הוסטס - פורום אחסון האתרים הגדול בישראל - מחפש הצעות לשימוש ב LISENCE KEY בPHP

עמוד 1 מתוך 2

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - מחפש הצעות לשימוש ב LISENCE KEY בPHP (https://hosts.co.il/forums/showthread.php?t=35385)

sUP	28-11-06 22:19

מחפש הצעות לשימוש ב LISENCE KEY בPHP

אני עומל על בניית מערכת ניהול חדשה..
וצץ במוחי הרעיון של אבטחה מוגברת מפני גניבות - קוד רשיון.

חשבתי על 2 דרכים:
אחסון הקודים במסד נתונים מרוחק
בניית אלגוריתם שידע להחליט אם קוד מסויים הוא תקין (ואם זה רעיון טוב לדעתכם אני אשמח איך אפשר לבצע אותו כי אין לי אפילו קצה מחשבה)

ושאלה נוספת, איך אני יכול לאבטח את המערכת שלא כל מי שיודע לשחק קצת עם קודים יוכל להעיף את זה.
----

הרעיון בא למנוע שכמה אתרים יופעלו על המערכת שלי למרות ששילמו רק על אחת.

תודה|קורץ|

Tomer

28-11-06 23:22

תנסה להשתמש בוידוא חתימת הקובץ (md5), ואם הוא שונה - ה md5 checksum שלו יהיה שונה.

sUP	28-11-06 23:35

ציטוט:

נכתב במקור על ידי Tomer (פרסם 381241)

תנסה להשתמש בוידוא חתימת הקובץ (md5), ואם הוא שונה - ה md5 checksum שלו יהיה שונה.

אני חייב לציין שלא הבנתי כלום.. יש מצב אתה מסביר קצת?
תודה|לב|

HighA

29-11-06 00:21

אני חשבתי על משהו אבל אף פעם לא היה לי כח לעשות אותו
דרך אפשרית וקלה ומאוד שימושית אבל בכל זאת, כמו כל שאר הדרכים, אפשרית לשינוי על ידי כל מי שטיפה יודע PHP (אלא אם כן אתה צפין את הקובץ - Zend או IONcube)
אם אתה רוצה לשמוע, תכתוב לי פרטי, אני לא הולך לפרסם את הרעיון :\ יש פה אנשים שימצאו דרך להפוך את זה למשהוא לא טוב

exciter

29-11-06 14:10

תעשה דבר פשוט, תגביל את הקוד לפי IP ( ע"י שימוש באלגוריתם בשרת מרוחק ).

אבל במקרה הזה מי שמבין ב PHP יכול להתעסק ולהוריד את האבטחה הזאת, במקרה זה אתה יכול להשתמש במודל Zend 5 ( של PHP ) ואז לאבטח דף מסויים ( שהוא די ראשי במערכת ובלעדיו אי אפשר להשתמש במערכת עצמה ) ולאבטח את הדף עם הקוד בשילוב ה IP.

sUP	29-11-06 14:24

ציטוט:

נכתב במקור על ידי exciter (פרסם 381336)

אתה יכול קצת לפרט בנוגע ל ZEND 5 ? איך ומה?
ושוב תודה8-)

Rom	29-11-06 15:40

יש בעיה עם שרת מרוחק
מה קורה אם השרת הזה נופל? אין מערכת וגם אי אפשר לשנות את הפרטים של השרת כי המערכת נמצאת אצל הלקוח.

sUP	29-11-06 15:48

ציטוט:

נכתב במקור על ידי Rom (פרסם 381372)

שזאת תהיה הבעיה האחרונה שלי 8-)

meshuga

29-11-06 15:57

ציטוט:

נכתב במקור על ידי Rom (פרסם 381372)

אתה יכול לעשות שכל עוד הדף לא מחזיר 0(עדיף אפילו ערך אחר...), אז המערכת פועלת...כלומר, אם השרת שלך למטה כביכול תפסיד את הזמן הזה שהמערכות יהיו פתוחות, אבל, כשהשרת עובד הוא מבצע את האימות ונועל מערכות אם צריך.

Ori The Man

29-11-06 16:07

תעשיה בדיקה משרת מרוחק
רוצה פיתרון לבעיה של הנפילת שרת?
פשוט סוקט בודק אם השרת נפל
אם כן נותן למערכת לרוץ
אם לא אז לא (הרעיון לא הכי טוב) אבל הכי טוב לעשות ככה והלצפין בעזרת sourcecop

meshuga

29-11-06 16:28

ציטוט:

נכתב במקור על ידי Ori The Man (פרסם 381386)

sourcecop? אתה צוחק נכון?

-VladK-

29-11-06 16:29

מה זה בדיוק SOURCECOP

Matchs

29-11-06 16:33

sourcecop - תוכנת הצפנה לקבצים מסוג PHP,
אשר יש לה מנוע הצפנה משלה - ללא כל תלות בשרת. כלי ההצפנה הכי טוב לדעתי.

Tomer

29-11-06 16:36

והכי פריץ - אבל לא נדון בזה.

sUP	29-11-06 16:37

ציטוט:

נכתב במקור על ידי Tomer (פרסם 381407)

והכי פריץ - אבל לא נדון בזה.

השאלה פה היא לא הפריצות..
אני פשוט מחפש דרך לבצע את זה מבלי שכל מי שיודע להתעסק עם PHP יוכל להעיף את ההגנה
כי אחרת לא עשיתי בזה כלום

אגב.. איזה חברה לעזאזל מאשרת לי התחברות מרחוק למסד נתונים?!
אקסטרים סרב לא
טיפטיפ לא
הוסטריק לא חח

לא נשאר לי כלום :|

meshuga

29-11-06 18:20

ציטוט:

נכתב במקור על ידי sUP (פרסם 381408)

למה אתה צריך להתחבר למסד נתונים מרחוק?
יש 1001 דרכים בלי זה.

BlueNosE

29-11-06 18:52

מה שאני עשיתי:
הכנתי עמוד שמקבל ערכים עם הצפנה דו כיוונית של USER וPASS
אימתתי מול המסד
עשיתי ככה:

(סתם דוגמא, תפתח לבד)
דף הלקוח:

PHP קוד:


		
			
$Txt = file_get_contents ("http://location.of.my.site/Validation.php?usr={$usr}&pass=
{$pss}");
  if ($Txt == base64_decode (1))
  //ואז אני בונה פונקצייה קריטית לתהליך המערכת או עושה DEFINE חשוב..
  else
  exit;

עכשיו אני בודק מול המסד בדף הפנימי
מצפין את הקובץ טוב טוב (עם סורסקופ או משהו)
ומייבא אותו בכל קריאה לעמוד

אם הקובץ לא קיים - הפונקצייה לא קיימת, והוא לא יכול להשתמש בזה (גם אם הוא יוצר פונקצייה משלו, זאת פונקצייה מתוחכמת..)
ואם כן - נחמד לו.

------
שי, למה סורסקופ זה לא טוב?

meshuga

29-11-06 19:05

ציטוט:

נכתב במקור על ידי BlueNosE (פרסם 381463)

PHP קוד:


		
			
$Txt = file_get_contents ("http://location.of.my.site/Validation.php?usr={$usr}&pass=

{$pss}");

  if ($Txt == base64_decode (1))

  //ואז אני בונה פונקצייה קריטית לתהליך המערכת או עושה DEFINE חשוב..

  else

  exit;

כי זה פריץ, אפשר לראות את כל הקוד מקור, מאוד מאוד בקלות.

אגב, אני גם הייתי מוסיף IP לבדיקה, ככה גם זה מקשה על אנשים לעשות ריבוי שימושים עם אותו שם משתמש וסיסמה...ככה שזה מוגבל לשרת אחד.

BlueNosE

29-11-06 19:09

ואם הוא עבר שרת?.. יש כאן בעיה..
אה.. ואיך אתה יודע מה הIP ההתחלתי של השרת? אתה צריך להתחיל לעשות לו בדיקות בשרת

meshuga

29-11-06 19:14

ציטוט:

נכתב במקור על ידי BlueNosE (פרסם 381472)

ואם הוא עבר שרת?.. יש כאן בעיה..
אה.. ואיך אתה יודע מה הIP ההתחלתי של השרת? אתה צריך להתחיל לעשות לו בדיקות בשרת

ואיך אתה יודע מי הלקוח?
ואיך הלקוח יודע את השם משתמש וסיסמה?

ואם יש תקלה במערכת, איך הלקוח יודע למי לפנות.

מקווה שהבנת ;)

BlueNosE

29-11-06 19:19

כן, אבל בכל זאת.. נניח שהלקוח לא יודע כלום בPHP. יש לו שרת שחבר שלו פתח לו נניח..
איך אתה יודע מה הSERVER IP שלו?

meshuga

29-11-06 19:25

ציטוט:

נכתב במקור על ידי BlueNosE (פרסם 381478)

כן, אבל בכל זאת.. נניח שהלקוח לא יודע כלום בPHP. יש לו שרת שחבר שלו פתח לו נניח..
איך אתה יודע מה הSERVER IP שלו?

תראה, לא אמרתי שחובה לעשות את זה.
אבל, בלי זה יהיה יותר נוח לאנשים להעביר מאחד לשני את המערכת ואת הסיסמה ביחד...ואז מה?

האי פי של השרת אפשר לבדוק בהמון דרכים...מסקריפט מסכן בPHP שבודק IP של הדומיין ועד ping בווינדווס, גם, לדומיין...הוא לא צריך לדעת שום דבר בPHP...

BlueNosE

29-11-06 19:41

אוקיי שיכנעת אותי |קורץ|

Eli-Hai

29-11-06 20:21

הרעיון עם ה-I.P של השרת נשמע טוב מאוד :)
רק, איך מעבירים את הI.P של השרת לרשימה שנמצאת אצלי?

Ohara

29-11-06 20:32

יש לי כבר משהו מוכן שהכנתי עם קוד ששמים בעמוד ואז לך על השרת שלך (שרת מרוחק) אתה מכניס את האייפי והדומיין של מי שקנה ממך את המערכת שלך.
ברגע שהעמוד עם הקוד של הרישיון עולה, הוא יאמת את זה עם המסד על השרת שמרוחק ואם האייפי והדומיין של האתר תואמים את מה שיש במסד הוא ימשיך לפעול ואם לא זה יציג לו שגיאה או יפנה אותו לעמוד שתקבע.

צור קשר בפרטי אם אתה מעוניין.

יש גם משהו הרבה יותר מתקדם שאני אישית משתמש בו - www.phpaudit.com מקצועי מאוד אבל גם יקר.
אני משתמש בו למשחקי PHP שלי.
מומלץ אבל קצת מסובך בהתחלה...

tnadav

29-11-06 22:20

הרעיון שלי הוא קצת מסובך, מה שמתקינים מצב השרת שלך זה כלי upload מסוים שדרך סקריפט מצד של השרת שלך מעלים את כל הקבצים, הבעיה היא איך מונעים מהמשתמש להוריד את הקבצים לעצמו ולשנות אותם... למישהו יש רעיון?

RS324

29-11-06 23:12

תעשה אצלך מערכת של משתמשים שמאומתים לפי אימייל וסיסמא...
לכל משתמש יהיה פנאל משלו עם הפרטים של הרשיון (לדוגמא בתוקף עד : 29.11.08)

שמה יהיה שדה עם האיפי של השרת...

בתוכנה עצמה אתה עושה INSTALL שמציג לך את האיפי של השרת ומבקש מהמשתמש לוודא שהמספר הזה הוא המספר הנכון שיש אצלו בפנאל... זה הכל...

Balrog

29-11-06 23:45

אני רוצה להבין (מהאנשים שהציעו פתרונות)

האימות מול השרת המרוחק זה רק אימות? או שגם קוראים מהשרת נתונים שנחוצים לעבודה של המערכת?

כי אם זה רק אימות, אי אפשר פשוט למחוק את השורה הזאת מהקוד ובזה לסיים את העניין?

לגבי הZEND, זה רעיון נחמד מאוד, הבעיה היא שהכלי שלהם עולה כסף (אם אני לא טועה?) ושצריך שהשרת יתמוך בזה.

לגבי בדיקת הHASH של הקובץ - שוב זו נראית לי בדיקה שדיי קל למחוק, השאלה היא איך עושים בדיקה שיהיה קשה למחוק.

אני דווקא חשבתי על רעיון בכיוון אחר.
לבנות מעין תוכנה חיצונית, שלוקחת קוד PHP והופכת אותו למבולגן לאללה (מוחקת את הטאבים והרווחים, משנה את שמות המשתנים לשמות מוזרים ביותר וכו').
פעולות אלה לא מפריעות למחשב שכן לא משנה לו איך קוראים למשתנה או אם יש רווח או לא, אבל למישהו שינסה לפענח את זה יהיה לא קל.

ולבנות תוכנה שמחזירה את המצב לקדמותו כבר קשה (עד בלתי אפשרי)

מה אומרים?

RS324

29-11-06 23:54

ציטוט:

נכתב במקור על ידי Balrog (פרסם 381608)

זה מה שה SOURCECOP עושה בעצם....
תמיד אפשרי לפרוץ את זה... תלוי עד כמה רוצים.

בכל מקרה מה שהצעתי...אם אתה יודע לשלב את זה מספיק טוב ב BACKBON של המערכת...
זה יכול פשוט לעשות כל כך הרבה בלגן שעדיף כבר לקנות
או במילים אחרות
אין דבר כזה לא פריץ.

Balrog

29-11-06 23:58

אני מסכים אתך שאין דבר כזה לא פריץ, בטח לא דבר מעשי שהוא חסין בפני פריצה :>
מה שאנחנו מחפשים בעצם זה הרע במעוטו, כלומר איזשהו רעיון שהו רעיון שיקשה.

יכול להיווצר מצב מצחיק שאנשים שלא רוצים לשלם לבונה המערכת, הולכים לשלם להאקר שיסיר את ההגנה חחחח.

ואגב נחמד לשמוע על הSOURCECOP - זו תוכנה חינמית?

RS324

30-11-06 00:01

ציטוט:

נכתב במקור על ידי Balrog (פרסם 381616)

לא חינמית...קצת אבסורד להגיד את זה אבל לא בעיה למצוא לה קראק...

והרע במיעוטו...תעשה מה שאמרתי לך....

sUP	30-11-06 00:34

חח אז מה ההצעה בסופו של דבר?
רק סיבכתם אותי עם כל ההצעות

Balrog

30-11-06 00:44

זה חלק מהכיף - לסבך אנשים :)

ול-RS324, אין אבסורד בזה שאתה לי לגבי הקראק אני מכיר תמושג, סתם מעניין אותי לדעת מה חופשי לשימוש ומה לא.

sUP	30-11-06 00:47

ציטוט:

נכתב במקור על ידי Balrog (פרסם 381623)

תוכנה מגניבה הסורסקופ רק משועממים באמת יפרצו את זה..
ראיתי מזה עושה לקוד :-0

טוב קיצר אני אתחיל ממחר לעבוד על זה
לילה טוב

ותודה רבה לכולם|winky|

Balrog

30-11-06 00:52

ל-sUP, אני רק רוצה להזהיר אותך (בלי לדעת עוד מזה בדיוק התוכנה)
אבל קח בחשבון שסביר להניח שזה לא פתרון מושלם, וכנראה גם אם במבט ראשון הקוד נראה לך מסובך אפשר לפענח דברים (סתם לצורך ההשוואה, למרות שהיא לא מדוייקת במלואה, שמעתי שגם הmd5 שאנשים משתמשים בו לקודד סיסמאות לא בדיוק חסין אבל זה כבר קשור למשהו אחר)

אז אני מציע לך לשבת ולחשוב עד כמה חשובה לך האבטחה של המערכת.
סיכוי סביר שהתוכנה הזאת תתאים לך, או אולי אפילו פתרון פשוט יותר, אבל במקרה שהאבטחה חשובה לך עד כדי שתרצה להשקיע לא מעט כסף בזה אולי כדאי שתמצא פתרון אחר.

בהצלחה

sUP	30-11-06 21:24

ציטוט:

נכתב במקור על ידי Balrog (פרסם 381627)

אני מאמין שזה יספיק..
תודה לכולכם :-)

meshuga

30-11-06 21:41

ציטוט:

נכתב במקור על ידי RS324 (פרסם 381613)

לא בדיוק, זה הופך את התווים לערכים האקסמלים (או איך שלא כותבים), ואז כשזה מפענח, זה פשוט משתמש בפונקציה של ההפיכה מהאקסימלי למספר, ואז לפי האסקי את התו (שוב, לפי מה שאני הבנתי שם..לא בטוח ב100%) ואז מריץ את הסקריפט שהתקבל לאחר פיענוח..

ציטוט:

תוכנה מגניבה הסורסקופ רק משועממים באמת יפרצו את זה..
ראיתי מזה עושה לקוד

זה הרבה יותר קל ממה שאתה בכלל חושב.

בכל זאת, בהצלחה.

smilie

01-12-06 17:43

תנסה ליבנות סריאל לכל לקוח ומתי שהלקוח ניכנס לעמוד ההתקנה הוא מכניס סריאל שאתה נתת לו ואז הוא מתקין אותו
כמו במערכת VB

וכל מי שמתקין זה שולח לך לאימייל מישהו שהתקין תמערכת ככה ותוכל ליתפוס אותו

Ran1989

01-12-06 18:37

ציטוט:

נכתב במקור על ידי Yakir | Yakird.net (פרסם 382343)

ומה הבעיה פשוט למחוק תשרה של הסריאל?

Alon.R

01-12-06 19:01

הכי פשוט בעולם:
בכל מערכת אתה שם משתנה שמכיל בתוכו ID מסויים,
אתה בודק קובץ text על השרת שלך שהשם שלו הוא:
[ID].txt

אם הקובץ הזה מכיל 1 הסקריפט ממשיך, אם הקובץ הזה מכיל 0 - סימן שנגמר לו תקופת הרישיון..

כל זה במידה והסקריפט מוצפן.

בנוגע לריבוי האתרים על מערכת אחת זה הכי פשוט - אתה מוכר מערכת פר דומיין, לכל מערכת אתה קובע כמו שאמרתי מקודם ID, וגם דומיין.

אגב אם אתה הולך על השיטה שלי או על כל שיטה אחרת שמצריכה בדיקה עם שרת שלך, אני מציע לך לקנות דומיין בינלאומי מגודדי (שהDNS שלו מתעדכן מהר) וככה גם אם אתה עובר שרתים וכו', הדומיין שלך תמיד מייצג את השרת שבודק את המערכות..

כל הזמנים הם GMT +2. הזמן כעת הוא 21:09.

עמוד 1 מתוך 2

הצג 40 הודעות באשכול על דף אחד