Bekijk Volledige Versie : Verkoop eigen control panel: beveiliging?
Ik heb een vraag.
Hoe kan je een eigen gemaakte control panel beveiligen?
Stel iemand wil zo'n zelf gemaakte control panel verkopen. Hoe voorkomt hij dat het illegaal verspreidt wordt? (Hoe kan hij de source verbergen?)
Je zou een de control panel naar een server laten connecten om het dan te laten werken. Maar die control panels zijn meestal gemaakt met vooral php. Dan kan de koper toch zelf die check verwijderen of gewoon sourcecodes kopieren.
Hoe beveilig je zoiets?
Je zou ook serial codes uit kunnen geven die gecheckt worden op een server van jou.
OF encoden met ioncube encoder (in geval van PHP) dan kan je het als ik het goed heb ook limiteren tot werking op een bepaald ip. IIG dus encoden, dan kan je zelf een ip check bouwen :).
PHP encoden :D
Ik wist niet dat zoiets bestond :)
Thanks!
PHP met Zend optimizer???
Beetle wat bedoel je precies? Met Zend Optimizer kan je in elk geval je source niet beschermen, kan wel met Zend Encoder.
plugintools
08/05/03, 22:14
Je kan geloof ik met Zend Encoder je scripts beveiligen, alleen is het dan wel nodig om op de server waar je script gaat draaien ook een Zend Decoding programma te draaien (correct me if I am wrong :D)
Plugintools wat je zegt klopt helemaal. De decoder zit bij Zend Optimizer en is gratis. Je kan naar mijn idee beter IonCube gebruiken aangezien het goedkoper is en je hoeft geen dingen in de server te bakken dus is het geheel ook te gebruiken voor mensen die niet zelf de server kunnen / willen administraten. Handig voor bijvoorbeeld commerciele PHP scripts.
plugintools
08/05/03, 22:28
Ik ben het pas ergens tegengekomen, een dergelijk geval. Ik kan er alleen absoluut niet meer opkomen waar dat nou was :(
Misschien op WHT.com, wie weet kan je daar op Encoder/Encoding zoeken (en natuurlijk terug komen naar WHT.nl om het hier te bespreken ;))
PHP scripts encrypted met IonCube zijn makkelijk te decrypten dus dan weet je dat. Ik kan hier natuurlijk niet verder op in gaan wegens het illegale aspect. ;)
Plugintools bedoel je Sourceguardian? http://www.sourceguardian.com
Origineel geplaatst door plugintools
Je kan geloof ik met Zend Encoder je scripts beveiligen, alleen is het dan wel nodig om op de server waar je script gaat draaien ook een Zend Decoding programma te draaien (correct me if I am wrong :D)
Oh wat heb ik een hekel aan Zend (optimizer) gekregen nadat ik te horen kreeg dat ze andere geinstalleerde software (phpaccelerator) saboteren. Dit omdat phpaccelerator gratis is en het vergelijkbare Zend Accelerator een vermogen kost en ze willen bij Zend toch nog wat verdienen (how Microsoft like). Ter informatie kan ik nog vertellen dat Yahoo! gebruik maakt van phpaccelerator maar dat even terzijde...
OK???
Dus??? IonCube niet, en Sourceguardion ook niet?
Wat wel? :D
(Misschien verplaatsen naar Scripts en beveiliging forum)
PHP scripts encrypted met IonCube zijn makkelijk te decrypten dus dan weet je dat. Ik kan hier natuurlijk niet verder op in gaan wegens het illegale aspect.
Graag referenties dit is enkel geblaat IMO. Dus graag bronnen waaruit dit blijkt.
Origineel geplaatst door Deimos
Graag referenties dit is enkel geblaat IMO. Dus graag bronnen waaruit dit blijkt.
Tja, ik kan wel een paar namen noemen van personen die het kunnen maar dat zegt mensen hier toch niet zoveel en ik wil er hier ook echt niet over praten maar geloof me dat het allemaal allang gekraakt is.
Voorbeeldje ->
PHP 4.3.1 Anti-Ixed !
This is a recompiled version of the PHP 4.3.1 php4ts.dll that I have called the "CENSUUR" Basically, all you do with it is replace your existing dll with this one temporarily and rename the <? or <?php with <?CENSUUR in ANY script that is encrypted "ixed" with Source Guardian (www.sourceguardian.com). You then call the encrypted script in your web browser and then view the source of the web page to get the full unencrypted php source code.
Reverse enginering noemen ze dit. ;)
Dat sourcegardien niet veilig was dat wist ik al, doelde echter meer op IonCube. Voor zover ik weet is dat nog niemand gelukt.
Origineel geplaatst door Deimos
Dat sourcegardien niet veilig was dat wist ik al, doelde echter meer op IonCube. Voor zover ik weet is dat nog niemand gelukt.
Zoals ik al zei is dat al gebeurd. Duurt inderdaad iets langer maar ook dat is dus geen probleem meer.
Waar is daar een bron van? Want met google vind ik daar niets over.
Daar zal je ook niets over vinden in google. ;)
OKOKOK...
Wat is dan het veiligst?
Nog andere ideeën?
Origineel geplaatst door Domenico
Daar zal je ook niets over vinden in google. ;) Ja maar zonder bron is dergelijke uitspraak natuurlijk volkomen nutteloos en sla ik dan ook gewoon in de wind. Immers kan je hier niets mee. Is het zelfde als op straat schreeuwen ik ben superman.
Nou dat zal best, maar wle graag met bewijs dan.
Origineel geplaatst door Deimos
Ja maar zonder bron is dergelijke uitspraak natuurlijk volkomen nutteloos en sla ik dan ook gewoon in de wind. Immers kan je hier niets mee. Is het zelfde als op straat schreeuwen ik ben superman.
Nou dat zal best, maar wle graag met bewijs dan.
Deimos, je zou beter moeten weten. Ok, je hebt geen bewijs dus het is niet zo volgens jou maar hacks die bekend worden gemaakt en waarvoor bewijs wordt geleverd bestaan ook pas sinds het publiceren van dat bewijs? De meeste hacks bestaan al maanden en soms zelfs al jaren net zoals er op dit moment exploits zijn waar weinigen van weten waar ik wel een bewijs van heb (met eigen ogen gezien) en jij nog niet.
Je kop in het zand steken is ook een taktiek natuurlijk. ;)
Zal je wel een bestand geven dat gecodeerd is, ben benieuws hoelang het duurt alvorens het is gedecodeerd :)
Origineel geplaatst door Deimos
Succes :) Ben benieuwd.
Ik beloof niets aangzeien ik hier nu helemaal geen tijd voor heb maar als het gebeurt is dan hoor jij het als eerste. :)
Nu weer ontopic...
Waarom geen Zend Encoder?
Hun nieuwe plan dat kost 'maar' 300 euro.
Een kleine inverstering voor een goed lopend ICT bedrijf toch?
Ik kom hier niet vaak.. ben eigelijk net echt actief hier op het forum dus heb een boel verse input voor jullie allen.
Bovenstaande is redelijk eenvoudig te doen. Hier wat basis regels;
1 - Scheid developer commentaar/documentatie van de source code, dus ook commentaar van prototypes. Simpelweg een filter over de scripts heenhalen alvorens je een release geeft om alle non-code informatie te verwijderen. Geen docs betekent al gauw een veelvoud aan werk.. ofwel duur. (Sucess rating 20%)
2 - Scheid enkele (hot) functions van normale functies. Plaatst deze speciale (hot) 'features' in een local script en voer dit uit based op credit/account gegevens. Geef simpelweg de data terug via een echo"" naar de BODY van de html page. (Werkt bijna waterdicht)
3 - Optie 2 tesamen met een lidmaatschap voor extra functies.
4 - Bied (betaalbare) ondersteuning bij customizing van het panel naar wensen van de klant.
Dit soort regels zorgt dat je de teugels voor een groot deel zelf in de hand houd.