Теория привязывания скрипта к домену

[vovanium]

ИМХО, поскольку абсолютно надежной защиты не сделаешь, то вполне можно и к хосту привязываться. Защита от дураков, не помешает, т.к. уже было в личной практике, когда cms с некоторыми специльно написанными модулями потом в другом месте появлялась, ну просто ITшник перешел в другой банк работать, а заодно захватил с собой cms'ку. Была бы там минимальная защита по домену, вместо того чтобы просто поправить пути в конфигах, этого бы не произошло. Просто человек идет по пути наименьшего сопротивления, одно дело проверить заработает ли cms'ка на другом домене, а другое искать человека который сможет её расковырять. Кроме того проверку можно сделать, во многих местах, плюс не совсем явную, т.е. не выдавать сообщение мол купите cms, а выдавать различные ошибки, вплоть до порчи самих скриптов, в общем всячески толкать чела, на то что неплохо бы иметь официальную тех. поддержку по продукту

А чтобы не подделывали хост, просто строить url'ы на базе этой переменной. Плюс не в открытом виде её использовать, чтобы нельзя было банальным поиском найти по названию.

 

[fixxxer]

омг какой то крантец, это все еще обсуждают

тс если ты полагаешь что твой софт настолько архиполезный что ради него будут брать дедик и ковыряться с подменой мак адреса, продавай сервера со своим железом и патченной ос %)

 

[vovanium]

fixxxer
Ну понятное дело что кроме тебя никто софт делать не умеет. Но защита от дурака никому еще не мешала.

 

[grigori]

хм, че вы такие сердитые? чем вас так раздражает именно этот топик?

 

[fixxxer]

ок, есть непонимающие

объясняю

привязка софта к железу была очень популярной на западе в 80х годах, когда персоналки стали общедоступными. уже в начала 90х до производителей софта дошло, что софт эта такая штука, что раз есть софтина и исполняется по определенному алгоритму то его всегда можно подправить, и все что можно сделать с несанкционированным копированием эьл усложнить задачу (кто-то провозится не 10 минут а недельку). при этом все системы защиты были неудобными в итоге для пользователя: потерял ключевую дискетку, или сменил материнку - упс, работа стоит, надо заказывать новый ключ. и уже тогда перестали делать такие вещи, оставив серийные номера больше нужные для идентификации клиента, и сделав упор на техподдержку. позднее с развитием opensource люди научились делать бизнес и на нем: тот, кто не заплатит за софт, за него в любом случае не заплатит (и "недополученная прибыль" это миф чуть менее чем полностью), а платят люди не за сам софт, а за его поддержку.

а тс здесь возвращается в 80-е.

более того, это конечно субъективный опыт, но я не видел ни одного коммерческого веб приложения с закрытым исходным кодом, которое не было бы унылым говном.

 

[vovanium]

fixxxer
так никто и не говорит об абсолютной защите...
к примеру твои двери в квартиру легко откроет профи по взлому при желании, так что ты предлагаешь не ставить замки вообще?
Речь и идет об усложнении нелегального использования, а не абсолютной защите, понятное дело что кому нужно тот взломает...

 

[grigori]

fixxxer
вон Лингво и другие все еще вкладываются в усложнение и привязку к железу - дискеты, usb-ключи, скоро к био-параметрам прийдут

 

[fixxxer]

прекрасно, и для этого есть стандартное, удобное пользователям и поддерживаемое практическими всеми хостерами решение - zend encoder.
если этого недостаточно, то речь идет о паранойе.

-~{}~ 26.09.08 21:47:

grigori
причем такое происходит только в ex ussr.
лингво да, помню-помню. эмулятор флоповода и отсканеный мануал толку то. (или это промт был? ну не важно)

 

[vovanium]

fixxxer
Ну во-первых, открыть файл с зенд-енкодером сейчас не проблема, и это значительно проще, чем перелопатить пару десятков чужих php файлов в поисках защиты.
Во-вторых, zend encoder далеко не бесплатная тулза.
В-третьих, при использовании стандартной защиты свои минусы, т.к. больше народу трудятся над её взломом.

 

[fixxxer]

>Во-вторых, zend encoder далеко не бесплатная тулза.

вот тут уже можно начинать ржать

кстати, если бы сразу был задан вопрос как обмануть зенд декодеры (по крайней мере утекшие в паблик) я бы ответил

 

[vovanium]

fixxxer

как обмануть зенд декодеры (по крайней мере утекшие в паблик)

Ну давай рассказывай, проверим

вот тут уже можно начинать ржать

Ну некоторые и с показанного пальца начинают ржать

 

[fixxxer]

первое и очевидное что приходит в голову - заменить все переменные $var -> ${"\x00var"}, наверняка нолик воспримется как символ конца строки.
или еще вариант, ${"\x0Avar"} - если и раздекодит as is, то приводить к работоспособному и хотя бы скольлибо читабельному виду весьма затруднительно

впрочем, на таком валился тот дезендер который не понимал и нативную zend обфускацию которая делает примерно так же.
а новых я не видел.

он там еще валился на вложенных switch() кажется, вообще надо использовать нетривиальные синтаксические особенности.

конечно всегда можно оперировать напрямую с байткодом, но того, кто это умеет, не остановит вообще никакая защита.

а про стоимость енкодера реально смешно, если она не окупится за месяц продаж то явно защищать-то и нечего.

 

[weregod]

fixxxer
> более того, это конечно субъективный опыт, но я не видел ни одного коммерческого веб приложения с закрытым исходным кодом, которое не было бы унылым говном.

тут Ваш субъективный опыт сильно смахивает на объективный

 

[Lifeline]

phprus вопрос в массовом, дешевом решении.

флоппик, мне понятно ваше увлечение идеей опенсорса. К сожалению, часто это увлечение переходит в разряд релизиозных. Расскажите о том, что "надо продавать не скрипты, а услуги" той же зенд, потратившей на разработку по вашему мнению уж совершенно ненужного Zend Guard несколько больше пары сотен.

 

[Nelius]

Lifeline

Расскажите о том, что "надо продавать не скрипты, а услуги" той же зенд, потратившей на разработку по вашему мнению уж совершенно ненужного Zend Guard несколько больше пары сотен

Тут есть одно НО.
Компания не станет производить продукт который экономически не выгоден.
Если Zend Guard сделали значит есть спрос. Спрос это в частном случае Вы с Вашим желанием закрыть свой код.
Следовательно флоппик, являющийся как я понял сторонником OpenSource, уже все "рассказал" Зенду своими действиями. Открывая свой код он не приносит прибыли от продаж Guard'a компании Зенд.
Понимаете к чему я клоню? Вы используете как аргумент то, что мол создали же Zend Guard, а на самом деле Вы сами косвенно "просили" его создать.

 

[флоппик]

Следовательно флоппик, являющийся как я понял сторонником OpenSource, уже все "рассказал" Зенду своими действиями. Открывая свой код он не приносит прибыли от продаж Guard'a компании Зенд.

Флоппик — сторонник адекватности приложения усилий. У флоппика дома равноценно Убунта и лицензионная винда, и лицензионный Касперский, и бесплатный ОпенОфис. Флоппик понимает, что пытаясь найти или реализовать защиту на _интерпретируемый_ код, он затратит больше времени что бы защитить скрипт стоимостью N денег, чем заработает за тот же самый промежуток времени. И флоппик не парится, что его код кто то украдет. Ибо флоппик не штампует мегауниверсальные сайты, а разрабатывает (в основном вебприложения) под конкретные нужды. Флоппику не стыдно заплатить деньги другому человеку за хорошую работу, которую он не может сделать сам, или которую самому делать невыгодно.
Флоппик счастлив!

Да, я считаю, что ОпенСорс GUI приложения — глючное гавно. ОпенСорс утилиты и приложения, работающие в коммандной строке — хороши.

-~{}~ 29.09.08 22:02:

вопрос в массовом, дешевом решении.

значит, вы неправильно выбрали язык программирования.

 

[Lifeline]

Nelius отлично, флоппик проголосовал против, а еще Х людей проголосовали "за" такой продукт. Это ваше право считать всех тех людей, которые купили этот продукт за довольно большие деньги для коробочного софта, идиотами.

И да, есть эта рыночная ниша и зенд ее заполняет.

Флоппик смотрит на происходящее со своей колокольни и распространяет этот тренд на все вокруг, совершенно не допуская мысли что бывает и иначе. Его продукт - это в большинстве случаев затачивание конкретного софта под нужды клиента. Условно люди которые натягивают дизайн и настраивают мамбу для сайта "маша и медведи" тоже не скрывают код - что им там скрывать ? 2я копия этого в большинстве случаев никому не нужна.

И специально для флоппика я и указал, что надо адекватное стоимости решение. Зенд - это массовое решение, защитить код зендом дело 1 (одной) минуты.

Я вообще поражаюсь это борьбе с мельницами. Если бы меня интерисовало мнение "Что говорит религия: закрывать код или нет" - я бы так тему и назвал. Но есть конкретная задача и описаны рамки решения. Пока большинство ответов в стиле "вы не должны этого хотеть". Это схоже с "вы не должны хотеть просиживать днями на месте пялясь в одну точку".


"значит, вы неправильно выбрали язык программирования." на данный момент ПХП самый дешевый язык веб-девелопмента, если вы знаете что-то дешевле - дайте мне знать.

 

[boombick]

на данный момент ПХП самый дешевый язык веб-девелопмента

увы
Про шифровалки для пайтона или руби я не слышал Хотя не факт, что их нету

 

[nerezus]

Выход из ситуации: серийник. Привязка чероез поддержку, а не кусок кода.

Да, я считаю, что ОпенСорс GUI приложения — глючное гавно.

Zend Studio наполовину опенсурс, если что(а конкретно эклипс под ним).

на данный момент ПХП самый дешевый язык веб-девелопмента

Имхо разницы нет. На моей небольшой практике ее не было - ибо всем нужен был конкретный результат.

 

[флоппик]

Zend Studio наполовину опенсурс, если что(а конкретно эклипс под ним).

И он тоже глючное тормозное... в общем, он мне не нравится.

Привязка чероез поддержку, а не кусок кода.

это как раз продажа услуг, о которых я говорил. Апдейты —_это тоже услуга.

на данный момент ПХП самый дешевый язык веб-девелопмента

именно поэтому и не получается продавать исходный код.

-~{}~ 30.09.08 15:30:

Флоппик смотрит на происходящее со своей колокольни и распространяет этот тренд на все вокруг, совершенно не допуская мысли что бывает и иначе.

Флоппик ясно сказал, что пхп — непродажный язык. Хотите продавать экземпляры ПО — выберите компилируемый язык.