|
Zastita koda PHP aplikacije
Posto uskoro krecemo sa razvojem nase prve komercijalne aplikacije a da se nadovezem na temu koju sam sa Dinketom na skorasnjem okupljanju diskutovao, zanima me da li uopste vredi enkriptovati kod aplikacije i da li imate iskustva i neke preporuke?
Znam da nije tesko razbiti enkripciju pa me prvenstveno zanimaju vasa iskustva i misljenja o ovoj temi i da li vredi investirati u zastitu koda komercijalne aplikacije? Kapiram da ce ova diskusija koristiti i drugim timovima koji se odluce na razvoj komercijalne aplikacije. Samo da napomenem da se aplikacija instalira na serveru kupca. |
Po meni isplati ali sve zavisi na koje tržište ciljaš i šta radi aplikacija...
ja lično CMS ne bih dirao jer CMSova ima milion i ne bi mi bilo interesantno prepisivati nečiji CMS kad ih ima milion besplatnih i open source... Šta koristiti ? Imaš besplatne obfuskatore (jel se ovako piše) koji ispremeću imena promjenjivih i uklone praznine iz koda kao i komentare... dakle kod je čitljiv ali umjesto $korisnik imaš $324lj3l3lč3lj45_kjhkjhjhk pa ti radi sa tim šta hoćeš Dalje imaš enkodere koji ekodiraju kompletan kod: PHPShield - 75 USD i nudi samo opciiju enkodiranja SourceGuardian - 199USD je nadograđen PHPShield koji ima mogučnost licenciranja na osnovu hostname-a, ip adrese, mac adrese servera, datuma itd. IONCube - 199USD i više... ZendEncoder ili kako se već zove... Ja sam uzeo phpshield i napravio svoje folove za kontrolu mac adrese, ip adrese, vremena, broja korisnika itd.... |
Ovo nije CMS vec usko specijalizovana aplikacija koju ce koristiti web timovi.
Citat:
|
Imaj na umu da svi ti enkoderi zahtjevaju da uz aplikaciju isporučuješ i loader-e koji omogučavaju izvršavanje tako enkodiranih fajlova. Oni su besplatni i možeš ih preuzeti sa sajtova gdje kupiš softver. Tamo imaš i instrukcije kako se instališu. Preporuka je da se taj modul uključi u sam php.ini jer tako dobiješ bolje performanse.
Ako nemaš mogučnost da edituješ php.ini onda ih možeš spakovati u dir iznad enkodovanih fajlova i trebalo bi da radi... |
i imaj na umu da za te nekodere obicno imas neke kineze i japanezre koji dekodiraju cod-e nazad za 20$
|
Videcemo, jos uvek nismo doneli odluku o tome da li cemo zastiti kod ili ne. Voleo bih da cujem iskustva nekog ko vec ima aplikaciju.
|
Ha vidi, iskreno nisam ni jednu svoju aplikaciju enkodiro, ali sam se susreto sa takvim stvarima, radio sa takvim aplikacija, cak i dekodiro da napravim neke promjene.
Uglavnom to je stara fora, dobro uhodana. Sve radi kako treba, vecina shared hostinga podrzava par lodear-a (zend, cube) tako da mogu da pokrenu tvoj kod, bez problema. Opet, ako neko bas zajnu da ti ukrade code, za male pare na http://www.qinvent.com/cyrj/deZender/index-en.php to moze da uradi. A opet sa druge strane i to nekodiranje sa tvoje strane je jeftino pa i ako pomogne (a pomoce) nije losa investicija. |
Svestan sam toga da se moze dekodirati za male pare tako da me to ne brine. Jedini razlog zbog kog odugovlacim sa odlukom jeste sto ce u requirements stajati da je neki od loadera obavezan.
|
Ja sam koristio par aplikacija koje su aštićene sa IONCube. Sa korisničke strane je skroz idiot-friendly i nije bilo nigde problema.
Koliko je sigurno, ne znam... Dotične aplikacije nisam našao "razbijene" tako da kapiram da je ok zaštita. |
Još jedan glas za IonCube,
u onoj najjeftinijoj varijanti, a zaključavanje za domen sam radio u samoj aplikaciji. Što se tiče 'requirements', loader za ZendEncoder sam nalazio pre-instaliran na 80% hostinga, a za IonCube na 40% što i nije tako loše. Ostale loadere nisam nigde video. |
Nije bas sasvim tacno da mogu da se razbiju. Mogu one da se vrate u citljivi format, ali zbog obfuskacije promenjivih, ako je iole komplexna aplikacija u pitanju, taj kod je prakticno neupotrebljiv. Bilo kakva ozbiljna izmena zahteva jako mnogo posla da se shvati kako sta radi, sto celu operaciju cini vrlo neisplativom. U 99% slucajeva je klijentu lakse da plati tebi da mu to sredis, nego da se zeza sa dekripcijom..
|
Jest i onda ja imam posla sa ovih 1%, al taki je zivot :)
|
Aplikacije koje vrede toliko da im je potrebno zaštiti kod i onako će se vrteti na specijalno zaštićenim ili dedicated serverima gde administrator ima potpunu kontrolu nad serverom tako da problem sa serverskim dekoder ekstenzijama uglavnom i nije problem.
|
^ Ne znam odakle takav zaključak? Koliko to aplikacija treba da "vredi" da bi se neko odlučio da kupi enkoder od $200?!
|
x puta par dolara ?
|
| Vreme je GMT +2. Trenutno vreme je 00:01. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.