הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   [ PHP ] מניעת הפצה וגניבה של מערכות... ? (https://hosts.co.il/forums/showthread.php?t=43089)

reXtea 08-04-07 14:04

[ PHP ] מניעת הפצה וגניבה של מערכות... ?
 
אני כרגע בונה מערכת [ מאוד מאוד מושקעת ] של העלת קבצים, עם המון המון אפשרויות ואפשרויות ניהול אין סוף של דברים.

ואני רוצה לאחר מכן למכור רשיונות לאנשים שיהיו מעוניינים לקנות...
עכשיו, הבעיה היא, שאני מפחד מגנבות. שאנשים יגנבו את המערכת... וישתמשו בה בלי רשיון... בלי לשלם...

יש לכם עצות איך להימנע מדבר כזה?
ניסתי לעשות כל מיני שטויות עם CHR ועם EVAL אבל הגעתי למסקנה שכל מתכנת ברמה בינונית יכול לפרוץ את זה ותוך חצי שעה ~ שעה הוא יכול כבר להשתמש במערכת...

אז אממ... מישהו כבר התנסה עם דבר כזה? שתפו אותי בבקשה זה ממש חשוב לי!
תודה =]

Eran-s 08-04-07 14:06

תקרא על Zend או על IonCube,
Zend חינמי אז תקרא עליו קודם ועל האפוציות קידוד של קוד

reXtea 08-04-07 14:16

ציטוט:

נכתב במקור על ידי Eran-s (פרסם 455032)
תקרא על Zend או על IonCube,
Zend חינמי אז תקרא עליו קודם ועל האפוציות קידוד של קוד

נכנסתי לאתר שלהם, (Zend) ואממ, איזה מהתוכנות שהם מספקים צריך להוריד?
http://www.zend.com/downloads..
תודה D:

Tomer 08-04-07 14:30

ציטוט:

נכתב במקור על ידי Eran-s (פרסם 455032)
תקרא על Zend או על IonCube,
Zend חינמי אז תקרא עליו קודם ועל האפוציות קידוד של קוד

ערן ? ממתי Zend זה חינם ? עד כמה שאני זוכר - ה decoder שלו עולה כסף, ורק הפאטץ' לשרתים הוא בחינם.

reXtea 08-04-07 14:33

כן שמתי לב שזה לא בחינם... אבל זה לא ממש משנה...
בקיצור, הורדתי את השני... והבנתי איך זה עובד... אבל הקטע שצריך איזה DLL שירוץ יחד עם PHP, עכשיו אפשר בתכלס לעשות את זה בלי הDLL נגיד בקובץ PHP נפרד אבל אותו אפשר לערוך.. זה ההבדל.. וככה זה עובד =\

בניה 08-04-07 14:47

ציטוט:

נכתב במקור על ידי INvisioN (פרסם 455055)
כן שמתי לב שזה לא בחינם... אבל זה לא ממש משנה...
בקיצור, הורדתי את השני... והבנתי איך זה עובד... אבל הקטע שצריך איזה DLL שירוץ יחד עם PHP, עכשיו אפשר בתכלס לעשות את זה בלי הDLL נגיד בקובץ PHP נפרד אבל אותו אפשר לערוך.. זה ההבדל.. וככה זה עובד =\

תחשוב על זה, אם המנוע הוא מנוע PHP רגיל, אז הוא מצפה בסופו של דבר לקוד PHP בצורה רגילה.
ואת הקוד הזה המשתמש יוכל לקרוא ולא משנה כמה מתחכם תהיה.

Udi 08-04-07 14:52

תדאג לכתוב קוד כזה שאתה תידע שמערכת שלך מותקנת, תקבל מקסימום פרטים שאפשר על זה, במידה והעותק שהותקן לא חוקי, לא כתובת אתר שאתה מכיר או משהו כזה, יש לך פרטים על שרת, האייפי של מי שהתקין וכו'..תטפל בזה.

קח דוגמא מvB, הייתה תקופה שהם רדפו אחרי כאלו שהשתמשו בעותק לא חוקי,
עכשיו, אין להם הרבה מה לעשות.
אתה יכול למצוא עותקים של המערכת להורדה בכל חור, ואין הרבה מה לעשות.


אם הייתי במקומך אני הייתי שולח מייל לצוותי פיתוח כלשהם, Invision Power, Jelsoft וכו', מתייעץ איתם ושואל באילו צעדים הם נוקטים, תסביר להם שאתה חדש בתחום והכל.

שתידע, מכירת מערכת בצורה כזאת כרוכה בעבודה קשה, פיתוח, מכירה ושמירה על שימוש חוקי.

שיהיה לך בהצלחה.

reXtea 08-04-07 14:53

ציטוט:

נכתב במקור על ידי בניה (פרסם 455069)
תחשוב על זה, אם המנוע הוא מנוע PHP רגיל, אז הוא מצפה בסופו של דבר לקוד PHP בצורה רגילה.
ואת הקוד הזה המשתמש יוכל לקרוא ולא משנה כמה מתחכם תהיה.

כן את זה הבנתי...
אבל חשבתי על משהו יותר מחוכם.
אני יכול לעשות כזה דבר, לקחת את כל הקודים חוץ מנגיד קובץ הCONFIG, ולהצפין כל שורה בדרך מיוחדת משלי, ואז לעשות INCLUDE לקובץ שהוא לא על השרת והוא על השרת שלי והוא יריץ את כל הקוד... אבל הקטע שזה יוריד לי את רוב הלקחות כי כמעט ואף לקוח לא ירצה דבר כזה, במידה והשרת החיצוני יקרוס או משהו... בקיצור לא טוב =[ וגם התוכנות האלה לא כל כך יעלות כי אתה צריך בשבילהם את הDLL ההוא וכדי להריץ אותו אתה צריך לערוך את הקובץ php.ini ולא כל בעלי השרתים היו רוצים להתקין את זה על השרת שלהם - בקיצור סיבוך אחד גדול.

הדרך שאמרתי נראת לי הכי טובה... אבל לא נראה לי שאנשים ירצו את זה =[

ציטוט:

נכתב במקור על ידי Udi (פרסם 455074)
תדאג לכתוב קוד כזה שאתה תידע שמערכת שלך מותקנת, תקבל מקסימום פרטים שאפשר על זה, במידה והעותק שהותקן לא חוקי, לא כתובת אתר שאתה מכיר או משהו כזה, יש לך פרטים על שרת, האייפי של מי שהתקין וכו'..תטפל בזה.

קח דוגמא מvB, הייתה תקופה שהם רדפו אחרי כאלו שהשתמשו בעותק לא חוקי,
עכשיו, אין להם הרבה מה לעשות.
אתה יכול למצוא עותקים של המערכת להורדה בכל חור, ואין הרבה מה לעשות.


אם הייתי במקומך אני הייתי שולח מייל לצוותי פיתוח כלשהם, Invision Power, Jelsoft וכו', מתייעץ איתם ושואל באילו צעדים הם נוקטים, תסביר להם שאתה חדש בתחום והכל.

שתידע, מכירת מערכת בצורה כזאת כרוכה בעבודה קשה, פיתוח, מכירה ושמירה על שימוש חוקי.

שיהיה לך בהצלחה.

אני לא רוצה להפיץ את זה ממש כמו IPB בהפצה המונית, אני מתכוון למכור איזה 5 עותקים לכמה אנשים בפורומים ישראליים שאני מכיר...
אבל אני עדין מפחד מדברים כאלה כי תמיד יש leechers... בכל מקום! גם אם הם שלמו על זה כסף הם תמיד יהיו leechers...

בכל זאת, אני אנסה לפתח משהו דיי קשה ומתוחכם עם מלא מלא סיבוכים שרק מתכנת ברמה מאוד גבוהה + הרבה מאוד זמן השקעה יצליח לפתוח את זה...
ככה זה יהיה טוב D:

Udi 08-04-07 15:04

ציטוט:

נכתב במקור על ידי INvisioN (פרסם 455075)
כן את זה הבנתי...
אבל חשבתי על משהו יותר מחוכם.
אני יכול לעשות כזה דבר, לקחת את כל הקודים חוץ מנגיד קובץ הCONFIG, ולהצפין כל שורה בדרך מיוחדת משלי, ואז לעשות INCLUDE לקובץ שהוא לא על השרת והוא על השרת שלי והוא יריץ את כל הקוד... אבל הקטע שזה יוריד לי את רוב הלקחות כי כמעט ואף לקוח לא ירצה דבר כזה, במידה והשרת החיצוני יקרוס או משהו... בקיצור לא טוב =[ וגם התוכנות האלה לא כל כך יעלות כי אתה צריך בשבילהם את הDLL ההוא וכדי להריץ אותו אתה צריך לערוך את הקובץ php.ini ולא כל בעלי השרתים היו רוצים להתקין את זה על השרת שלהם - בקיצור סיבוך אחד גדול.

הדרך שאמרתי נראת לי הכי טובה... אבל לא נראה לי שאנשים ירצו את זה =[



אני לא רוצה להפיץ את זה ממש כמו IPB בהפצה המונית, אני מתכוון למכור איזה 5 עותקים לכמה אנשים בפורומים ישראליים שאני מכיר...
אבל אני עדין מפחד מדברים כאלה כי תמיד יש leechers... בכל מקום! גם אם הם שלמו על זה כסף הם תמיד יהיו leechers...

בכל זאת, אני אנסה לפתח משהו דיי קשה ומתוחכם עם מלא מלא סיבוכים שרק מתכנת ברמה מאוד גבוהה + הרבה מאוד זמן השקעה יצליח לפתוח את זה...
ככה זה יהיה טוב D:


לא צריך לסבך חיים.
צריך לפתח חכם ונכון, לא מסובך.

גם אם אתה לא רוצה להפיץ בהפצה המונית, יהיה נחמד לדעת מי התקין את המערכת ומתי..תדאג שזה ישלח למייל שלך.

Tomer 08-04-07 15:08

?act=fireball&password=lkfJH4958dHKdsjf93
עושה את העבודה.

עדיין לא ניסיתי את זה על לקוחות שלי, אבל זה רעיון ממש שימושי (תשתול את זה כמובן בקובץ הכי עמוס במערכת שלא מוגן ע"י ה login)

Eran-s 08-04-07 15:10

ואת השליחת MAIL יהיו "האקרים" שיורידו, אני מתכוון לאלו שמספקים הורדות סקריפטים כמו סקריפט מאפיה וכו'...
אתה צריך לעשות מערכת ממש טובה אם תרצה שכאלו יסתכלו עליה ;)
הם לא פורצים כל מערכת שעולה כסף.

ShoQER 09-04-07 09:33

ציטוט:

נכתב במקור על ידי Tomer
?act=fireball&password=lkfJH4958dHKdsjf93
עושה את העבודה.

עדיין לא ניסיתי את זה על לקוחות שלי, אבל זה רעיון ממש שימושי (תשתול את זה כמובן בקובץ הכי עמוס במערכת שלא מוגן ע"י ה login)

מה זה בידיוק? לא הבנתי את הרעיון מאחורי זה....אני ישמח לקבל הסבר.

X-T 09-04-07 09:39

מה נשתנה ? אפילו את MICROSOFT פרצו, אז את המערכת שתבנה לא?

סתם בזבוז זמן, אין לך משהו ישיר שתוכל לעשות בכדי למנוע גניבה.

אם תקודד את הקוד עצמו, אנשים לא יקנו, אנשים רוצים אופציה לעריכה והתאמת המערכת איך שנוח להם, חוץ מזה שצריך משהו מותקן בשרת בשביל ZEND אם אני לא טועה.

המשך יום נעים.

satan 09-04-07 14:05

ציטוט:

נכתב במקור על ידי Dr. Bleff (פרסם 455484)
מה זה בידיוק? לא הבנתי את הרעיון מאחורי זה....אני ישמח לקבל הסבר.

הרעיון הוא להשאיר "דלת אחורית" במערכת שבמידה ואתה, בעל המערכת מחוץ למערכת ומישהו פרץ לך או גנב אותה אז תוכל להכנס חזרה במהירות תוך כדי שימוש בחור אבטחה שעליו רק אתה יודע.

במקרה הזה יש שימוש בשליחת נתונים דרך ה-URL [זו הייתה כוונתו של זה שציטטת] כך שתזין סיסמא ושם משתמש לתוך URL נגיד אפילו בקובץ לוגין משהו כמו:

login.php?user=blabla&pass=dasdds

וזה יעקוף את ההתחברות...אבל לדעתי זה לא יעזור במקרה הזה שיש למישהו גישה לקבצי המערכת...

לדעתי מה שאתה צריך לעשות זה לסבך את הקוד שלך הסופי, לעשות גרסא סופית שבה הקוד מסובל ובעצם על שורה אחת אפילו כך שבמקום שמתכנת יתאמץ לטפל במה שעשית במערכת שלך אז הוא יעדיף כבר לבנות אחת משלו.


במקרה שלך - העלאת קבצים - תהיה יצירתי.
במידה ומישהו מעלה קובץ טקסט [ נגיד אתה ] ובמערכת אתה גם כך קורא את הקובץ ובודק את תוכנו? (קובץ טקסט) אז תעשה שאם במקרה ובקובץ הטקסט יש סטרינג שאתה יודע מראש אז זה נותן לך שליטה על המערכת (כך תוכל ליצור קובץ טקסט, להכניס אליו את הסטרינג, להעלות דרך המערכת שלך ו...).

אבל אז מי שידע על זה במערכת שלך יוכל להשתמש בזה נגד לקוחות אחרים שלך (ומתחרים שלו) אלא אם כן:

1. לא ידעו מי לקוחותיך
2. תשנה את הסטרינג בין כל רישיון ומערכת שתפרסם...

reXtea 09-04-07 15:30

ציטוט:

נכתב במקור על ידי satan (פרסם 455591)
הרעיון הוא להשאיר "דלת אחורית" במערכת שבמידה ואתה, בעל המערכת מחוץ למערכת ומישהו פרץ לך או גנב אותה אז תוכל להכנס חזרה במהירות תוך כדי שימוש בחור אבטחה שעליו רק אתה יודע.

במקרה הזה יש שימוש בשליחת נתונים דרך ה-URL [זו הייתה כוונתו של זה שציטטת] כך שתזין סיסמא ושם משתמש לתוך URL נגיד אפילו בקובץ לוגין משהו כמו:

login.php?user=blabla&pass=dasdds

וזה יעקוף את ההתחברות...אבל לדעתי זה לא יעזור במקרה הזה שיש למישהו גישה לקבצי המערכת...

לדעתי מה שאתה צריך לעשות זה לסבך את הקוד שלך הסופי, לעשות גרסא סופית שבה הקוד מסובל ובעצם על שורה אחת אפילו כך שבמקום שמתכנת יתאמץ לטפל במה שעשית במערכת שלך אז הוא יעדיף כבר לבנות אחת משלו.


במקרה שלך - העלאת קבצים - תהיה יצירתי.
במידה ומישהו מעלה קובץ טקסט [ נגיד אתה ] ובמערכת אתה גם כך קורא את הקובץ ובודק את תוכנו? (קובץ טקסט) אז תעשה שאם במקרה ובקובץ הטקסט יש סטרינג שאתה יודע מראש אז זה נותן לך שליטה על המערכת (כך תוכל ליצור קובץ טקסט, להכניס אליו את הסטרינג, להעלות דרך המערכת שלך ו...).

אבל אז מי שידע על זה במערכת שלך יוכל להשתמש בזה נגד לקוחות אחרים שלך (ומתחרים שלו) אלא אם כן:

1. לא ידעו מי לקוחותיך
2. תשנה את הסטרינג בין כל רישיון ומערכת שתפרסם...

חשבתי על מה שאמרת בקשר לקובץ, אבל במידה ומישהו ברמה בנונית היה פותח את הקובץ, הוא היה מוצא את זה... הוא היה רואה שם משהו מוזר...
זה לא ככה @_@

The Crow 09-04-07 15:41

בעקרון כבר ענו לך, אבל אני אסכם:
- אם יש קובץ התקנה, בעת ההתקנה תשלח פרטים הקשורים למתקין ולשרת שעליו מבוצעת ההתקנה אל המייל שלך.
- תשאיר פריצת אבטחה שרק אתה יודע ובמקרה של... תוכל לפרוץ ולמחוק את המערכת או משהו.

אבל שוב, כל דבר כזה, אפשר לבטל, אפשר לפרוץ.
אין מה לעשות... תיאלץ לסמוך על הלקוחות שלך.

בברכה,
רן.

O-B 09-04-07 23:04

תכין קובץ שיתחבר למסד אצלך בשרת...
שבו יהיה הקוד וכתובת העמוד..
ותשווה עם הנתונים אצלך במסד אם זה לא תקין תנעל את המערכת..
ותפזר את הפונקציות בכל מיני קבצים..

אבל בכל זאת אפשר למחוק..

hi_sorie 09-04-07 23:38

גם אני חשבתי מה אפשר לעשות עם כל העסק הזה של הגניבות...


הנה המסקנה :

כל השאילתות והערכים שצריך יבנו על על הקבצים שבאתר שלך ...
לכל שאילתא שתשלח מאתר מסויים שמשתמש במערכת שלך , יהיה איתו IP של האתר ...
אם הIP קיים ברשימת הלקוחות אפשר ביצוע שאילתא ואחרת בטל...

כמובן שאפשר עוד לפתח מזה 1001 דברים ...
אבל זה הרעיון ....
אם אתה מתכנת ברמה אתה תצליח...

אני למשל בניתי קודים שזורקים לדף HTML ערכים של 1 ו 0 ובודקים אם הIP קיים אם הוא קיים שלח תשובה ( 1 או 0 ) ואז במערכת שאתה נותן ללקוח אתה קורא את הדף ומעתיק 1 או 0...

ככה כל הקודים של התיכנות שמורים אצלך....



מקווה שהבנת... אם לא פנה אלי לא בעיה לעזור לךך....

Eran-s 09-04-07 23:38

ציטוט:

נכתב במקור על ידי O-B (פרסם 455968)
תכין קובץ שיתחבר למסד אצלך בשרת...
שבו יהיה הקוד וכתובת העמוד..
ותשווה עם הנתונים אצלך במסד אם זה לא תקין תנעל את המערכת..
ותפזר את הפונקציות בכל מיני קבצים..

אבל בכל זאת אפשר למחוק..

אויי ואבוי,
ואז הבנאדם ידע סיסמה למסד שלו...?

עדיף כבר לעשות קובץ שמקבל שם משתמש וסיסמה ב-GET ובודק אם הם נמצאים במסד הנתונים ובקובץ יהיה פלט כגון TRUE או FALSE.

O-B 10-04-07 16:02

ציטוט:

נכתב במקור על ידי Eran-s (פרסם 455995)
אויי ואבוי,
ואז הבנאדם ידע סיסמה למסד שלו...?

עדיף כבר לעשות קובץ שמקבל שם משתמש וסיסמה ב-GET ובודק אם הם נמצאים במסד הנתונים ובקובץ יהיה פלט כגון TRUE או FALSE.

התכוונתי שהקובץ יהיה בשרת שלך.. ויהיה קובץ אחר בשרת של הלקוח שיקח את הנתון false או true אם זה אמת המערכת תפעל אם לא המערכת תנעל ואם הפונקציה של הבדיקה נמחקה אז המערכת תנעל..

Eran-s 10-04-07 16:09

ציטוט:

נכתב במקור על ידי O-B (פרסם 456447)
התכוונתי שהקובץ יהיה בשרת שלך.. ויהיה קובץ אחר בשרת של הלקוח שיקח את הנתון false או true אם זה אמת המערכת תפעל אם לא המערכת תנעל ואם הפונקציה של הבדיקה נמחקה אז המערכת תנעל..

אתה בטוח שלא שינית למה שאמרתי?
בכל אופן, אם יפזר את הפונקציות או ימחק זה יהיה בלתי הפיך,
אם הבנאדם טעה בהקלדה?


כל הזמנים הם GMT +2. הזמן כעת הוא 20:07.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ