от взлома
- защита самих скриптов от копирования (пиратства)

Это две разных проблемы, но они имеют одни корни

 

[Kostik]

Автор оригинала: Alexandre
Kostik - тебя что больше интересует:
- защита сервера от взлома
- защита самих скриптов от копирования (пиратства)

Это две разных проблемы, но они имеют одни корни

Меня интересует именно защита самих скриптов от копирования (пиратства).

Как показала практика, любой не закодированный скрипт взламывается без особого труда, при наличии соответствующих знаний и времени. После чего свободно используется.

А вот при использовании какого-либо Энкодера задача немного усложняется. При хорошо продуманной защите придётся расшифровывать код, либо пытаться обмануть систему. Временем тут ничего не ограничивается и встаёт 2 вопроса:
1. надёжность кодировки (при большой вероятности расшифровать код весь смысл всего вышесказанного теряется)
2. Возможность привязать скрипт к конкретному сайтум (проекту) и предотвратить возможность широкой подделки.

 

[Alexandre]

на шифровку скрипта есть альтернативы:
1) http://phpclub.net/talk/showthread.php?s=&threadid=33354&rand=21
2) http://www.ioncube.com
3) используй шаблоны, а шаблоны храни в БД

• придется еще ломать БД - это усложнит взлом
• шаблоны можно шифровать, а ключ настраивать идивидуально на конкретный сайт (SERVERNAME, IP )

кстати очень дешевый вариант. исходники PGP есть как ява классы или PERL модули - так что не вижу проблем в защите скриптов таким образом

 

[Alexandre]

и еще надо определить из альтернативных вариантов:
цену своего скрипта,
цену на средства защиты
цену за взлом....

и посмотреть что дешевле и проще:
- использовать ZEND Encoder
- альтернативный енкодер
- разработать собственный класс шифрования скрипта (большинство алгоритмов открыто )
- разработать модуль шифрования/дешифрования под Аппач
- разработать модуль CGI привязки к сервекру, в котором заключено часть функционала и без которого скрипт нефункиклирует...
или... или....
если пользуешься хостингом, то НИ КАК НЕ ЗАСТРАХОВАН ОТ того, что утащат твой скрипт

 

[Kostik]

Скрипт однозначно должен работать на любом платном хостинге, поэтому для шифрования предпочтительней Зэнд Энкодер. При этом невозможно никак защитить сам скрипт от физического копирования. Но при шифровании гарантируется недоступность исходников и закрытость алгоритмов.
Если принять результат работы энкодера не поддающемся расшифровке, тогда встаёт задача, чтобы на стандартном хостинге нельзя было запустить копию скрипта. Поэтому требуется изощрённый метод привязки.

А вот метод с базой данных мне понравился... Думаю можно найти приемлемое решение на его основе...

Спасибо за идею.

 

[confguru]

Ioncube может работать на любом хостинге.
Где не запрещена функция [m]dl[/m]

 

[Frenk]

2Alexandre

используй шаблоны, а шаблоны храни в БД

Ты сам придумал? Оч интересный вариант защиты. Держи пять.

 

[Frenk]

2Alexandre
А. О. А к базе-то подключиться надо? Нет - тут что-то не так.

 

[Alexandre]

используй шаблоны, а шаблоны храни в БД

нет не сам ): - использую готовые классы
Kostik если использовать ассиметричное шифрование, то ни кто твой скрипт не перенесет на другой сервер.

 

[Alexandre]

базе-то подключиться надо?

хостинг с БД стоит на 3 уе больше чем чистый php ($3 и $6 ) а без БД хостинг нынче и не заказывают.