Idee: Website mit uncrackbarem Serial

Broadcast · 23.02.2007, 10:34

Hi Leute,
ich brauch mal einige Denkanstöße von euch.

Ich will eine Website machen welche nur dann funktionieren kann wenn ein Serial eingegeben wurde (in einer Config).

Konzept:
Die Website kommuniziert bei jedem Aufruf von einem User mit meinem Server über XML. Die Website übermittelt dabei einige Daten sowie den Serial. Der Serial wird dann bei mir in der Datenbank geprüft ob dieser auch aktiviert wurde. Wenn ja dann wird ein true, zurückgegeben und wenn nicht dann ein false. Bei true wird die Website für den User normal angezeigt, sollte ein false zurückgegeben werden wird die Website gesperrt. Bzw. es erscheint eine Ausgabe z.B. "Webseite ist eine Raubkopie!" oder sowas.

Was habe ich bereits gemacht?
Die kommunikation zwischen meinem Server und der Website funzt soweit. Es wird auch in meiner Datenbank geprüft ob diese Seite aktviert wurde und liefert dann das entsprechende Ergebniss zurück.

Was fehlt mir noch, bzw. wobei brauche ich Denkansätze?
Mein momentanes Problem besteht drin, diese Abfrage, ob mein Server true oder false zurückgibt, in die Website so zu integrieren das man diese Abfrage nicht entfernen kann. Das Problem wäre nun folgendes, die Abfrage sagt der Website das sie eine Raubkopie ist und zeigt diese daher nicht an. Nun kann ein Programmierer diese Abfrage einfach entfernen und die Website wäre somit gecracked. Die frage lautet nun also: Wie baue ich diese Abfrage so ein, dass sie nicht mehr ohne bleibenden Schaden zu hinterlassen entfernt werden kann?

Wäre cool von euch wenn ihr eventuell einige Ideen hättet, vielleicht hat ja einer von euch sowas schonmal probiert und stand vor dem gleichen Problem. Danke schonmal im vorraus.

Gruß Broadcast

nikosch · 23.02.2007, 12:33

diese idee hatten wohl schon viele, nur an der umsetzung beist man sich regelmäßig die zähne aus. kannst ja mal das forum hier durchsuchen.
warum bindest du nicht einfach irgend eine wichtige komponente über deinen server ein? das erscheint mir sinnvoller als die übliche verschleierungstaktik...

Broadcast · 23.02.2007, 12:38

hmm ja hab ich auch schon gedacht, nur gibt es kaum wichtige komponenten welche man da einbinden könnte. Weil wenn ca. 100 leute auf dieser Website sind und ich diese Website an 5 verschiedene Kunden rausgebe, dann wir auf meinem Server Traffic von 500 Personen verursacht. Aber der Traffic soll hauptsächlich auf dem Server der Kunden bleiben.

M3g4Star · 23.02.2007, 12:50

Es gibt Server ohne Traffic-Begrenzung.

nikosch's Idee find ich gut. darauf bin ich ja noch gar nicht gekommen

Aber bisher hatte ich in diese Richtung noch nix weiter versucht weil ich's ehrlich gesagt für sinnlos empfinde.

Flor1an · 23.02.2007, 13:20

Und wie wollt ihr bitte wichtige Dinge auf eurem Server laufen lassen? Das wäre dann ne riesen Sicherheitslücke für den Kunden da ihr theoretisch alles auf deren Server einbinden lassen könnt und so auf deren Server vollen Zugriff habt.

Es gibt für dein Problem keine perfekte Lösung. Die einzigste effektive wäre dein ganzen Skript mit nem Encoder zu verschlüsseln. Dafür bräuchte aber jeder Kunde von dir auf seinem Server den Decoder. Da gibts z.B. einen von Zend. Kostet aber natürlich Geld!

Ansonsten such im Forum vor kurzem gabs da schon so nen Thread da dürfte genug drinnen stehn und du musst hier nicht mehr weiter schreiben.

Zergling-new · 23.02.2007, 13:27

Zitat:

Zitat von Broadcast

Die frage lautet nun also: Wie baue ich diese Abfrage so ein, dass sie nicht mehr ohne bleibenden Schaden zu hinterlassen entfernt werden kann?

Benutz doch einfach mal die Forensuche, das Posting ist doch absolut für die Katz. Wenn du PHP verstanden hättest wüßtest du ja, dass der Quelltext im Klartext auf dem Server liegt. Was sollen wir daran jetzt noch drehen und wenden?

Dann kommen die üblichen Vorschläge, wie zum Beispiel der hier:
http://www.zend.com/de/products/zend_guard

Und am Ende stellt sich heraus, das ist dem Thread-Poster zu kompliziert und die Diskussion war -siehe oben- für die Katz!

nikosch · 23.02.2007, 13:33

Zitat:

Zitat von RaZoR

Und wie wollt ihr bitte wichtige Dinge auf eurem Server laufen lassen? Das wäre dann ne riesen Sicherheitslücke für den Kunden da ihr theoretisch alles auf deren Server einbinden lassen könnt und so auf deren Server vollen Zugriff habt.

Sofern der Kunde nicht aktiv "Reverse Engineering" betreibt, läuft er mit der Software auf seinem Server doch genauso Gefahr. Mit ner Desktopsoftware bin ich auch von der Aufrichtigkeit der Entwickler abhängig. Für sowas gibts Verträge und Haftungsbeschränkungen. Allenfalls Broadcast muß aufpassen, dass sein Server nicht korrumpiert wird.

Flor1an · 23.02.2007, 13:47

Nunja wenn du den Skript der z.B. mit einem Encoder verschlüsselt ist, kannst du durch Einstellungen verhindern dass das Skript andere Seiten öffnet bzw. Datenverschickt. Und du kannst anhand von Logs nachvollziehen wer wodrauf zugreift etc.

Aber klar muss man irgendwo auch den Entwicklern vertrauen. Aber wichtige Daten jedes mal nachzuladen ist doch keine Lösung. Was glaubst du wie langsam das wird. Aber diesen Vorschlag haben wir genüge im anderen Thread besprochen.

Broadcast · 23.02.2007, 15:51

Also von Zend hab ich gehört und es schon in aktion erlebt. Aber ich will das ganze ohne Zend machen weil manche Kunden auf dem Server dieses Plugin nicht drauf haben werden. Also ohne Zend muss das machbar sein!

Klar könnte man einige wichtige Funktionen auslagern auf meinen Server aber is halt doof wegen Traffic. Und dann gäbe es da keine so wichtigen Funktionen die erstens immer benötigt werden und zweitens auch einfach so ausgetauscht werden können. Und dann wäre es wieder gecracked.

Ich kann z.B. schlecht ne SQL oder Userauth Klasse auf meinem Server auslagern weil diese auf dem Kundenserver laufen müssen. Und andere Funktionen kann man aushebeln indem man diese einfach deaktiviert bzw. neu schreibt und ersetzt.

Ein weiterer Sinn hinter einer XML Kommunikation zwischen der Website und meiner besteht darin das ich die Website auch Fernsteuern kann. Sollte ein Kunde z.B. nicht bezahlen kann man die Website zwangssperren. Das geht dann soweit bis man die Website pfändet. Aber das am Rande.

Sinn und Zweck soll sein das ich auf einen Blick eine Übersicht habe ob irgendwo mein Quelltext geklaut wurde und illigal verwendet wurde. Ähnlich wie es Microsoft mit Windows macht bzw. machen sollte.

Nur sollte das ganze so sicher sein das man das ohne "Zend" benutzen kann und gleichzeitig sogut wie nicht rausbekommt.
Hat vielleicht jemand eine Idee, seit creativ!

Flor1an · 23.02.2007, 16:00

Les doch mal den Thread durch der vor kurzem gepostet wurde. Es gibt definitiv keine Lösung wenn du ohne zusätzlichen Plugins arbeiten möchtest. Und Klassen oder Funktionen von fremden Servern einzubinden bringt auch nichts da du die Klassen auslesen lassen kannst und den Skript so umscheriben kannst dass du die Klasse lokal verwenden kannst.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Captcha in Website einbauen	Dartgott	PHP Tipps 2008	9	23.04.2008 15:53
Telefonschnittstelle für eine Website	madhatter	PHP-Fortgeschrittene	5	28.03.2008 17:35
Mehrsprachige Website	Klaus	Off-Topic Diskussionen	0	31.07.2006 17:04
[Erledigt] komplette Website als Grafik speichern		PHP-Fortgeschrittene	68	08.03.2006 21:29
[Erledigt] nessus über website starten		Server, Hosting und Workstations	0	19.02.2006 15:09
[Erledigt] Mit Yahoo Mess. mit Usern auf Website ohne account chatten		PHP-Fortgeschrittene	10	18.09.2005 22:02
eigene Fonts in Website einbinden?	ThaRider	HTML, Usability und Barrierefreiheit	2	16.07.2005 16:16
Hat einer eine Idee (wg. Datumsauswahl im Formular)		PHP Tipps 2005	4	14.04.2005 17:02
website macht auf localhost probleme		PHP Tipps 2005	8	14.04.2005 10:25
website lässt sich nicht öffnen		PHP Tipps 2005	2	18.02.2005 19:38
[Erledigt] spezielle schrift in der website		HTML, Usability und Barrierefreiheit	23	12.12.2004 12:02
[Erledigt] schriften für website		HTML, Usability und Barrierefreiheit	2	15.10.2004 09:57
Daten aus einer externen Website lesen via PHP	Locutus007	PHP Tipps 2004	4	29.09.2004 17:20
[Erledigt] Browser und MSG Box		HTML, Usability und Barrierefreiheit	4	17.08.2004 18:40
[Erledigt] Fehlermeldung auf der Website nach dem Veröffentlichen		PHP Tipps 2004	6	10.07.2004 15:03

23.02.2007, 10:34
Broadcast Erfahrener Benutzer Registriert seit: 16.12.2003 Beiträge: 125	Idee: Website mit uncrackbarem Serial Hi Leute, ich brauch mal einige Denkanstöße von euch. Ich will eine Website machen welche nur dann funktionieren kann wenn ein Serial eingegeben wurde (in einer Config). Konzept: Die Website kommuniziert bei jedem Aufruf von einem User mit meinem Server über XML. Die Website übermittelt dabei einige Daten sowie den Serial. Der Serial wird dann bei mir in der Datenbank geprüft ob dieser auch aktiviert wurde. Wenn ja dann wird ein true, zurückgegeben und wenn nicht dann ein false. Bei true wird die Website für den User normal angezeigt, sollte ein false zurückgegeben werden wird die Website gesperrt. Bzw. es erscheint eine Ausgabe z.B. "Webseite ist eine Raubkopie!" oder sowas. Was habe ich bereits gemacht? Die kommunikation zwischen meinem Server und der Website funzt soweit. Es wird auch in meiner Datenbank geprüft ob diese Seite aktviert wurde und liefert dann das entsprechende Ergebniss zurück. Was fehlt mir noch, bzw. wobei brauche ich Denkansätze? Mein momentanes Problem besteht drin, diese Abfrage, ob mein Server true oder false zurückgibt, in die Website so zu integrieren das man diese Abfrage nicht entfernen kann. Das Problem wäre nun folgendes, die Abfrage sagt der Website das sie eine Raubkopie ist und zeigt diese daher nicht an. Nun kann ein Programmierer diese Abfrage einfach entfernen und die Website wäre somit gecracked. Die frage lautet nun also: Wie baue ich diese Abfrage so ein, dass sie nicht mehr ohne bleibenden Schaden zu hinterlassen entfernt werden kann? Wäre cool von euch wenn ihr eventuell einige Ideen hättet, vielleicht hat ja einer von euch sowas schonmal probiert und stand vor dem gleichen Problem. Danke schonmal im vorraus. Gruß Broadcast


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

23.02.2007, 12:33
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.989 PHP-Kenntnisse: Fortgeschritten	diese idee hatten wohl schon viele, nur an der umsetzung beist man sich regelmäßig die zähne aus. kannst ja mal das forum hier durchsuchen. warum bindest du nicht einfach irgend eine wichtige komponente über deinen server ein? das erscheint mir sinnvoller als die übliche verschleierungstaktik...

23.02.2007, 12:38
Broadcast Erfahrener Benutzer Registriert seit: 16.12.2003 Beiträge: 125	hmm ja hab ich auch schon gedacht, nur gibt es kaum wichtige komponenten welche man da einbinden könnte. Weil wenn ca. 100 leute auf dieser Website sind und ich diese Website an 5 verschiedene Kunden rausgebe, dann wir auf meinem Server Traffic von 500 Personen verursacht. Aber der Traffic soll hauptsächlich auf dem Server der Kunden bleiben.

23.02.2007, 12:50
M3g4Star Erfahrener Benutzer Registriert seit: 23.08.2007 Beiträge: 1.510	Es gibt Server ohne Traffic-Begrenzung. nikosch's Idee find ich gut. darauf bin ich ja noch gar nicht gekommen Aber bisher hatte ich in diese Richtung noch nix weiter versucht weil ich's ehrlich gesagt für sinnlos empfinde.

23.02.2007, 13:20
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Und wie wollt ihr bitte wichtige Dinge auf eurem Server laufen lassen? Das wäre dann ne riesen Sicherheitslücke für den Kunden da ihr theoretisch alles auf deren Server einbinden lassen könnt und so auf deren Server vollen Zugriff habt. Es gibt für dein Problem keine perfekte Lösung. Die einzigste effektive wäre dein ganzen Skript mit nem Encoder zu verschlüsseln. Dafür bräuchte aber jeder Kunde von dir auf seinem Server den Decoder. Da gibts z.B. einen von Zend. Kostet aber natürlich Geld! Ansonsten such im Forum vor kurzem gabs da schon so nen Thread da dürfte genug drinnen stehn und du musst hier nicht mehr weiter schreiben.

23.02.2007, 13:47
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Nunja wenn du den Skript der z.B. mit einem Encoder verschlüsselt ist, kannst du durch Einstellungen verhindern dass das Skript andere Seiten öffnet bzw. Datenverschickt. Und du kannst anhand von Logs nachvollziehen wer wodrauf zugreift etc. Aber klar muss man irgendwo auch den Entwicklern vertrauen. Aber wichtige Daten jedes mal nachzuladen ist doch keine Lösung. Was glaubst du wie langsam das wird. Aber diesen Vorschlag haben wir genüge im anderen Thread besprochen.

23.02.2007, 15:51
Broadcast Erfahrener Benutzer Registriert seit: 16.12.2003 Beiträge: 125	Also von Zend hab ich gehört und es schon in aktion erlebt. Aber ich will das ganze ohne Zend machen weil manche Kunden auf dem Server dieses Plugin nicht drauf haben werden. Also ohne Zend muss das machbar sein! Klar könnte man einige wichtige Funktionen auslagern auf meinen Server aber is halt doof wegen Traffic. Und dann gäbe es da keine so wichtigen Funktionen die erstens immer benötigt werden und zweitens auch einfach so ausgetauscht werden können. Und dann wäre es wieder gecracked. Ich kann z.B. schlecht ne SQL oder Userauth Klasse auf meinem Server auslagern weil diese auf dem Kundenserver laufen müssen. Und andere Funktionen kann man aushebeln indem man diese einfach deaktiviert bzw. neu schreibt und ersetzt. Ein weiterer Sinn hinter einer XML Kommunikation zwischen der Website und meiner besteht darin das ich die Website auch Fernsteuern kann. Sollte ein Kunde z.B. nicht bezahlen kann man die Website zwangssperren. Das geht dann soweit bis man die Website pfändet. Aber das am Rande. Sinn und Zweck soll sein das ich auf einen Blick eine Übersicht habe ob irgendwo mein Quelltext geklaut wurde und illigal verwendet wurde. Ähnlich wie es Microsoft mit Windows macht bzw. machen sollte. Nur sollte das ganze so sicher sein das man das ohne "Zend" benutzen kann und gleichzeitig sogut wie nicht rausbekommt. Hat vielleicht jemand eine Idee, seit creativ!

23.02.2007, 16:00
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Les doch mal den Thread durch der vor kurzem gepostet wurde. Es gibt definitiv keine Lösung wenn du ohne zusätzlichen Plugins arbeiten möchtest. Und Klassen oder Funktionen von fremden Servern einzubinden bringt auch nichts da du die Klassen auslesen lassen kannst und den Skript so umscheriben kannst dass du die Klasse lokal verwenden kannst.