PHP Code schützen

[Sancheck]

Hallo,
angenommen: Ich habe ein projekt in PHP um 80.000€ verkauft. Das System soll auf dem Server des Kunden installiert werden.

Jetzt sollen 2 Sachen geschützt werden:
1. Das es nicht auf einem 2. Server installiert wird
2. Dass der Code manipuliert wird


Jetzt ist PHP eine Skriptingsprache,wie schützt man das?

Grüsse,

 

[Klabund]

Hi,

das ist doch ein klassischer Fall für Zend > http://www.zend.com/de/
Das schützt nun nicht davor, die Dateien einfach woanders noch mal rauf zu laden, jedoch nehme ich mal an, die die Script-Einstellungen in einer config.php o.ä. hinterlegt, die ja ebenfalls gecrypted wird, und somit ist das Script auf keinem anderen Server zu gebrauchen.

 

[Sancheck]

Ja, hab mir gedacht, ich binds an eine domain, die ich einfach hardcodiere,...

Das hier oder:
http://shop.zend.com/de/zend-guard-annual.html?src=greybox

Hast du das schonmal vewendet? Kann man auch Teile unverschlüsselt lassen?

 

[Klabund]

Ja, das meinte ich.
Ich kenne das nur, weil ich selbst einige Scripte gekauft habe, die mit Zend verschlüsselt waren. Und da waren auch immer Teile dazwischen, die man anpassen konnte.

 

[nippo]

Jedoch lässt sich Zend, Ioncube und wie der ganze sonstige Kram auch heißen mag => entschlüsseln.
Somit hast du auch dabei keine Sicherheit.

 

[Sascha Ahlers]

Die beste Sicherheit dabei ist immer den Code/das Programm nicht raus rücken.

 

[PH]

in zwei Teile trennnen.

ein Teil läuft verschlüsselt beim Kunden, den anderen Teil lädt sich der Kundenserver bei jeder Ausführung bei Dir runter (auch verschlüsselt).

 

[Sancheck]

QUOTE (Sascha Ahlers @ Sa 7.07.2012, 01:37) Die beste Sicherheit dabei ist immer den Code/das Programm nicht raus rücken.

Ja das ist richtig. Das geht aber in diesem Fall aus juristischen Gründen nicht.

 

[Sancheck]

QUOTE (PH @ Sa 7.07.2012, 08:44) in zwei Teile trennnen.

ein Teil läuft verschlüsselt beim Kunden, den anderen Teil lädt sich der Kundenserver bei jeder Ausführung bei Dir runter (auch verschlüsselt).

Gute Idee, muss mal drüber nachdenken, wie man das splitten könnte,... es muss jedenfalls ein Teil 100% auf dem Kundensystem sein.

 

[Klabund]

Dann müsste man aber auch dafür sorgen, das der Code auf meinem Server lebenslang da bleibt, sich der Pfad/URL nicht ändert usw., was ist bei Serverproblemen usw.
Wäre für mich ein zu hohes Risiko und vor allem eine lange Verantwortung, so viel kann man mit dem Script gar nicht verdienen.

 

[Sascha Ahlers]

QUOTE (Sancheck @ Sa 7.07.2012, 08:50)
QUOTE (PH @ Sa 7.07.2012, 08:44) in zwei Teile trennnen.

ein Teil läuft verschlüsselt beim Kunden, den anderen Teil lädt sich der Kundenserver bei jeder Ausführung bei Dir runter (auch verschlüsselt).

Gute Idee, muss mal drüber nachdenken, wie man das splitten könnte,... es muss jedenfalls ein Teil 100% auf dem Kundensystem sein.

Das würde höchstens zur Unsicherheit der Bereitstellung der Applikation führen, aber einen wirklichen Schutz sehe ich da nicht wirklich, außer wenn dies mittels SOAP geschieht, nur wenn ein SaaS juristisch nicht durchführbar ist, ist vermutlich auch dieses Konstrukt genau so davon betroffen.

 

[PH]

QUOTE (Klabund @ Sa 7.07.2012, 11:29) Dann müsste man aber auch dafür sorgen, das der Code auf meinem Server lebenslang da bleibt, sich der Pfad/URL nicht ändert usw., was ist bei Serverproblemen usw.
Wäre für mich ein zu hohes Risiko und vor allem eine lange Verantwortung, so viel kann man mit dem Script gar nicht verdienen.

also bitte, laut Sancheck handelt es sich immerhin um 80.000 EUR.

klar ist alles knackbar...

aber es könnten Teile verschlüsselt auf einem anderen Server liegen, oder es könnte ein 1024 bit Schlüssel angefordert werden müssen, oder oder oder... viele Möglichkeiten.

ich setze manchmal verschlüsselten JS code mit domain-lock ein. vielleichtlässt sich ja was ähnliches machen.
Eine andere möglichkeit wäre, bei jeder Ausführung eine "Lizenzprüfung" über das Internet (zu Sancheck's Server) zu machen, sozusagen als Kopierschutz. Falls Anfragen von unbekannten IPs kommen, kann der Server der Software sagen, den Dienst zu verweigern.

 

[Sancheck]

Hallo,
ja es geht um einen solchen Betrag. Ich bekomm monatl. auch noch etwas , d.h. ich kann durchaus ein Lizenzierungsserverskript etc. betreiben, falls es derartiges gibt.

Ja, aber so einen Lizenzserver muss es ja fertig geben oder? Ist doch ein Standardproblem, kann man ja auch redundant machen mit 2 Lizenzservern auf verschiedenen Systemen etc.

 

[Sancheck]

Kennt jemand http://www.ioncube.com/?

 

[PH]

QUOTE (Sancheck @ So 8.07.2012, 20:48) Kennt jemand http://www.ioncube.com/?

nur insofern dass es mich am anschauen von Code gehindert hat - ist also wahrscheinlich effektiv.

 

[Michael Bieri]

Schau dir mal sourceguardian an - das bietet beim verschlüsseln diverse Optionen wie beschränkte Laufzeit - oder eben das binden an eine fixe Domain:
Guck Screenshots

Vom Konzept her vergleichbar mit Ioncube - aber eben mit mehr Optionen/Limitierungen.

Zugegebenerweise noch nie selbst verwendet - daher auch keine Erfahrungen damit.


Der Wert einer Software liegt aber nur zu einem (je nach Projekt ganz kleinen Anteil) beim Code selbst..

 

[DevCore]

Zend bietet auch Lizenzierungen. Das ganze kann man beim Kompilieren dann entsprechend festlegen. Domain (wenn ich mich nicht irre), Laufzeit usw.