JEGO

Hallo zusammen,

es ist ja bekanntlich nicht so wirklich möglich Source Code zu schüzten.

Aber evtl. weiss einer von euch wie man es am geschicktesten anstellt, um Source Code wieder zufinden.

Ich arbeite z.B. seit fast 2 Jahren an einem php Projekt, dass eines Tages mit Lizenz vertrieben werden soll. Natürlich ist es Vertraglich verboten, den Source Code weiter zu geben. Aber wie will man das Überprüfen?

Meistes ist es sehr leicht die Spuren zu verwischen. Daher meine überlegung den Quellcode an gewissen Stellen so zu ändern, dass er über google gefunden werden kann. Und man dadurch weiss auf welcher Domain dieser eingesetzt wird.

Was glaubt Ihr? Ist das Realiesierbar? bzw. wie würdet Ihr das angehen.
PS.: von Zend und co halte ich nichts, da diese immer auf dem Server mitlaufen müssen.

__________________
Gruß JEGO

Ein PHP Script tut, was Du schreibst, nicht was Du willst.

Mister Ad

Manko10

Du kannst das Skript ja nach Hause telefonieren lassen.
Nee, im Ernst. Das lässt sich alles ausbauen und bei serverseitigen Skripten wird es besonders schwer, da du den Quellcode nicht zu Gesicht bekommst. Sicherlich kannst du Krams einsetzen, aber der kann auch gefunden werden. Wenn das so einfach wäre, gäbe es übrigens keine illegalen Kopien von Programmen mehr. Ich denke, du kannst dich da nur auf deine lizenz setzen und warten, bis jemand kommt und seine Schuld eingesteht oder du zufällig über ein Skript stolperst.
Ansonsten musst du deinen Quellcode mit einem nur dir bekannten Schlüssel verschlüsseln.

__________________
Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

dr.e.

Ich schließe mich an, ich würde höchstens die "Zuhause telefonieren"-Geschichte einbauen. Manche sind so blöd und merken das nicht, dann hast du gewonnen. Gegen der wirklich cleveren Hacker bist du nie gefeit.

Wichtig dabei ist nur, dass du jedes Package mit deinen Lizenzvereinbarungen auslieferst, dann bist du sicher gegen Aussagen wie: "Das wusste ich nicht!"

__________________
Viele Grüße,
Dr.E.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. Think about software design before you start to write code!
2. Discuss and review it together with experts!
3. Choose good tools (-> Adventure PHP Framework (APF))!
4. Write clean and reusable software only!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

JEGO

das mit den telefon hab ich schon drin, aber wie Ihr ja selbst wisst, was man rein schreibt, kann man, wenn man weiss wie, schnell umgehen.

die Lizenz bestimmungen sind auch immer mit dabei. Mir geht es um die "Semipfuscher". Die doch evtl. mal was übersehen. Ich erstelle gewisse Dateien erst mit dem Installationsscript. Aber auch das kann man ja bekanntlich umgehen.

Was tut man nicht alles um jahre lange arbeit zu schützen.^^

__________________
Gruß JEGO

Ein PHP Script tut, was Du schreibst, nicht was Du willst.

robo47

Wenn du es via Google wiederfinden willst, musst du dazu mindestens sichtbaren Text ins HTML "einschleusen" das einen Widererkennungswert hat.
Es ist fraglich ob man da überhaupt "unauffällig" irgendwas unterbringen kann ,weil es dann entweder der produktname oder irgendwas in der Art ist (und jeder der das illegal einsetzen will, ist wohl zu ein bißchen suchen und ersetzen fähig.), oder irgendwelche kryptischen Codes ? Die im Endeffekt auch dem User auffallen wenn sie irgendwo in sichtbarer Form sind.

Es stellt sich auch die Frage wie viel Zeit/Aufwand (und damit Geld) steckst du in so eine Lösung und was kommt dabei raus ?

Man sieht es ja bei all den Versuchen der Film, Musik und Computerspiele-Industrie, die seit Jahren versuchen mit Kopierschutz, DRM und Co was zu erreichen, im Endeffekt koset es nen Haufen Geld und wird meistens schon nach kurzer Zeit umgangen.

Und manchmal schießen sich die Herren dann auch noch selbst ins Knie: DRM killt James Bond - The Inquirer DE

Selbst für die Lösungen von Zend und Co gibt es meines Wissens nach Tools zum Knacken, bzw. Leute die für Geld sowas knacken.

Ich denke man muss sich im digitalen Zeitalter langsam aber sicher darüber klar werden, dass solch ein Schutz immer Umgangen werden kann solange jemand Interesse daran hat!

Bei kleineren Systemen wird zwar der Anreiz geringer sein, aber wenn du befürchtest jemand wird es non-legal einsetzen, dann wird wohl auch jemand da sein der eventuell Interesse hat.

__________________
robo47.net - Blog, Codeschnipsel und mehr
| Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework

Manko10

Letzterer hat in Rumänien die Bond-Vorpremiere ins Wasser fallen lassen. Mitten in der Vorstellung sind die Passwörter abgelaufen und der Film war zu Ende. http://www.20min.ch/unterhaltung/dos...uergt-22576247

__________________
Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

cortex

man kann php-code prinzipiell genauso gut schützen, wie bei kompilierten sprachen. man braucht dann allerdings irgend etwas, das den schutz / die verschlüsselung serverseitig wieder auflöst.

da die sourcen serverseitig laufen, ist das nicht möglich. wie schon gesagt wurde: du könntest das muster des outputs prüfen. dazu müsstest du dir lediglich einen crawler von der intelligenz des google-bots bauen, der das netz auf (modifizierte) versionen der betreffenden muster durchkämmt .-

vielleicht lohnt es sich, diese ansicht zu überdenken. vom zend encoder halte ich persönlich auch nichts, was allerdings mit der unverschämten lizenzpolitik zusammenhängt.
DIE alternative ist ioncube wobei man "alternative" nicht als "2. wahl" interpretieren sollte - ganz im gegenteil. da sich ioncube in den letzten jahren zu einem industrie-standard gemausert hat (es gibt neben ioncube nur noch den zend encoder), ist der decoder - das serverseitg notwendige modul zur entschlüsselung - bei manchen providern (bspw. webhostone) bereits vorinstalliert.

(user-)lizenzen lassen sich übrigens auch sehr gut mit ioncube behandeln; heisst: du kannst jedem kunden eine eigenes lizenz-file verpassen und individuell regeln:

- ablaufdatum (bspw. interessant für trials)
- domain-bindung
- header-daten, die die verschlüsselten php-files enthalten müssen

ich habe bisher sehr gute erfahrungen mit der software gemacht; der support ist 1a und der preis moderat; vor allem wegen des schwachen dollars.

genug geschwärmt .-

cx

robo47

Soweit ich weis braucht ioncube glaube ich nicht zwangsläufig server-seitig vom provider installierst zu sein sondern lässt sich auch via dl() nachladen.

__________________
robo47.net - Blog, Codeschnipsel und mehr
| Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework

tomtaz

nur dieses muss auch wieder von den Provildern erlaubt sein...

__________________
Mfg Tomtaz
"Es soll jetzt diese Erfindung geben.... Kugel oder so heißt die. Ist so eine Art Suchmaschine..."

cortex

yepp, das betrifft den runtime-decoder zur laufzeit des scripts. seit php 5.2.5 lassen sich erweiterungen allerdings nur noch aus dem extensions-verzeichnis nachladen; darauf hat man bei den meisten providern imho keinen zugriff.
das heisst ab 5.2.5 ist man in irgendeiner weise vom hosting-paket des providers / vom entgegenkommen des providers (nachträgliche installation des loaders) abhängig.
aus dem blickwinkel der sicherheit muss das ganze allerdings kein nachteil sein .-

cx