clemensplainer

Hallo Leute,

ich habe folgende Problemstellung und möchte gerne Eure Meinung dazu hören =)

Ich habe eine Software und die biete ich meinen Kunden an. Allerdings sollte die Software den eigenen Server nicht verlassen.

Jetzt habe ich mir folgendes "Sicherheits"-System ausgedacht.

Der Kunde bekommt eine Datei "connect.php" und die landet auf seinem Server. Jetzt sollte die Verbindung zum Quellserver aufgenommen werden. Mit einer übermittelten Login-Infomartion (z.B.: USER/PASS oder eine Checksumme) wird der User identfiziert und die Software wird "transportiert".

Meine Frage ist nun, ob diese Vorgehensweise empfehlenswert ist und ob ihr das anders machen würdet?

LG und Frohe Weihnachten,
Clemens

Mister Ad

lstegelitz

In meinen Augen nicht empfehlenswert.

Zum einen: Es besteht eine Abhängigkeit zu "deinem" Server - funktioniert der mal nicht, funktioniert auch die Anwendung beim Kunden nicht.

Zum anderen: Ich verstehe das System so, das vom Kunden-Server aus ein "remote file inclusion" gemacht werden soll - das ist eine Sicherheitslücke! (Fremdserver Code bei sich selbst zu includen und damit zur Ausführung zu bringen, macht den eigenen Server angreifbar. Würde mich nicht wundern, wenn schon der Admin des Kunden das verbieten würde)

Bei PHP gibt es nur wenig Möglichkeiten, eine Software auszuliefern, ohne den Quellcode mitzuliefern (es gibt Verschlüsselungssysteme wie ioncube, die aber auch nur bedingten Schutz liefern).
Wie bereits mehrfach zu dem Thema angesprochen, kann man hierbei eigentlich nur den rechtlichen Weg beschreiten, dem Kunden untersagen den Code zu manipulieren oder zu kopieren und ihn bei Mißachtung vor den Kadi zu zerren...

__________________
Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.

clemensplainer

Danke für das schnelle Feedback!

Die Abhängigkeit ist vorhanden, da hast Du recht. Hierzu muss ich mir noch etwas überlegen =)

Auweia, das hört sich ja unvorteilhaft an =) Der Schutz ist sogar nur ein Teil meines Bedürfnises.

Der andere ist, dass ich dadurch die Möglichkeit habe, Updates also z.B.: leichte Änderungen im CSS durchführen könnte, ohne jedem Kunden die angepasste Datei schicken müsste. Habe irgendwie nicht wirklich erwähnt, dass davon mehrere Kunden betroffen sind.

Ich habe jetzt etwas gesucht und bin auf die Thematik der "Sockets" in PHP gestoßen. Ich lese mich da jetzt erst mal ein weil es sowieso interessant ist. Wäre das eine brauchbare Alternative oder sind hier auch sicherheitstechnische Bedenken vorhanden?

LG Clemens

tr0y

Jede Form von cross-server abhängigkeiten öffnen Tür und Tor und versetzen einen der Server in eine kompromitierfähige Lage. Schmink dir das ab.

Alternative bei der du volle Handlungsfähigkeit hast: Software as a Service ( SAAS ).

http://de.wikipedia.org/wiki/Software_as_a_Service

__________________
Lasse mir ohne Anwendung von Gewalt Dinge schenken, Amazon weiß darüber bald mehr.

zorndyuke

Ich verstehe was du da versuchst, jedoch gibt es genau 3 mögliche Serien dafür:

1. Das was du willst, gelingt dir, das ist eine Sache von 0.000000001%.
2. Die Personen die das benutzen sollen, kriegen alle 2 Tage ein Error, weil irgendwas falsch ist.
3. Es funktioniert nicht, da man keine Lösung dafür findet.

Das ist wie mit der Spiele Industrie. Alleine Sony gibt Milliarden dafür aus, damit Spiele nicht Illegal Kopiert und gespielt werden können. Rein aus diesem Grund, fühlen sich Erfahrene Menschen angesprochen, diesen "Undurchdringbaren Code" zu druchdringen und keine Woche später.. siehe da, das neue spektakuläre und undurchdringbare Kopierschutz wurde durchdrungen.. milliarden in den Wind gesetzt ..

Jemand der weiß wie man z.B. bei einem CMS das Copyright am unteren Bild rauszunehmen, wird auch wissen wie man in der "Connect.php" , das so umschreibt, dass es auch ohne Server funktioniert.

Zur 1. Serie.. sollte es dir gelingen sowas Perfektes zu kreeiren.. verkauf es für mehrere Miliarden und siehe zu wie es in ca. 1-2 Wochen nicht mehr Funktioniert. ( Oder doch funktioniert und du der Sicherheitsman 2012 bist ).

Fazit: Es wird ganz Sicher keine 100% Lösung geben. Such dir eine kostengünstige Alternative, damit es nicht zu einfach wird. Verbiete es in den AGB's und wenn es jemand doch macht.. gibt es diverse Rechtliche Schritte die dir da weiter helfen.


*Zusatz*: Oder du bietest dich dazu als eigener Hoster noch an.. dann würde das mit dem eigenen Server klappen und dein Code würde den Server nicht verlassen.. dazu noch eine eigene API.. jedoch wie bereits gepostet bist du für den Server zuständig. Funktioniert der Server mal nicht, kann es viel Ärger geben!

__________________
define("#C0FFEE","brown");

halskrause

Genau nach sowas habe ich vor 2 Monaten auch gesucht gehabt. Wenn dein Projekt einen gewissen Wert hat, dann solltest du dir mal ioncube anschauen. Bei mir war as nicht der Fall. Ansonsten finde ich, dass die Abhängigkeit einer Webseite gefährlich sein kann. Ich habe an 3 stellen ein mini calling Home eingebaut, die jeweils alle 2 Monate einmal ausgeführt werden. Die Funktionalität der Seite ist denoch gewährleistet. Man kann diese Zeilen zwar löschen. Jedoch bin ich auch der Meinung, dass wenn man zu ängstlich ist, man auch kein Geld verdient. Etwas Risiko muß sein!

clemensplainer

Hey Leute,

danke für die vielen Antworten.
Ich werde es wie vorgeschlagen als Hosting-Lösung machen, da dies am einfachsten ist.

Weiters kann ich Globale Konfigurationseinheiten so viel einfacher verwalten, was ein wichtiger Entscheidungsgrund war!

Danke Leute
LG