|
[php] Zatvaranje koda ili ne?
Temu postavljam ovde jer me zanima vaše mišljenje o tome kako bi se zatvaranje koda odrazilo na popularnost softvera. Ako neko zna adekvatniji forum, molim ga da je prebaci tamo.
Imam komercijalnu PHP aplikaciju koja je otvorenog koda i bez ikakvih "call-home" stvarčica, koja se, eto, našla na warez-bb.org (i ono da "si uspeo kad te neko krekuje" uopšte nije tačno :)) Pošto je procurela, kontam da mogu da se "oprostim" od te verzije iako sam nekolicini hosting sajtova prijavio abuse i oni su obrisali fajl (ali ko zna koliko ljudi je to do sad skinulo i ko zna gde se sve to sad share-uje). Na svu sreću, u izradi je nova verzija koja će, verujem, svojim mogućnostima "počistiti" verziju koja je procurela. E sad, da se ne bi isto desilo kao sa prethodnom verzijom, razmišljao sam o par "zaštita": 1) Ubaciti call-home funkciju koja na mom serveru proverava da li je serveru na kom se vrti skripta (što je moguće lažirati, ali malo teže [bar se nadam] na shared hostingu) dozvoljeno da pokreće skriptu. 2) Koristiti ZendGuard ili IonCube i enkodovati PHP stranice (ili barem neke "ključne" stranice pa uz to koristiti i rešenje br. 1) 3) Koristiti neki software za tzv. činjenje koda nečitljivim (obsfucation), a onda koristiti i rešenje br. 1 E sad, ono što mene brine kod rešenja br. 2 (pored visoke cene Zend Guard-a :)) je to što dosta servera nema instaliran Zend Optimizer pa bismo izgubili dosta mušterija koji na serveru nemaju ZO. Obsfukacija (kako se to uopšte zove na srpskom?) nije neka zaštita, ali je opet teže null-ovati takvu skriptu od one koja je napisana "čitljivim PHPom". Šta vi mislite o ovome? Prvenstveno me zanima mišljenje ljudi koji takođe imaju komercijalne LAMP aplikacije (khm, Ilija? :)) Naravno, nema podrške za one koji nisu platili softver, ali voleo bih još nekako da zaštitim aplikaciju. Kako to rade velike firme kao npr. Jelsoft Enterprises (vBulletin)? p.s. Imamo otvorenu firmu (u Crnoj Gori), ako nešto znači. |
U CG, lijepo :) Kako se zove firma, gdje joj je sjediste? Kakva je aplikacija u pitanju, moze li se znati?
|
Firma je tek otvorena (pre nedelju-dve), zove se Webinsane DOO, i nalazi se u Herceg Novom, ako sam ja dobro upoznat :)
U pitanju je (ne tako) običan CMS. |
Ne vjerujem da bi oni koji su spremni da (online) koriste krekovan cms bili spremni i da ga plate kad kreka nebi bilo.
Bolje ulozite to vrijeme u dalji razvoj proizvoda i reputacije. |
Licno, verovatno bih izabrao ioncube kao resenje, obzirom da se dekoder moze koristiti i kroz run-time http://www.ioncube.com/loader_installation.php ukoliko vec postoji sumnja u podrsku za Zend Optimizer na serverima.
|
Moras ponuditi obe verzije za download: i Ioncube i Zend. (Zend jeste skup, ali bi trebao da se otplati.) Takodje, vazni fajlovi u kojima su bitne (esencijalne) funkcije i i provera licence treba da su enkodirani, ostalo mozes slobodno da ostavis source, da ljudi mogu da menjaju.
Sto se tice licence, tvoj sajt to mora da radi, i to samo prilikom instalacije/apdejtera. Korisnik mora na prvom koraku da unese serijal, i to se onda salje tvom sajtu. Tvoj sajt proveri u tvojoj bazi i sutne ga nazad na njegov sajt da nastavi. Saljes hash-ove za proveru, tako da ako neko i provali, izbacis novu verziju sa drukcijim hashom, i miran si. Provereno radi metoda sirom sveta, na X razlicitih servera/konfiguracija, sve fercera besprekorno. ;-) P.S. Mislim da i Ilija tako nesto koristi (bar neke elemente). |
call-home f-ju stavi da koristi IP, a ne domen, onda je vrlo tesko zeznuti je na shared hostinzima... ja bih ti preporucio zend, ali defintivno iskljucivo za zastitu par kljucnih funkcija (koje proveravaju licencu i odrade osnovnu inicijalizaciju) jer moras da pazis da mnogo ljudi koji kupuje software ima potrebu za in-house kastomizacijom, znaci treba im source, zato i kupuju bas taj, ane neki drugi...
|
ivanhoe ti je rekao isto, s tim sto se ja ne bih slozio sa delom oko IP adrese; time direktno ogranicavas ljude na shared hostingu (osim ako je neka bas bitna, "dedicated needed" app), ako jedan podigne, ostali su vo-zdra... :-(
proveravas server name, ne ip adresu. ako ima www. prefix, pokusas i bez njega (u suprotnom dodajes), i dozvolis +1 instalaciju (za test install). i to bi bilo to.... nema "call home" funkcije, nego installer/updater radi form post na tvoj server (i gura svoj url i uneti serial), a tvoj server proveri, loguje, i ako je sve ok, vraca nazad. i sve ce da ti radi i miran si... ;-) |
Ako nema (povremene) call-home funkcije, ne mozes se zastiti od piratizovanja jednom instalirane aplikacije, u slucaju PHP-a prilicno je lako spakovati kod i bazu takve aplikacije i to distribuirati.
Inace, slazem se za enkoding, uglavnom ce jedan kljucni fajl biti dovoljan, ostalo moze da ide otvoreno. |
Ako ekodiraš jedan fajl i ostatak guraš kao otvoren kod, šta sprečava nekog iskusnijeg da iz ostatka koda jednostavno izbaci potrebu za tim jednim fajlom. Lako može da vidi koje su funkcije definisane u međuvremenu, koje konstante, promenljive i da naknadno vidi gde se i kako šta koristi...
Jedan ovakav hakeraj - 3h posla... Osim ako ne enkodujete gomilu sistemskih funkcija koje ionako klijenti neće gledati. |
| Vreme je GMT +2. Trenutno vreme je 14:32. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.