Webseite schützen

halskrause · 28.09.2011, 23:31

Hallo. Ich habe ein Shopsystem programmiert, was ich gerne schützen würde. Es soll verkauft werden, und die Lizenz soll nur für eine Domain gültig sein.

Meine Fragen:
1. Spricht rechtlich was dagegen ein "Calling Home" einzubauen?
2. Bei wem liegt die Beweislast, wenn jemand das Sstem ohne Lizenz installiert? Sprich: Ich muß ja auch beweisen können, dass das System von mir ist.
3. Gibt es sowas wie Minipatente, die nicht Zehntausende von Euros kosten. Ich will nicht die Idee sondern den Quellcode schützen.

Manko10 · 28.09.2011, 23:39

Zunächst: keine Rechtsberatung hier. Wir sind keine Juristen und dürfen dir in der Hinsicht keine Auskünfte geben. Wenn nicht bereits getan, lies bitte den entsprechenden Eintrag in den Forenregeln.

So, nun meine Antworten aus bestem Wissen und Gewissen heraus:
1. Schön ist es nicht und vor allem wenn der Quellcode offen liegt ziemlich sinnlos, aber generell sicherlich möglich. Sollte aber vorher ausdrücklich in den Datenschutzrichtlinien aufgeführt werden.
Sofern du hier aber nicht mit kryptographischen Signaturen arbeitest, ließe sich sogar bei verschlüsseltem Quellcode oder Binärdateien einfach ein Proxy dazwischenschalten, der sich als dein Server ausgibt und dem Skript sagt, die Lizenz sei in Ordnung.

2. Kann ich dir nicht sagen. Frage deinen Anwalt.

3. Mikropatente? Nein, nicht das ich wüsste und ich hoffe, das wird es auch nie geben. Softwarepatente sind allgemein derzeit in der EU glücklicherweise (noch) nicht eingeführt. Aber was willst du denn auch damit, wenn du sagst, dass du nicht die Idee schützen willst, sondern den konkreten Quellcode? Der ist sowieso bereits durch das Urheberrecht mehr als genügend geschützt. Wozu ein Patent? Patente sind dazu da, um Erfindungen zu schützen, nicht um Mathematik dem Wettbewerb zu entziehen.

halskrause · 28.09.2011, 23:59

Danke für schnelle Antwort Manko.

Ich werde das System nicht für die Kunden hosten. Sprich: Ich übergebe den ganzen Quellcode. Mir geht es hauptsächlich darum, dass im Falle eines Rechtsteites irgendwo ja geschrieben stehen muß, dass das Shop-System mir gehört.

Chriz · 29.09.2011, 01:31

Bei Navisystemen o.ae. wurden immer mal wieder Strassen eingefuegt, dies garnicht gab. So konnte man sehen, ob es ein eigenes System war.

roest · 29.09.2011, 08:18

Eine Idee wäre eine Call-Home System einzubinden welches die Lizenz abfragt und deinen Code zum Beispiel mit ioncube zu verschlüsseln um zu verhindern das an deinem Code um somit auch dem Call-Home System rumgefuscht wird.

eagle275 · 29.09.2011, 08:23

du kannst dem Kunden ja die Scripte übergeben, nachdem du sie "behandelt" hast. Dafür gibts VerschlüsselungsTools ... ua von Zend .
Das stellt für den Durchschnittskunden schon mal eine genügend hohe Hürde dar. Denn der Quellcode liegt nicht mehr offen.
Obendrein solltest du den Shop natürlich so gestalten, dass er "perfekt" auf den ursprünglichen Kunden zugeschnitten ist... Das dürfte die Weiterverwendungsmöglichkeiten einschränken.
Das eigentliche Problem für dich wird sein, die Kopien zu finden - und dazu kann ein "Anruf zu Haus" recht nützlich sein. - Aber wer es schafft, es zu entschlüsseln, um den Shop dann zu modifizieren (Shopname+Texte ändern usw) der findet auch deine Calling-Home Routine und wirft sie raus....

Manko10 · 29.09.2011, 10:39

Zitat:

Aber wer es schafft, es zu entschlüsseln, um den Shop dann zu modifizieren (Shopname+Texte ändern usw) der findet auch deine Calling-Home Routine und wirft sie raus....

Wie gesagt, das ist gar nicht nötig, sofern diese keine kryptographischen Signaturen verwendet.
Sollte sie das tun, wäre es natürlich immer noch möglich, sie rauszuwerfen bzw. zu modifizieren. Der Quellcode muss ja zur Laufzeit auch entschlüsselt werden. Somit stellt dies lediglich eine Hürde für den gemeinen Heim-Hax0r dar.
Wie es aber mit allen Kopierschutzmaßnahmen ist, trifft das aber vor allem den Normaluser, der erst einmal einen Hoster finden muss, der Iconcube unterstützt (oder er muss sich gleich einen Managed Server mieten). Ich finde diesen ganzen Verschlüsselungsmist ziemlich nervig und mich hält das i.d.R. davon ab, das Produkt zu nutzen. Gehe ich halt zur Konkurrenz. So geschehen z.B. bei xt:Commerce. Nachdem ich gesehen habe, dass der Krams verschlüsselt ist, habe ich das Ding sofort wieder runtergeschmissen. Diese Gängelung muss ich mir echt nicht antun.

mentalman · 29.09.2011, 11:11

Man könnte doch vielleicht einen MD5 aus all seinen Shop-Dateien berechnen und den "nach Hause" schicken. Stimmt dieser dann nicht mit einem hinterlegten Wert überein, wurde der Code verändert.
Oder?

splasch · 29.09.2011, 12:20

Ich denk mal es geht ihm weniger darum ob jemand was am Code ändert oder hinzufügt. Sonderen darum das nur bezahlte Scripte von Ihm verwendet werden also eben mit gültiger Lizens.

Daher will er das an die Domain binden damit eine Kopie nicht auf einer anderen Seite läuft. Dazu benötig man kein Call Home script. Es würde reichen nur einen kleinen Teil des Scriptes zu verschlüsseln und zwar so das Gesamt script nur dann auch lauffähig ist wenn der verschlüsselte Teil vorhanden ist. So kann es absichert werden gegen rauslöschen.

Nun weiters generierst du einen Lizens Key der auf einen Domain Namen zurückzuführen ist. Im verschlüsselten Teil decodierst du den Lizens key und schaust nach ob die Domain Namen übereinstimmen vom Key und von der aktuellen verwendeten Domain. So läuft eben ein bestimmter Key nur unter einer bestimmten Domain.

Allerdings beim verschlüsseln gibst immer das Problem das Module erweiterungen auf dem Apache Server installiert sein müssen. Was aber bei den meisten Webspace anbietern nicht der fall ist.

Daher kannst du auch statt dem Verschlüsseln auf eine andere Methode setzen und zwar den Quellcode für den Menschen unleserlich machen. Diese Methode nennt sich Obfuscator (http://de.wikipedia.org/wiki/Obfuscator)

Hier wird durch ein Programm dann dein kompletter Quellcode umgeschrieben so das es für Menschen schwer bis garnicht mehr nachvollziehbar ist.
Eindeutige Variable Namen wie result sehen dann in etwa so aus x5bss8sd6s6a5 und das passiert mit allen Namen so ist es für einen Menschen kaum noch möglich darin was sinvolles zu erkennen bzw auch die Stelle der Prüfung zu finden.
Im Grunde würde es soviel Arbeit bedeuten wie gleich das ganze neu zu schreiben und diese wird sich kaum jemand antun. (100% Sicherheit gibst nicht diese ist allerdings die einfachste und auch sehr efecktivste Lösung)

Ausprobieren und Testen kannst du das ganze Online unter:
http://www.gaijin.at/olsphpobfuscator.php

Einfach Orginal Quellcode einfügen und umwandeln lassen!

Beispiele wie es am Ende aussehen kann je nach Umwandlungs stufe

PHP-Code:

  <?php <?php include(base64_decode('Li4uL3VzZXIuY2xhc3MucGhw'));$dr0=new dr0();$hg1=$dr0->hg1();$hg1;$hg1->$yz2;$hg1->$er3;$hg1->$za4;$hg1->$bt5;$hg1->$yz2;if($hg1->$za4>0){}$hg1=$dr0->bu6(3);$hg1=$dr0->vr7(base64_decode('aWNo'),12345);$hg1=$dr0->vr7(base64_decode('aWNo'),123);if(!$hg1){if(UserErrorNum::FoundName)echo base64_decode('UGFzc3dvcnQgaXN0IGZhbHNjaCE=');if(UserErrorNum::UserNotFound)echo base64_decode('RmFsc2NoZXIgTmFtZSE=');}else{}?>

Oder der selbe Quellcode andere Umwandlungs Stufe

PHP-Code:

  <?php <?php include(".../user.class.php");$yi0=new yi0();$to1=$yi0->to1();$to1;$to1->$ko2;$to1->$vz3;$to1->$ve4;$to1->$wj5;$to1->$ko2;if($to1->$ve4>0){}$to1=$yi0->os6(3);$to1=$yi0->yb7("ich",12345);$to1=$yi0->yb7("ich",123);if(!$to1){if(UserErrorNum::FoundName)echo "Passwort ist falsch!";if(UserErrorNum::UserNotFound)echo "Falscher Name!";}else{}?>

Weiters Beispiel wieder selber Quelltext

PHP-Code:

  <?php <?php include(".../user.class.php");$fa239cc4=new fa239cc4();$2da17977=$fa239cc4->2da17977();$2da17977;$2da17977->$5bdff838;$2da17977->$5126ac48;$2da17977->$98dd4acc;$2da17977->$79c2ae9c;$2da17977->$5bdff838;if($2da17977->$98dd4acc>0){}$2da17977=$fa239cc4->444eea04(3);$2da17977=$fa239cc4->fe4dc0b6("ich",12345);$2da17977=$fa239cc4->fe4dc0b6("ich",123);if(!$2da17977){if(UserErrorNum::FoundName)echo "Passwort ist falsch!";if(UserErrorNum::UserNotFound)echo "Falscher Name!";}else{}?>

Die Einstellungen und längen lassen sich beliebig varieren. Bei einen Großen Script daher fast unmöglich dort raus noch was sinvolles zu lesen bzw zu verstehen was das Script an dieser oder jener Stelle macht. Wodurch ein rauslöschen der Sperren zu einer Suche wird wie die Nadel im Heuhaufen.

Hier noch zu Demonstration eines anderen Quelltextes einer OOP
Orginal

PHP-Code:

  <?php
/**
 * @name index.php
 * 
 * Der Screenshots Controller der Startseite.
 * 
 * @author Splasch
 * @version 0.1
 * @copyright Copyright (c) 2010, Splasch
 */
defined('SYSPATH') or die('No direct script access.');
class Controller_Screenshots extends Controller_DefaultTemplate
 {
    // Screenshots images Verzeichnis 
    private $pfad_screen ='application/screenshots/';
 
    public function action_index()
     {        
        $content                 = array();
        $this->template->title   = 'Screenshots';
 
        // Screenshots files aus der Datenbank auslesen 
        $screen = ORM::factory('screen');
        $image  = $screen ->limit(10)->find_all()->as_array();
        //var_dump($image); 
        $content['screen'] = $image;
 
        if($this->a2->allowed('screenshots','add'))
         {
           $content['add']       = View::factory('pages/admin/screenadd')
                                       ->render();
           if($this->a2->allowed('screenshots','delete'))
           {
              $content['delete'] = true;
           }
         }else{
              $content['add']    = NULL;
              $content['delete'] = false;
         }
 
 
        $this->template->content = View::factory('pages/screenshots',$content);
 
        //echo Kohana::debug_path(Kohana::find_file('classes', 'phpthumb'));            
 
 
        #var_dump(ORM::factory('screen')->find_all()->as_array('id','filename'));  
        #var_dump(ORM::factory('screen')->limit(10)->find_all()->as_array('id','filename'));     
        #var_dump($this->_name);var_dump($this->_action);
        #var_dump($this->a2->allowed('screenshots','add'));                   
 
     }     
   /**
   * @name add
   * 
   * Screenshots upload
   * 
   * @author splasch
   */ 
   public function action_add()
    {              
       $validate = Validate::factory($_FILES)
                   ->rule('image','Upload::not_empty')
                   ->rule('image','Upload::size',array('2M'))
                   ->rule('image','Upload::type',
                            array('Upload::type' =>
                                  array('jpg','gif','png'))                                
                             )          
       ;
       if($validate->check())
       { 
         #die(var_dump($_FILES['image']));
         $imageName      = $_FILES['image']['name'];
         $thumbNameStart = substr($imageName, 0, strrpos($imageName, '.'));
         $thumbNameEnd   = substr($imageName, strrpos($imageName, '.'));
         $thumbName      = $thumbNameStart . '-th' . $thumbNameEnd;
         $size           = getimagesize($_FILES['image']['tmp_name']);
         $breite         = $size[0];
         $hoehe          = $size[1]; 
 
         $thumb = PhpThumbFactory::create($_FILES['image']['tmp_name']);
         $thumb->resize(200, 200)
               ->save('application/screenshots/'.$thumbName);
 
         if($breite < 900 && $hoehe < 550)
         {      
           Upload::save($_FILES['image'],$imageName,'application/screenshots/');
         }
         else{
           $thumb = PhpThumbFactory::create($_FILES['image']['tmp_name']);
           $thumb->resize(900, 550)
                 ->save('application/screenshots/'.$imageName);
         }
 
         // Information in der Datenbank ablegen      
         $screen = ORM::factory('screen');        
         $screen ->filename       = $imageName;
         $screen ->filetype       = $_FILES['image']['type'];
         $screen ->filesize       = $_FILES['image']['size'];
         $screen ->thumb_filename = $thumbName;
         $screen ->thumb_filetype = $_FILES['image']['type'];         
         $screen ->save();
 
         $this->action_index();
 
       }
       else{ 
 
         $content                 = array();
         $this->template->title   = 'Screenshots upload';
         $errors['error']         = $validate->errors('validate');
         $content['errors']       = View::factory('pages/error',$errors)
                                         ->render(); 
         $this->template->content = View::factory('pages/admin/screenupload',$content);            
 
       }
       // echo kohana::debug($validate->check());
 
    }
  /**
   * @name delete
   * 
   * Screenshots Löschen
   * 
   * @author splasch
   */ 
   public function action_delete($id)
    {
       $content                 = array();
       $content['error']        = "";
       $this->template->title   = 'Fehler';
 
       $screen = ORM::factory('screen',$id);
 
       // Thumb und Orginal File löschen      
       if(@!unlink($this->pfad_screen.$screen->filename))
       {
         $content['error'].="Datei ".
           $this->pfad_screen.$screen->filename." konnte nicht entfernt werden <br/>";
       }
       if(@!unlink($this->pfad_screen.$screen->thumb_filename))
       {
         $content['error'].="Datei ".
           $this->pfad_screen.$screen->thumb_filename." konnte nicht entfernt werden <br/>";        
       }
 
       $screen->delete();       
       $this->template->content = View::factory('pages/error',$content);
 
       if($content['error'] == "")
       { 
        $this->action_index();
       }
        //echo $screen->last_query();
    }
 
 }

Umgewandelt

PHP-Code:

  <?php <?php defined('SYSPATH')or die('No direct script access.');class 58a51248 extends 13f8ec23{private $edf6f543='application/screenshots/';public function 67bdabbd(){$fec530a9=array();$this->$473480fe->$c0021665='Screenshots';$df4c6130=ORM::fb361ef9('screen');$c53d045f=$df4c6130->7f96e860(10)->64f377ff()->3e151672();$fec530a9['screen']=$c53d045f;if($this->$1ad5be0d->f3f76e61('screenshots','add')){$fec530a9['add']=View::fb361ef9('pages/admin/screenadd')->945c996a();if($this->$1ad5be0d->f3f76e61('screenshots','delete')){$fec530a9['delete']=true;}}else{$fec530a9['add']=NULL;$fec530a9['delete']=false;}$this->$473480fe->$6835180c=View::fb361ef9('pages/screenshots',$fec530a9);}public function c0e0eda7(){$42123254=Validate::fb361ef9($_FILES)->46d8accc('image','Upload::not_empty')->46d8accc('image','Upload::size',array('2M'))->46d8accc('image','Upload::type',array('Upload::type' =>array('jpg','gif','png')));if($42123254->3c8eac13()){$eb901891=$_FILES['image']['name'];$a4e0f3d6=substr($eb901891,0,strrpos($eb901891,'.'));$e43a4e25=substr($eb901891,strrpos($eb901891,'.'));$7ed5f478=$a4e0f3d6.'-th'.$e43a4e25;$f7c0246a=getimagesize($_FILES['image']['tmp_name']);$4a9962e6=$f7c0246a[0];$d2c55177=$f7c0246a[1];$1537d1db=PhpThumbFactory::8fd6e0fb($_FILES['image']['tmp_name']);$1537d1db->707e0e22(200,200)->55663ade('application/screenshots/'.$7ed5f478);if($4a9962e6<900 &&$d2c55177<550){Upload::55663ade($_FILES['image'],$eb901891,'application/screenshots/');}else{$1537d1db=PhpThumbFactory::8fd6e0fb($_FILES['image']['tmp_name']);$1537d1db->707e0e22(900,550)->55663ade('application/screenshots/'.$eb901891);}$df4c6130=ORM::fb361ef9('screen');$df4c6130->$d2c1404e=$eb901891;$df4c6130->$3c6961=$_FILES['image']['type'];$df4c6130->$7b221a22=$_FILES['image']['size'];$df4c6130->$5dfd0e8c=$7ed5f478;$df4c6130->$8f0027a3=$_FILES['image']['type'];$df4c6130->55663ade();$this->67bdabbd();}else{$fec530a9=array();$this->$473480fe->$c0021665='Screenshots upload';$3c51531d['error']=$42123254->3c51531d('validate');$fec530a9['errors']=View::fb361ef9('pages/error',$3c51531d)->945c996a();$this->$473480fe->$6835180c=View::fb361ef9('pages/admin/screenupload',$fec530a9);}}public function f8224dec($bf396750){$fec530a9=array();$fec530a9['error']="";$this->$473480fe->$c0021665='Fehler';$df4c6130=ORM::fb361ef9('screen',$bf396750);if(@!unlink($this->$9bd97e2a.$df4c6130->$d2c1404e)){$fec530a9['error'].="Datei ".$this->$9bd97e2a.$df4c6130->$d2c1404e." konnte nicht entfernt werden <br/>";}if(@!unlink($this->$9bd97e2a.$df4c6130->$5dfd0e8c)){$fec530a9['error'].="Datei ".$this->$9bd97e2a.$df4c6130->$5dfd0e8c." konnte nicht entfernt werden <br/>";}$df4c6130->3a127c87();$this->$473480fe->$6835180c=View::fb361ef9('pages/error',$fec530a9);if($fec530a9['error']==""){$this->67bdabbd();}}}?>

Mfg Splasch

nikosch · 29.09.2011, 12:59

Tja, das ändert aber nicht PHP's Syntax. Folglich kann man auch die Aufrufe fremder Domains finden. Oder man benutzt einen Proxy, Firebug, konfiguriert ne Firewall entsprechend... Sein Problem wird immer sein, solange der Service ohne den Home-Call läuft, kann man ihn auch ausbauen. Wenn er nur mit läuft, wird der Kunde hochgradig abhängig von der Verlässlichkeit seiner Serverstruktur. Für einen Ausfall mehrerer Kundenshops für 2 Stunden würde ich schon mal ne gute Versicherung abschließen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
politische webseite	poli-tik	Sonstige	3	27.04.2011 21:52
User der Webseite wieder erkennen und Status speichern	Wolf66	PHP Einsteiger	12	24.03.2011 01:15
Webseite zum Verkauf	paffkata	Gewerblich	0	06.02.2011 00:39
Webseite soll online bleiben!	Kleevina	Off-Topic Diskussionen	12	05.02.2011 20:18
Auflösung meiner Webseite !	skype90	HTML, Usability und Barrierefreiheit	1	01.01.2011 20:57
Wie Member-Bereich schützen?	chunky	PHP-Fortgeschrittene	13	27.06.2010 19:53
[Erledigt] Ist das ok, wenn eine Webseite nur in PHP ist und komplett auf JavaScript	coffeyn	Off-Topic Diskussionen	15	21.08.2009 15:11
Script schützen?	travelsnake	PHP Tipps 2008	4	06.07.2008 15:11
Komplette Webseite bleibt "stehen"	crazyhead	PHP-Fortgeschrittene	4	01.09.2007 17:58
Server schützen	Zangelo	PHP Tipps 2006	4	06.08.2006 01:25
Webseite auslesen	Katrin	PHP Tipps 2006	6	21.04.2006 20:43
rss/xml Feeds auf Webseite einbinden		PHP Tipps 2005-2	2	29.10.2005 13:44
[Erledigt] Frage zu Webseite		PHP Tipps 2005-2	1	26.10.2005 21:18
Problem: Text von einer Webseite mit PHP kopieren		PHP Tipps 2005-2	6	05.09.2005 19:20
Mehrsprachige Webseite		PHP Tipps 2005-2	4	08.07.2005 08:19

28.09.2011, 23:31
halskrause Erfahrener Benutzer Registriert seit: 29.08.2008 Beiträge: 777	Webseite schützen Hallo. Ich habe ein Shopsystem programmiert, was ich gerne schützen würde. Es soll verkauft werden, und die Lizenz soll nur für eine Domain gültig sein. Meine Fragen: 1. Spricht rechtlich was dagegen ein "Calling Home" einzubauen? 2. Bei wem liegt die Beweislast, wenn jemand das Sstem ohne Lizenz installiert? Sprich: Ich muß ja auch beweisen können, dass das System von mir ist. 3. Gibt es sowas wie Minipatente, die nicht Zehntausende von Euros kosten. Ich will nicht die Idee sondern den Quellcode schützen.


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

28.09.2011, 23:39
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.706 PHP-Kenntnisse: Fortgeschritten	Zunächst: keine Rechtsberatung hier. Wir sind keine Juristen und dürfen dir in der Hinsicht keine Auskünfte geben. Wenn nicht bereits getan, lies bitte den entsprechenden Eintrag in den Forenregeln. So, nun meine Antworten aus bestem Wissen und Gewissen heraus: 1. Schön ist es nicht und vor allem wenn der Quellcode offen liegt ziemlich sinnlos, aber generell sicherlich möglich. Sollte aber vorher ausdrücklich in den Datenschutzrichtlinien aufgeführt werden. Sofern du hier aber nicht mit kryptographischen Signaturen arbeitest, ließe sich sogar bei verschlüsseltem Quellcode oder Binärdateien einfach ein Proxy dazwischenschalten, der sich als dein Server ausgibt und dem Skript sagt, die Lizenz sei in Ordnung. 2. Kann ich dir nicht sagen. Frage deinen Anwalt. 3. Mikropatente? Nein, nicht das ich wüsste und ich hoffe, das wird es auch nie geben. Softwarepatente sind allgemein derzeit in der EU glücklicherweise (noch) nicht eingeführt. Aber was willst du denn auch damit, wenn du sagst, dass du nicht die Idee schützen willst, sondern den konkreten Quellcode? Der ist sowieso bereits durch das Urheberrecht mehr als genügend geschützt. Wozu ein Patent? Patente sind dazu da, um Erfindungen zu schützen, nicht um Mathematik dem Wettbewerb zu entziehen. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

28.09.2011, 23:59
halskrause Erfahrener Benutzer Registriert seit: 29.08.2008 Beiträge: 777	Danke für schnelle Antwort Manko. Ich werde das System nicht für die Kunden hosten. Sprich: Ich übergebe den ganzen Quellcode. Mir geht es hauptsächlich darum, dass im Falle eines Rechtsteites irgendwo ja geschrieben stehen muß, dass das Shop-System mir gehört.

29.09.2011, 01:31
Chriz Moderator Registriert seit: 11.05.2008 Beiträge: 6.267	Bei Navisystemen o.ae. wurden immer mal wieder Strassen eingefuegt, dies garnicht gab. So konnte man sehen, ob es ein eigenes System war. __________________ "Nuschel ich?" - "Was?"

29.09.2011, 08:18
roest Erfahrener Benutzer Registriert seit: 07.06.2009 Beiträge: 107 PHP-Kenntnisse: Anfänger	Eine Idee wäre eine Call-Home System einzubinden welches die Lizenz abfragt und deinen Code zum Beispiel mit ioncube zu verschlüsseln um zu verhindern das an deinem Code um somit auch dem Call-Home System rumgefuscht wird. __________________ May the Source be with you.

29.09.2011, 08:23
eagle275 Erfahrener Benutzer Registriert seit: 01.09.2010 Beiträge: 4.561 PHP-Kenntnisse: Fortgeschritten	du kannst dem Kunden ja die Scripte übergeben, nachdem du sie "behandelt" hast. Dafür gibts VerschlüsselungsTools ... ua von Zend . Das stellt für den Durchschnittskunden schon mal eine genügend hohe Hürde dar. Denn der Quellcode liegt nicht mehr offen. Obendrein solltest du den Shop natürlich so gestalten, dass er "perfekt" auf den ursprünglichen Kunden zugeschnitten ist... Das dürfte die Weiterverwendungsmöglichkeiten einschränken. Das eigentliche Problem für dich wird sein, die Kopien zu finden - und dazu kann ein "Anruf zu Haus" recht nützlich sein. - Aber wer es schafft, es zu entschlüsseln, um den Shop dann zu modifizieren (Shopname+Texte ändern usw) der findet auch deine Calling-Home Routine und wirft sie raus.... __________________ "Irren ist männlich", sprach der Igel und stieg von der Drahtbürste

29.09.2011, 11:11
mentalman Erfahrener Benutzer Registriert seit: 07.07.2010 Beiträge: 231 PHP-Kenntnisse: Anfänger	Man könnte doch vielleicht einen MD5 aus all seinen Shop-Dateien berechnen und den "nach Hause" schicken. Stimmt dieser dann nicht mit einem hinterlegten Wert überein, wurde der Code verändert. Oder? __________________ Da ist schon wieder dieses Wort 'stark'... Warum ist in der Zukunft alles 'stark'? Hängt das irgendwie mit Veränderungen in der Erde zusammen?

29.09.2011, 12:20
splasch Erfahrener Benutzer Registriert seit: 05.01.2009 Beiträge: 474 PHP-Kenntnisse: Fortgeschritten	Ich denk mal es geht ihm weniger darum ob jemand was am Code ändert oder hinzufügt. Sonderen darum das nur bezahlte Scripte von Ihm verwendet werden also eben mit gültiger Lizens. Daher will er das an die Domain binden damit eine Kopie nicht auf einer anderen Seite läuft. Dazu benötig man kein Call Home script. Es würde reichen nur einen kleinen Teil des Scriptes zu verschlüsseln und zwar so das Gesamt script nur dann auch lauffähig ist wenn der verschlüsselte Teil vorhanden ist. So kann es absichert werden gegen rauslöschen. Nun weiters generierst du einen Lizens Key der auf einen Domain Namen zurückzuführen ist. Im verschlüsselten Teil decodierst du den Lizens key und schaust nach ob die Domain Namen übereinstimmen vom Key und von der aktuellen verwendeten Domain. So läuft eben ein bestimmter Key nur unter einer bestimmten Domain. Allerdings beim verschlüsseln gibst immer das Problem das Module erweiterungen auf dem Apache Server installiert sein müssen. Was aber bei den meisten Webspace anbietern nicht der fall ist. Daher kannst du auch statt dem Verschlüsseln auf eine andere Methode setzen und zwar den Quellcode für den Menschen unleserlich machen. Diese Methode nennt sich Obfuscator (http://de.wikipedia.org/wiki/Obfuscator) Hier wird durch ein Programm dann dein kompletter Quellcode umgeschrieben so das es für Menschen schwer bis garnicht mehr nachvollziehbar ist. Eindeutige Variable Namen wie result sehen dann in etwa so aus x5bss8sd6s6a5 und das passiert mit allen Namen so ist es für einen Menschen kaum noch möglich darin was sinvolles zu erkennen bzw auch die Stelle der Prüfung zu finden. Im Grunde würde es soviel Arbeit bedeuten wie gleich das ganze neu zu schreiben und diese wird sich kaum jemand antun. (100% Sicherheit gibst nicht diese ist allerdings die einfachste und auch sehr efecktivste Lösung) Ausprobieren und Testen kannst du das ganze Online unter: http://www.gaijin.at/olsphpobfuscator.php Einfach Orginal Quellcode einfügen und umwandeln lassen! Beispiele wie es am Ende aussehen kann je nach Umwandlungs stufe PHP-Code: `<?php <?php include(base64_decode('Li4uL3VzZXIuY2xhc3MucGhw'));$dr0=new dr0();$hg1=$dr0->hg1();$hg1;$hg1->$yz2;$hg1->$er3;$hg1->$za4;$hg1->$bt5;$hg1->$yz2;if($hg1->$za4>0){}$hg1=$dr0->bu6(3);$hg1=$dr0->vr7(base64_decode('aWNo'),12345);$hg1=$dr0->vr7(base64_decode('aWNo'),123);if(!$hg1){if(UserErrorNum::FoundName)echo base64_decode('UGFzc3dvcnQgaXN0IGZhbHNjaCE=');if(UserErrorNum::UserNotFound)echo base64_decode('RmFsc2NoZXIgTmFtZSE=');}else{}?>` Oder der selbe Quellcode andere Umwandlungs Stufe PHP-Code: `<?php <?php include(".../user.class.php");$yi0=new yi0();$to1=$yi0->to1();$to1;$to1->$ko2;$to1->$vz3;$to1->$ve4;$to1->$wj5;$to1->$ko2;if($to1->$ve4>0){}$to1=$yi0->os6(3);$to1=$yi0->yb7("ich",12345);$to1=$yi0->yb7("ich",123);if(!$to1){if(UserErrorNum::FoundName)echo "Passwort ist falsch!";if(UserErrorNum::UserNotFound)echo "Falscher Name!";}else{}?>` Weiters Beispiel wieder selber Quelltext PHP-Code: `<?php <?php include(".../user.class.php");$fa239cc4=new fa239cc4();$2da17977=$fa239cc4->2da17977();$2da17977;$2da17977->$5bdff838;$2da17977->$5126ac48;$2da17977->$98dd4acc;$2da17977->$79c2ae9c;$2da17977->$5bdff838;if($2da17977->$98dd4acc>0){}$2da17977=$fa239cc4->444eea04(3);$2da17977=$fa239cc4->fe4dc0b6("ich",12345);$2da17977=$fa239cc4->fe4dc0b6("ich",123);if(!$2da17977){if(UserErrorNum::FoundName)echo "Passwort ist falsch!";if(UserErrorNum::UserNotFound)echo "Falscher Name!";}else{}?>` Die Einstellungen und längen lassen sich beliebig varieren. Bei einen Großen Script daher fast unmöglich dort raus noch was sinvolles zu lesen bzw zu verstehen was das Script an dieser oder jener Stelle macht. Wodurch ein rauslöschen der Sperren zu einer Suche wird wie die Nadel im Heuhaufen. Hier noch zu Demonstration eines anderen Quelltextes einer OOP Orginal PHP-Code: <?php /** * @name index.php * * Der Screenshots Controller der Startseite. * * @author Splasch * @version 0.1 * @copyright Copyright (c) 2010, Splasch / defined('SYSPATH') or die('No direct script access.'); class Controller_Screenshots extends Controller_DefaultTemplate { // Screenshots images Verzeichnis private $pfad_screen ='application/screenshots/'; public function action_index() { $content = array(); $this->template->title = 'Screenshots'; // Screenshots files aus der Datenbank auslesen $screen = ORM::factory('screen'); $image = $screen ->limit(10)->find_all()->as_array(); //var_dump($image); $content['screen'] = $image; if($this->a2->allowed('screenshots','add')) { $content['add'] = View::factory('pages/admin/screenadd') ->render(); if($this->a2->allowed('screenshots','delete')) { $content['delete'] = true; } }else{ $content['add'] = NULL; $content['delete'] = false; } $this->template->content = View::factory('pages/screenshots',$content); //echo Kohana::debug_path(Kohana::find_file('classes', 'phpthumb')); #var_dump(ORM::factory('screen')->find_all()->as_array('id','filename')); #var_dump(ORM::factory('screen')->limit(10)->find_all()->as_array('id','filename')); #var_dump($this->_name);var_dump($this->_action); #var_dump($this->a2->allowed('screenshots','add')); } /* * @name add * * Screenshots upload * * @author splasch / public function action_add() { $validate = Validate::factory($_FILES) ->rule('image','Upload::not_empty') ->rule('image','Upload::size',array('2M')) ->rule('image','Upload::type', array('Upload::type' => array('jpg','gif','png')) ) ; if($validate->check()) { #die(var_dump($_FILES['image'])); $imageName = $_FILES['image']['name']; $thumbNameStart = substr($imageName, 0, strrpos($imageName, '.')); $thumbNameEnd = substr($imageName, strrpos($imageName, '.')); $thumbName = $thumbNameStart . '-th' . $thumbNameEnd; $size = getimagesize($_FILES['image']['tmp_name']); $breite = $size[0]; $hoehe = $size[1]; $thumb = PhpThumbFactory::create($_FILES['image']['tmp_name']); $thumb->resize(200, 200) ->save('application/screenshots/'.$thumbName); if($breite < 900 && $hoehe < 550) { Upload::save($_FILES['image'],$imageName,'application/screenshots/'); } else{ $thumb = PhpThumbFactory::create($_FILES['image']['tmp_name']); $thumb->resize(900, 550) ->save('application/screenshots/'.$imageName); } // Information in der Datenbank ablegen $screen = ORM::factory('screen'); $screen ->filename = $imageName; $screen ->filetype = $_FILES['image']['type']; $screen ->filesize = $_FILES['image']['size']; $screen ->thumb_filename = $thumbName; $screen ->thumb_filetype = $_FILES['image']['type']; $screen ->save(); $this->action_index(); } else{ $content = array(); $this->template->title = 'Screenshots upload'; $errors['error'] = $validate->errors('validate'); $content['errors'] = View::factory('pages/error',$errors) ->render(); $this->template->content = View::factory('pages/admin/screenupload',$content); } // echo kohana::debug($validate->check()); } /* * @name delete * * Screenshots Löschen * * @author splasch / public function action_delete($id) { $content = array(); $content['error'] = ""; $this->template->title = 'Fehler'; $screen = ORM::factory('screen',$id); // Thumb und Orginal File löschen if(@!unlink($this->pfad_screen.$screen->filename)) { $content['error'].="Datei ". $this->pfad_screen.$screen->filename." konnte nicht entfernt werden <br/>"; } if(@!unlink($this->pfad_screen.$screen->thumb_filename)) { $content['error'].="Datei ". $this->pfad_screen.$screen->thumb_filename." konnte nicht entfernt werden <br/>"; } $screen->delete(); $this->template->content = View::factory('pages/error',$content); if($content['error'] == "") { $this->action_index(); } //echo $screen->last_query(); } } Umgewandelt PHP-Code: <?php <?php defined('SYSPATH')or die('No direct script access.');class 58a51248 extends 13f8ec23{private $edf6f543='application/screenshots/';public function 67bdabbd(){$fec530a9=array();$this->$473480fe->$c0021665='Screenshots';$df4c6130=ORM::fb361ef9('screen');$c53d045f=$df4c6130->7f96e860(10)->64f377ff()->3e151672();$fec530a9['screen']=$c53d045f;if($this->$1ad5be0d->f3f76e61('screenshots','add')){$fec530a9['add']=View::fb361ef9('pages/admin/screenadd')->945c996a();if($this->$1ad5be0d->f3f76e61('screenshots','delete')){$fec530a9['delete']=true;}}else{$fec530a9['add']=NULL;$fec530a9['delete']=false;}$this->$473480fe->$6835180c=View::fb361ef9('pages/screenshots',$fec530a9);}public function c0e0eda7(){$42123254=Validate::fb361ef9($_FILES)->46d8accc('image','Upload::not_empty')->46d8accc('image','Upload::size',array('2M'))->46d8accc('image','Upload::type',array('Upload::type' =>array('jpg','gif','png')));if($42123254->3c8eac13()){$eb901891=$_FILES['image']['name'];$a4e0f3d6=substr($eb901891,0,strrpos($eb901891,'.'));$e43a4e25=substr($eb901891,strrpos($eb901891,'.'));$7ed5f478=$a4e0f3d6.'-th'.$e43a4e25;$f7c0246a=getimagesize($_FILES['image']['tmp_name']);$4a9962e6=$f7c0246a[0];$d2c55177=$f7c0246a[1];$1537d1db=PhpThumbFactory::8fd6e0fb($_FILES['image']['tmp_name']);$1537d1db->707e0e22(200,200)->55663ade('application/screenshots/'.$7ed5f478);if($4a9962e6<900 &&$d2c55177<550){Upload::55663ade($_FILES['image'],$eb901891,'application/screenshots/');}else{$1537d1db=PhpThumbFactory::8fd6e0fb($_FILES['image']['tmp_name']);$1537d1db->707e0e22(900,550)->55663ade('application/screenshots/'.$eb901891);}$df4c6130=ORM::fb361ef9('screen');$df4c6130->$d2c1404e=$eb901891;$df4c6130->$3c6961=$_FILES['image']['type'];$df4c6130->$7b221a22=$_FILES['image']['size'];$df4c6130->$5dfd0e8c=$7ed5f478;$df4c6130->$8f0027a3=$_FILES['image']['type'];$df4c6130->55663ade();$this->67bdabbd();}else{$fec530a9=array();$this->$473480fe->$c0021665='Screenshots upload';$3c51531d['error']=$42123254->3c51531d('validate');$fec530a9['errors']=View::fb361ef9('pages/error',$3c51531d)->945c996a();$this->$473480fe->$6835180c=View::fb361ef9('pages/admin/screenupload',$fec530a9);}}public function f8224dec($bf396750){$fec530a9=array();$fec530a9['error']="";$this->$473480fe->$c0021665='Fehler';$df4c6130=ORM::fb361ef9('screen',$bf396750);if(@!unlink($this->$9bd97e2a.$df4c6130->$d2c1404e)){$fec530a9['error'].="Datei ".$this->$9bd97e2a.$df4c6130->$d2c1404e." konnte nicht entfernt werden <br/>";}if(@!unlink($this->$9bd97e2a.$df4c6130->$5dfd0e8c)){$fec530a9['error'].="Datei ".$this->$9bd97e2a.$df4c6130->$5dfd0e8c." konnte nicht entfernt werden <br/>";}$df4c6130->3a127c87();$this->$473480fe->$6835180c=View::fb361ef9('pages/error',$fec530a9);if($fec530a9['error']==""){$this->67bdabbd();}}}?> Mfg Splasch Geändert von splasch (29.09.2011 um 12:52 Uhr).*

29.09.2011, 12:59
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Tja, das ändert aber nicht PHP's Syntax. Folglich kann man auch die Aufrufe fremder Domains finden. Oder man benutzt einen Proxy, Firebug, konfiguriert ne Firewall entsprechend... Sein Problem wird immer sein, solange der Service ohne den Home-Call läuft, kann man ihn auch ausbauen. Wenn er nur mit läuft, wird der Kunde hochgradig abhängig von der Verlässlichkeit seiner Serverstruktur. Für einen Ausfall mehrerer Kundenshops für 2 Stunden würde ich schon mal ne gute Versicherung abschließen. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --