Zastita koda PHP aplikacije

[jasmanac]

Posto uskoro krecemo sa razvojem nase prve komercijalne aplikacije a da se nadovezem na temu koju sam sa Dinketom na skorasnjem okupljanju diskutovao, zanima me da li uopste vredi enkriptovati kod aplikacije i da li imate iskustva i neke preporuke?

Znam da nije tesko razbiti enkripciju pa me prvenstveno zanimaju vasa iskustva i misljenja o ovoj temi i da li vredi investirati u zastitu koda komercijalne aplikacije? Kapiram da ce ova diskusija koristiti i drugim timovima koji se odluce na razvoj komercijalne aplikacije.

Samo da napomenem da se aplikacija instalira na serveru kupca.

[mangia]

Po meni isplati ali sve zavisi na koje tržište ciljaš i šta radi aplikacija...

ja lično CMS ne bih dirao jer CMSova ima milion i ne bi mi bilo interesantno prepisivati nečiji CMS kad ih ima milion besplatnih i open source...

Šta koristiti ?

Imaš besplatne obfuskatore (jel se ovako piše) koji ispremeću imena promjenjivih i uklone praznine iz koda kao i komentare... dakle kod je čitljiv ali umjesto $korisnik imaš $324lj3l3lč3lj45_kjhkjhjhk pa ti radi sa tim šta hoćeš

Dalje imaš enkodere koji ekodiraju kompletan kod:

PHPShield - 75 USD i nudi samo opciiju enkodiranja
SourceGuardian - 199USD je nadograđen PHPShield koji ima mogučnost licenciranja na osnovu hostname-a, ip adrese, mac adrese servera, datuma itd.
IONCube - 199USD i više...
ZendEncoder ili kako se već zove...

Ja sam uzeo phpshield i napravio svoje folove za kontrolu mac adrese, ip adrese, vremena, broja korisnika itd....

[jasmanac]

Ovo nije CMS vec usko specijalizovana aplikacija koju ce koristiti web timovi.

Citat:

Originalno napisao mangia

SourceGuardian - 199USD je nadograđen PHPShield koji ima mogučnost licenciranja na osnovu hostname-a, ip adrese, mac adrese servera, datuma itd.

Ovo zvuci prilicno dobro. Vezivanje licenci za domen je odlicna ideja.

[mangia]

Imaj na umu da svi ti enkoderi zahtjevaju da uz aplikaciju isporučuješ i loader-e koji omogučavaju izvršavanje tako enkodiranih fajlova. Oni su besplatni i možeš ih preuzeti sa sajtova gdje kupiš softver. Tamo imaš i instrukcije kako se instališu. Preporuka je da se taj modul uključi u sam php.ini jer tako dobiješ bolje performanse.

Ako nemaš mogučnost da edituješ php.ini onda ih možeš spakovati u dir iznad enkodovanih fajlova i trebalo bi da radi...

[zidoo]

i imaj na umu da za te nekodere obicno imas neke kineze i japanezre koji dekodiraju cod-e nazad za 20$

[jasmanac]

Videcemo, jos uvek nismo doneli odluku o tome da li cemo zastiti kod ili ne. Voleo bih da cujem iskustva nekog ko vec ima aplikaciju.

[zidoo]

Ha vidi, iskreno nisam ni jednu svoju aplikaciju enkodiro, ali sam se susreto sa takvim stvarima, radio sa takvim aplikacija, cak i dekodiro da napravim neke promjene.

Uglavnom to je stara fora, dobro uhodana. Sve radi kako treba, vecina shared hostinga podrzava par lodear-a (zend, cube) tako da mogu da pokrenu tvoj kod, bez problema.

Opet, ako neko bas zajnu da ti ukrade code, za male pare na http://www.qinvent.com/cyrj/deZender/index-en.php to moze da uradi.

A opet sa druge strane i to nekodiranje sa tvoje strane je jeftino pa i ako pomogne (a pomoce) nije losa investicija.

[jasmanac]

Svestan sam toga da se moze dekodirati za male pare tako da me to ne brine. Jedini razlog zbog kog odugovlacim sa odlukom jeste sto ce u requirements stajati da je neki od loadera obavezan.

[pcigre]

Ja sam koristio par aplikacija koje su aštićene sa IONCube. Sa korisničke strane je skroz idiot-friendly i nije bilo nigde problema.

Koliko je sigurno, ne znam... Dotične aplikacije nisam našao "razbijene" tako da kapiram da je ok zaštita.

[Miroslav Ćurčić]

Još jedan glas za IonCube,
u onoj najjeftinijoj varijanti, a zaključavanje za domen sam radio u samoj aplikaciji.

Što se tiče 'requirements', loader za ZendEncoder sam nalazio pre-instaliran na 80% hostinga, a za IonCube na 40% što i nije tako loše. Ostale loadere nisam nigde video.