[סקר] איך אתה עושים רישיונות במערכת שלכם?
 

תשמעו אני יודע שיש כבר מיליון אשכולות על איך לעשות רישיונות למערכת אבל לא מצאתי פתרון בשום מקום אבל מצאתי תשובה והתשובה שמצאתי היא שאין אפשרות כזאת.
בכל זאת רציתי לשאול אתכם(מי שהתנסה בזה) איך אתם הסתדרתם בסוף ועשית רישיונות?
אשמח לכל מידע ראיון פתרון או כל דבר אחר.
תודה מראש.

אז זהו, שאף אחד לא הסתדר בסוף...
חלק אמרו לעשות הצפנה, חלק אמרו לשים קובץ שבודק בשרת שלך את הרישיון (רעיון גרוע, אם השרת שלך נופל?), לאחסן פשוט את כל המשתמשים על השרת שלך, ללא אפשרות לערוך את המערכת.
ויש עוד כמה שאני לא זוכר..

שתמע,השיטה הטובה ביותר היא לדחוף קודים מסובכים ולא מובנים בתוך הקודים של המערכת (ממש לדחוף קודים ,במקוומת שיהיה קשה לגלות ובהרבה דפים),ואז אם מישהו היה עד כדי כך חכם כדי למחוק את כל הקודים האלה סימן שהוא יכל לבנות מערכת כזו בעצמו.
ורוב הסיכויים שאתה מכור לאנשים שאין להם מושג ב php.ככה שזאת הדף הכי טובה.
לפחות לדעתי.

מצטער אחי אבל אצלי אני לא יכול לעשות את זה בגלל שאני יותר מידי מסודר ז"א שהמערכת שלי לא יכול להיות במיליון קבצים וגם לא בקוד מבולגן אחרת אני לא יבין כלום |עצוב|
יש אולי עוד ראיונות?

לדעתי לעשות דבר כזה שמכניסים סיראל באמצע ההתקנה (לעשות ממש מערכת מאובטחת שקוראת סיראלים)
ושרת אחר של המאגר עצמו בודק אם נרכש סיראל כזה והוא בשימוש (ואם השרת הזה נופל שיהיה שרת גיבוי נוסף שיפעל ביחד אם השרת הראשון) אני יודע
שדבר כזה יעלה הרבה,אבל אין מה לעשות אם רוצים אבטחה טובה למערכת שלך משקיעים עד הסוף.

ראיון טוב בהחלט זה הראיון הכי טוב שיש אבל הבעיה זה השרת זה עולה המון וזה סיפור שלם

תשמע אם אתה בונה מערכת טובה ומושקעת ואתה יודע שתרוויח ממנה משהו אתה תשלם על זה (פשוט אין מה לעשות .. ) ואם תבנה מערכת משוקעת ובשניה פריצה היא תעבור מיד ליד ופשוט הם (הגנבים או איך שלא תקרא להם) יחגגו ואתה תשב בלי כלום.
ככה אם תעשה את מה שאני הצעתי אתה "תחגוג" ולא הם כמובן שאתה תקבל את הכסף שהגיע לך ,כי הרי השקעת במערכת שלך (כמובן אם זה משהו טוב ולא סתם חרטה)..

אחי אבל תראה השאלה היא איך לעשות שזה גם אי אפשר יהיה לבטל את זה כי כל מתכנת ברמה נמוכה יוכל להכנס לקוד ולמחוק את הבדיקה של הסריאל ולהשתמש חופשי |עצוב|

אני בדקתי את הרעיון הזה מהמערכות של VBulletin
למרות שפה ושם פורצים אותה אבל הרוב קונים..

מה הבעייה?
אז אם זה בודק את השרת, והתשובה היא "DOG", אז זה בסדר, אז פשוט תשנה את הקוד ככה שזה תמיד יחזיר DOG.
יש לי שיטה מאוד טובה, אך איני רוצה לחשוף אותה ברבים-מחשש להעתקה.

כל שיטה פריצה, אין כזה דבר "לא פריץ".
השאלה כמה קשה.

אתה צריך לשאול את עצמך אם באמת יש לך צורך בכאלה רישיונות..

האם הלקוחות מבינים משהו במערכות שכאלה?
האם ללקוחות או למקורבים שלהם יש אינטרס לדעת בקוד?
האם המאמץ של אותם אנשים יהיה כדאי להם?

הסיבה שאני כותבת את הדברים האלה היא כי גם אני מתעסקת עם מערכות שכאלה
אבל מלבד ההגנות הרגילות אני לא רואה צורך ברשיונות וכו' מכיוון שהלקוחות שלי לא יוכלו ולא
ירצו לרמות אותי מהסיבה הפשוטה שהמאמץ לא משתלם להם..

תראי האופקים שלי זה להפיץ תמערכת בהפצה המונית ושיהיה גרסת דמו לכמה ימים עם אפשרויות מוגבלות וגם תהיה גרסה שיהיה צריך לקנות רישיון
אני מתכוון להוציא המון המון עדכונים,מודולים,תיקונים וכ"ו, בגלל זה אני רוצה לעשות רישיונות

תעשה כמו ש liveDNS וחברות גדולות אחרות עושים הם פשוט מוכרים את המערכת ניהול תוכן עם חבילת אחסון.. ולבעל האתר אין גישה לשרת רק לפנאל ניהול של המערכת.

גם רעיון.

חוץ מזה, שלא פשוט יותר להיות חברה מספיק גדולה(אולי של ההורים, של הדודים, או של קרובי משפחה), וכל מי שינסה לגנוב-....

בידיוק מה שאני עושה, אני מאחסן את הלקוחות על שרת שלי, וככה אין אפשרות לקוד לדלוף למקומות שהוא לא אמור להגיע אליהם.

מעין "השכרת" מערכת :)

ואם הלקוח רוצה לשנות משהו בקוד למשל משהו בטבלאות או להוריד מסגרת או משהו שלא מסתדר לו.
איך הוא ישנה? הוא כל פעם ישגע אותנו?
ד"א למשל הפאנל DA, יש שם גישה לקבצים, מה אפשר לעשות עם זה?

אפשר לעשות מערכת ניהול טמפלטים..

מערכת טמפלטים עדיין לא תגיע לכל הקבצים וכל קבצי style..

למה לא?
אתה יכול לעשות שאת קובץ ה CSS ניתן לערוך דרך הפאנל (כתיבה / קריאה לקובץ)
ואת כל הטמפלטים באתר לשמור במסד נתונים, ולקרוא לכל טמפלט בדף שהוא אמור להיות בו.
כמו לדוגמא ב VBulletin...

הגעתי למסקנה אישית, שהאופציה הכי חכמה היא לעבוד כמו vBulettin.
הכוונה שברגע שמתקינים מערכת, הכתובת נרשמת במקום מרוחק.
ע"מ להגן על הקוד הזה עלה לי רעיון עוד יותר חכם של, לאנקלד קובץ TXT מרוחק באמצעוות קובץ LOCK (כמו זה שישי בIPB 1.3 או כמו אלה של הWIKIPEDIA, שהם נעולים ואי אפשר להתקרב). ובתוך הקובץ TXT להכניס את כל הPHP, וברגע שאינקלדת כל הקוד בפנים עובד כמו קוד PHP ואפשר לעושת מה שעולה בראש שלך וזה לא מחיק.

בקיצור ולעניין -

ליצור קובץ נעול ובו לשים INCLUDE של קובץ מרוחק ששומר את המידע על הכתובת שבה מותקן המערכת, ואופצייה לדלת אחורית שגם היא מאובטחת בקבצי LOCK, שפשוט יסגרו אותה. (יסגרו את המערכת הלא חוקית כיאילו)

בהצלחה!

ובכן, בפעולות כאלה ואחרות אתה מונע עוד ועוד אחוזים לגניבת מערכת נקרא לזה, אבל לא תגיע
ל-100% לעולם, זאת הבעיה, זאת עדיין PHP, היא פתוחה לכולם.
בפעולות הנ"ל מנעת הרבה מאוד דברים.

לדעתי מיצינו את הנושא.
כל אחד יעשה את השיקולים שלו לגבי בניית מערכות עם רשיונות.
בהצלחה לכולם.

אז מה אני אעשה? אני אבדוק מה יש בקובץ, לדוגמה XYZ?
אני אשמור אותו בשרת שלי, ואאנקלד אותו במקום הרגיל.

אבל איך אני יכול לעשות קובץ שהוא לא מחיק ואי אפשר לשנות אותו?

אי אפשר.

צוותים טובים כמו של vBulletin ו-IPB לא פתרו את הבעיה לגמרי, אתם מצפים לפתור אותה בעצמכם?

הפתרון לאחסן את המערכת אצלכם בשרת לא אפקטיבית מספיק, כי מי שיהיה בעסק מספיק זמן יוכל לראות שיש לא מעט לקוחות שדורשים איחסון בשרת משלהם, או שתצטרכו לאחסן אותם בשרת אחר מסיבות כאלו ואחרות.

עוד סיבה שזה פתרון לא טוב מספיק, זה כשמישהו פורץ לשרת שלכם ומעתיק את הקבצים, מה תעשו אז? עדיין צריך שליטה טובה יותר בעניין.

הדבר הכי נכון לעשות זה לעשות את המקסימום, לעשות כמה שיותר, אבל לא להישבר כשתראו ש"פרצו" את המערכת שלכם.

אמרתי פה בפירוש, נעילה של הקבצים.
אגב MASTERT, בהקשר לגתבוה שלך לטל בנו, אפשר לנעול קבצים ולא לאפשר מחיקה ושינוי שלהם עם הLOCK, אבל זה לא במאה אחוזים.

דרך טובה להצפין קוד:
http://scripts.datacomponents.net/in.../tencoder_v1_0
הוא משתמש בפונקציות מובנות של PHP בלי שום הפעלת תוכנה....
רק יצירת הקוד נוצרת ע"י תוכנה אצל המתכנת.

כרגע עברת על החוק מספר 1 באבטחה, פרצתי לשרת שלך, פרצתי גם לכל הלקוחות שלך מרחוק.
כחנות אלקטרונית שמתעסקת עם כרטיסי אשראי, לא הייתי קונה ממך.

תוך 10 דקות אני פורץ לך את זה..
רוצה לעשות ניסוי ? תעלה קובץ ותראה...

base64_decode הוא דו כיווני?
וחבל שאתה מפרסם שאתה כ"כ טוב, הוא יכול לתבוע אותך

1. אם יש לך שרת חזק ואפ טיימ של 99.999% אין סיבה שהלקוחות ירצו לעבור שרת.
2. בו נגיד שלפרוץ לשרת מאובטח כמו שצריך לא יהיה כל כך קל.
3. כמו שכמעט כולם אמרו אי אפשר למנוע גניבה של 100% או במימים אחרות "כל מנעול אפשר לפרוץ השאלה כמה זמן יש"

הוא דו כיווני, ככה שההצפנה הזאת לא שווה גרוש..

בוא נתערב אלעד =]

נתערב שמה?

יאללה, בוא נתערב! [קיבלת אזהרה]

(לא הייתה הכוונה שלי תומר).

אלעד, נאי מתערב איתך ב64BIT יכולה לעזור אפילו בכמה אחוזים, זה כבר מוצפן וזה כבר התקדמות, עוד צעד קדימה, זה כבד עוד צעד, של לקחת ולחהצפין ב64BIT ואז להצפין לדוגמה בMD5 ואז אפילו בSHA1 בCRYPT, מצדי אפילו בCRC32 ועוד ועוד ( ממש התלהבתי =\ ), זה כבר עוד צעד וזה דורש מהפורץ לזהות עוד ועוד הצפנות, יותר שלבים לפיצוח, באיזשהו שלב זה יגורם לו להפסיק.

ראיון נחמד השאלה רק איך תצליח לעשות שהקוד יפעל לך אם אתה מצפין אותו בהצפנה חד כיוונית?:-/

אתה לא..

זה מה שאני מנסה להסביר לגיל..
אבל הוא אומר שהוא כבר ניסה לעשות פעם משהו כזה והצליח.. (נו טוב...)

אני לא מבין מה הבעיה :\
איך אתה משווה לסיסמא שמוצפנת בMD5??
אותו דבר!!

אתה משווה את ההצפנה...., הקוד שאתה כתבת משווה את ההצפנה של שניהם.
אז אם הקוד עצמו יהיה מוצפן בהצפנה דו כיוונית זה בכלל לא יהיה קוד אלא אוסף תווים אחד גדול מאוד...