PHPLizenzer, gratis PHP-Lizenzsystem - Seite 7

Jim Martens · 29.04.2011, 16:10

Da PHP quelloffen ist, egal ob das Produkt kostenlos oder -pflichtig ist, fallen Hürden wie RE weg. Desweiteren kommt es nicht auf das System der Lizenzüberprüfung an, sondern darum, ob man es trotz Kenntnis des Systems nicht ohne die entsprechenden Werte umgehen kann.

Eine einfach Möglichkeit bietet dort eine redundante Modifikationszeitüberprüfung. Wenn der Nutzer eine Datei verändert hat sie ein neues Modifikationsdatum, damit funktioniert das Programm dann nicht mehr (wenn es entsprechend programmiert ist).

Dazu kommt, dass alle Systeme, die nicht auf fsockopen setzen zwangsläufig knackbar sind. Das Produkt ist nur bis zum ersten Nutzer sicher. Daher ist die Frage, ob der Nutzer durch einfache Weiterverteilung des Programmes plus seiner Freischaltungsdaten den illegalen Nutzern die Nutzung ermöglichen kann.

Eine Vermeidungsstrategie ist dort das Produkt selbst frei zur Verfügung zu stellen, da damit ein wesentlicher Punkt (Raubkopien) gar nicht mehr zum Tragen kommt. Also kommt es dann nur noch auf die Nutzung an. Einfache Nutzer können somit überlistet werden. Erfahrene Hacker jedoch nicht. Jedwede Überprüfung auf Freischaltung kann irgendwie umgangen werden. Die Möglichkeit zu überprüfen, ohne Zugang zum Webspace zu haben, ob die genutzte Version eines Programms illegal ist (gecrackt), lässt sich nur durch sehr verschleierte Hinweise im Programmoutput realisieren. Zum Beispiel die Angabe des Sha1-Hashs aller mitgelieferten Dateien zusammen. Den kann man als Anbieter der Software mit dem eigenen erstellten vergleichen und somit erkennen, ob die Software verändert wurde.

Manko10 · 29.04.2011, 16:32

Leute ist gut, der Thread ist tot, das Vorhaben sowieso.

marcusson · 29.04.2011, 17:09

Abgesehen davon das meine Software Open-Source und Lizenzüberwachung für mich kein Thema ist:
Ein Lizenzsystem welches auch funktioniert ist nicht zwangsläufig kompliziert.

Aber: statt veraltete Lizenzsysteme nachzuahmen, die schon Offline nie richtig funktioniert haben, sollte man Lizenzmodelle wählen, die auch zur Onlinewelt passen.
Solange man eine Lizenz wählt, die nicht grundsätzlich Nutzungsrechte oder Kopien, sondern Support oder Updates verkauft funktioniert das gut. Auch sollte man nicht die Anzahl der parallelen Installationen, sondern die Zahl der Verbindungsversuche zum Server limitieren. In gewisser Weise funktionieren Konzepte wie der Apple-AppStore ähnlich, wobei deren Lizenzmodell von einer geschlossenen Plattform ausgeht.

Technisch ganz leicht: der Kunde erhält zuerst nur das Installationsprogramm. Bei der Installation oder Updates lädt dieses vom Server den echten Quellcode nach und registriert die Software. Ob man wie bei Apple für verschiedene Updates unterschiedlich viel oder pro Verbindung pauschal zahlt, hängt von der Implementierung ab. Für die Nutzung der Software braucht man den Server danach nicht mehr. Aber: immer wenn der Kunde wieder neue Software ziehen möchte, muss er diese erneut vom Server anfordern und sich dabei mit seiner Lizenz authentifizieren.

Da sämtlicher Code zur Überwachung der Lizenzen auf dem fremden Server liegt, kann man ihn auch nicht manipulieren.

Sind die Bedingungen der Lizenz so gestaltet, dass sie sich bei Gebrauch "abnutzt", gibt es keinen Anreiz den Auth-Schlüssel zu kopieren. Das Verbindungslimit kann man ja so wählen, dass ein einzelner Kunde nie in Probleme kommt, drei oder vier gleichzeitige Nutzer hingegen schon.

Es sollte dabei klar sein, dass man jedes technische System immer umgehen kann. Es geht also nicht um absolute Sicherheit, sondern um das Erschweren eines absichtlichen, massenhaften Lizenzbruches, OHNE echte Kunden irgendwie zu belästigen, zu bespitzeln oder Funktionalität bzw. Geschwindigkeit der Software einzuschränken. Das heißt: man nimmt wissentlich in Kauf, dass einzelne Personen die Lizenz mit einigem Aufwand umgehen können.

Fazit: die Wahl der richtigen Lizenz ist besser als eine unpassende Lizenz anschließend mit komplizierter Technik verteidigen zu wollen.

Weil ich aber meine Software sowieso immer als Open-Source herausgebe, habe ich das Problem natürlich grundsätzlich nicht.

@Manko10 sorry, ich habe deinen Text zu spät gesehen.

Flor1an · 29.04.2011, 19:37

Deine Idee lässt sich aber noch einfacher umgehen als wenn irgendwo im Code ne Prüfung drin steht. Bei dir lässt sich nämlich der Code der vom Lizenzserver geladen wurde einfach kopieren und dann beliebig oft und überall installieren. Da muss man noch nicht man im PHP Code suchen wo denn die Prüfroutine ist und diese deaktivieren ...

Wolla · 29.04.2011, 20:22

PHP-Code:

  if (wahnsinnigkompliziertepruefung() == false) {
  die ('unberechtigter Zugriff');
}

===>

PHP-Code:

  if (wahnsinnigkompliziertepruefung() == false) {
  // die ('unberechtigter Zugriff');
}

splasch · 29.04.2011, 20:31

Dieser Prüfwahn ist komplett sinlos. Stell das ganze unter einer vernüftigen Lizens und verkauf pro Domain 1 Lizens oder inhaber wenn du mehre parralle Versionen erlaubst.

Bau ein Update script ein. Danach brauchst du nur mehr Protokollieren von wo aus ein Update angefordert wurde. So sieht du gleich wenn sich jemand meldet der keine Lizens beantragt hat.

Danach kannst du ihn anschreiben oder eben Rechtlich schritte einleiten.
Wer also das ohne Lizens länger öffentlich betreibt wird nicht lange glücklich drüber sein.
(Oft reicht auch schon mal eine Google suche aus) Den schließlich wollen sie ja alle gefunden werden und ganz vorne stehen. Den sonst bräuchte Er/Sie das script ja garnicht.

Mfg.

marcusson · 30.04.2011, 17:10

@Flor1an vielleicht hast du meinen Post nicht komplett gelesen. Dein Argument passt jedenfalls nicht.

Dass der Verkauf von Nutzungslizenzen nicht funktioniert, darüber sind wir uns doch längst einig.
Es geht mir eben gerade NICHT darum, ein falsches Lizenzmodell durch einen Kopierschutz zu verteidigen, sondern von Anfang an eine bessere Lizenz zu wählen.

Daher mein Vorschlag: anstatt zu versuchen die Software zu verkaufen, verkaufe deine Distributionsleistung und den Support. Beides kannst du leichter kontrollieren.

Das Kopieren des Quellcodes habe ich ausdrücklich erlaubt. Die Lizenz erlaubt den Zugang zum Update-Server. Ich nehme in Kauf, dass der Code auch von Hand kopiert wird. Weil ich behaupte, dass eine ausreichend große Minderheit trotzdem den (bequemeren) Server nutzen wird. Auch lässt sich dies mit anderen Einnahmequellen, wie Spenden, Werbung und Folgeverträgen kombinieren.

---

Beispiel: Eine Jahreslizenz erlaubt eine bestimmte Anzahl Aufrufe des Update-Servers. Kopieren ist zwar erlaubt. Coole neue Apps und kostenlose Add-Ons kriegst du aber am einfachsten vom Update-Server. Von den Einnahmen gebe ich anderen Entwicklern, die Patches oder Apps bei mir einstellen, etwas ab. Voila: Geld in der Tasche ohne Kopierschutz.

Man kann es auch noch anders gestalten: das optimale Modell hängt vom persönlichen Produktportfolio ab. Wenn man sich erst einmal informiert, mangelt es nicht an Vorschlägen.

---

@Splasch grundsätzlich klappt das. Ich habe es eine Zeit lang probiert aber konnte die Lizenz in der Praxis ohne Anwalt nicht durchsetzen, da die Zahlungsmoral der angeschriebenen Kunden zu schlecht war. Weil ich den Weg über Abmahnungen und Gerichte aber nicht gehen wollte, habe ich das Lizenzmodell wieder verworfen. Ich kann nur jedem empfehlen dieses Modell nicht zu verwenden.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Suche Referenzprojekte (klein), gratis		Beitragsarchiv	1	11.01.2005 18:02
PHP Crack gesucht Gratis Aufenthalt in allen Camps.		Beitragsarchiv	3	19.10.2004 09:26
gratis Datenbank im Web		Beitragsarchiv	3	07.10.2004 15:31

29.04.2011, 16:10
Jim Martens Benutzer Registriert seit: 11.10.2010 Beiträge: 63 PHP-Kenntnisse: Anfänger	Da PHP quelloffen ist, egal ob das Produkt kostenlos oder -pflichtig ist, fallen Hürden wie RE weg. Desweiteren kommt es nicht auf das System der Lizenzüberprüfung an, sondern darum, ob man es trotz Kenntnis des Systems nicht ohne die entsprechenden Werte umgehen kann. Eine einfach Möglichkeit bietet dort eine redundante Modifikationszeitüberprüfung. Wenn der Nutzer eine Datei verändert hat sie ein neues Modifikationsdatum, damit funktioniert das Programm dann nicht mehr (wenn es entsprechend programmiert ist). Dazu kommt, dass alle Systeme, die nicht auf fsockopen setzen zwangsläufig knackbar sind. Das Produkt ist nur bis zum ersten Nutzer sicher. Daher ist die Frage, ob der Nutzer durch einfache Weiterverteilung des Programmes plus seiner Freischaltungsdaten den illegalen Nutzern die Nutzung ermöglichen kann. Eine Vermeidungsstrategie ist dort das Produkt selbst frei zur Verfügung zu stellen, da damit ein wesentlicher Punkt (Raubkopien) gar nicht mehr zum Tragen kommt. Also kommt es dann nur noch auf die Nutzung an. Einfache Nutzer können somit überlistet werden. Erfahrene Hacker jedoch nicht. Jedwede Überprüfung auf Freischaltung kann irgendwie umgangen werden. Die Möglichkeit zu überprüfen, ohne Zugang zum Webspace zu haben, ob die genutzte Version eines Programms illegal ist (gecrackt), lässt sich nur durch sehr verschleierte Hinweise im Programmoutput realisieren. Zum Beispiel die Angabe des Sha1-Hashs aller mitgelieferten Dateien zusammen. Den kann man als Anbieter der Software mit dem eigenen erstellten vergleichen und somit erkennen, ob die Software verändert wurde. __________________ Mit freundlichen Grüßen Jim Martens


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

29.04.2011, 16:32
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.709 PHP-Kenntnisse: Fortgeschritten	Leute ist gut, der Thread ist tot, das Vorhaben sowieso. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

29.04.2011, 17:09
marcusson Erfahrener Benutzer Registriert seit: 17.02.2006 Beiträge: 132 PHP-Kenntnisse: Fortgeschritten	Abgesehen davon das meine Software Open-Source und Lizenzüberwachung für mich kein Thema ist: Ein Lizenzsystem welches auch funktioniert ist nicht zwangsläufig kompliziert. Aber: statt veraltete Lizenzsysteme nachzuahmen, die schon Offline nie richtig funktioniert haben, sollte man Lizenzmodelle wählen, die auch zur Onlinewelt passen. Solange man eine Lizenz wählt, die nicht grundsätzlich Nutzungsrechte oder Kopien, sondern Support oder Updates verkauft funktioniert das gut. Auch sollte man nicht die Anzahl der parallelen Installationen, sondern die Zahl der Verbindungsversuche zum Server limitieren. In gewisser Weise funktionieren Konzepte wie der Apple-AppStore ähnlich, wobei deren Lizenzmodell von einer geschlossenen Plattform ausgeht. Technisch ganz leicht: der Kunde erhält zuerst nur das Installationsprogramm. Bei der Installation oder Updates lädt dieses vom Server den echten Quellcode nach und registriert die Software. Ob man wie bei Apple für verschiedene Updates unterschiedlich viel oder pro Verbindung pauschal zahlt, hängt von der Implementierung ab. Für die Nutzung der Software braucht man den Server danach nicht mehr. Aber: immer wenn der Kunde wieder neue Software ziehen möchte, muss er diese erneut vom Server anfordern und sich dabei mit seiner Lizenz authentifizieren. Da sämtlicher Code zur Überwachung der Lizenzen auf dem fremden Server liegt, kann man ihn auch nicht manipulieren. Sind die Bedingungen der Lizenz so gestaltet, dass sie sich bei Gebrauch "abnutzt", gibt es keinen Anreiz den Auth-Schlüssel zu kopieren. Das Verbindungslimit kann man ja so wählen, dass ein einzelner Kunde nie in Probleme kommt, drei oder vier gleichzeitige Nutzer hingegen schon. Es sollte dabei klar sein, dass man jedes technische System immer umgehen kann. Es geht also nicht um absolute Sicherheit, sondern um das Erschweren eines absichtlichen, massenhaften Lizenzbruches, OHNE echte Kunden irgendwie zu belästigen, zu bespitzeln oder Funktionalität bzw. Geschwindigkeit der Software einzuschränken. Das heißt: man nimmt wissentlich in Kauf, dass einzelne Personen die Lizenz mit einigem Aufwand umgehen können. Fazit: die Wahl der richtigen Lizenz ist besser als eine unpassende Lizenz anschließend mit komplizierter Technik verteidigen zu wollen. Weil ich aber meine Software sowieso immer als Open-Source herausgebe, habe ich das Problem natürlich grundsätzlich nicht. @Manko10 sorry, ich habe deinen Text zu spät gesehen.

29.04.2011, 19:37
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Deine Idee lässt sich aber noch einfacher umgehen als wenn irgendwo im Code ne Prüfung drin steht. Bei dir lässt sich nämlich der Code der vom Lizenzserver geladen wurde einfach kopieren und dann beliebig oft und überall installieren. Da muss man noch nicht man im PHP Code suchen wo denn die Prüfroutine ist und diese deaktivieren ...

29.04.2011, 20:22
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	PHP-Code: `if (wahnsinnigkompliziertepruefung() == false) { die ('unberechtigter Zugriff'); }` ===> PHP-Code: `if (wahnsinnigkompliziertepruefung() == false) { // die ('unberechtigter Zugriff'); }` __________________ Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn?

29.04.2011, 20:31
splasch Erfahrener Benutzer Registriert seit: 05.01.2009 Beiträge: 474 PHP-Kenntnisse: Fortgeschritten	Dieser Prüfwahn ist komplett sinlos. Stell das ganze unter einer vernüftigen Lizens und verkauf pro Domain 1 Lizens oder inhaber wenn du mehre parralle Versionen erlaubst. Bau ein Update script ein. Danach brauchst du nur mehr Protokollieren von wo aus ein Update angefordert wurde. So sieht du gleich wenn sich jemand meldet der keine Lizens beantragt hat. Danach kannst du ihn anschreiben oder eben Rechtlich schritte einleiten. Wer also das ohne Lizens länger öffentlich betreibt wird nicht lange glücklich drüber sein. (Oft reicht auch schon mal eine Google suche aus) Den schließlich wollen sie ja alle gefunden werden und ganz vorne stehen. Den sonst bräuchte Er/Sie das script ja garnicht. Mfg.

30.04.2011, 17:10
marcusson Erfahrener Benutzer Registriert seit: 17.02.2006 Beiträge: 132 PHP-Kenntnisse: Fortgeschritten	@Flor1an vielleicht hast du meinen Post nicht komplett gelesen. Dein Argument passt jedenfalls nicht. Dass der Verkauf von Nutzungslizenzen nicht funktioniert, darüber sind wir uns doch längst einig. Es geht mir eben gerade NICHT darum, ein falsches Lizenzmodell durch einen Kopierschutz zu verteidigen, sondern von Anfang an eine bessere Lizenz zu wählen. Daher mein Vorschlag: anstatt zu versuchen die Software zu verkaufen, verkaufe deine Distributionsleistung und den Support. Beides kannst du leichter kontrollieren. Das Kopieren des Quellcodes habe ich ausdrücklich erlaubt. Die Lizenz erlaubt den Zugang zum Update-Server. Ich nehme in Kauf, dass der Code auch von Hand kopiert wird. Weil ich behaupte, dass eine ausreichend große Minderheit trotzdem den (bequemeren) Server nutzen wird. Auch lässt sich dies mit anderen Einnahmequellen, wie Spenden, Werbung und Folgeverträgen kombinieren. --- Beispiel: Eine Jahreslizenz erlaubt eine bestimmte Anzahl Aufrufe des Update-Servers. Kopieren ist zwar erlaubt. Coole neue Apps und kostenlose Add-Ons kriegst du aber am einfachsten vom Update-Server. Von den Einnahmen gebe ich anderen Entwicklern, die Patches oder Apps bei mir einstellen, etwas ab. Voila: Geld in der Tasche ohne Kopierschutz. Man kann es auch noch anders gestalten: das optimale Modell hängt vom persönlichen Produktportfolio ab. Wenn man sich erst einmal informiert, mangelt es nicht an Vorschlägen. --- @Splasch grundsätzlich klappt das. Ich habe es eine Zeit lang probiert aber konnte die Lizenz in der Praxis ohne Anwalt nicht durchsetzen, da die Zahlungsmoral der angeschriebenen Kunden zu schlecht war. Weil ich den Weg über Abmahnungen und Gerichte aber nicht gehen wollte, habe ich das Lizenzmodell wieder verworfen. Ich kann nur jedem empfehlen dieses Modell nicht zu verwenden.