Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Блог Exploits

  • запис
    1
  • коментарів
    246
  • переглядів
    2 067

Почему ioncube это зло


Exploits

18 425 переглядів

ioncube зло?  

144 голоси

You do not have permission to vote in this poll, or see the poll results. Будь ласка, увійдіть або зареєструйтеся для голосування в опитуванні.

 

ioncube - это некий способ защиты исходного кода модуля. Но так ли он хорош и есть ли в нем необходимость?

 

К сожалению в наших широтах нет понятия авторского права и его никто не соблюдает.

Что же делать, и как защитить годы работы над модулем от пиратства? Все просто - кодировать код с помощью ioncube, то есть "закубить".

Да, ведь это решение проблемы, но не все так просто и ванильно.

Дело в том что когда мы кубим модуль исходный код превращается в набор символов и что-либо поменять там невозможно.

Вот оно счастье! Функционал проверки лицензии никто теперь не хакнет. Но, как всегда есть но, и не одно.

 

Почему не стоит использовать ioncube

 

1) Это не защита от пиратства, разве что только от мамкиных хацкеров.

Дело в том что ioncube можно раскодировать и те кто занимается взломами модулей делают это легко.  Толку от такой защиты нет. Да, школьники которые за пару долларов "делают сайты" под ключ конечно не ломанут модуль, но им ничего не стоит найти его уже взломанным на варезе. Понимаете суть - тот кто изначально не нацелен покупать, он не купит.

 

Делайте модули которые хочется покупать. Ставьте адекватный ценник, оказывайте хорошую поддержку. По сути модуль это программная база, но когда человек покупает его он в первую очередь покупает поддержку - это очень важно понимать.

 

2) При любом шорохе у покупателя автоматически будут проблемы!

Уважайте своих клиентов. Жизнь магазина зачастую достаточно динамична. Владелец может сменить хостинг, версию php и получить на сайте проблемы. Ему нужно будет вспоминать где и когда он покупал модуль, у кого, и на что именно ругается. Сменили php - надо загружать отдельный дистрибутив под ту версию что у вас. Автор может уйти в загул или быть занятым для оперативного ответа. Также многие разработчики делают обновления достаточно сложными и для получения модуля нужно предьявить чуть ли не паспорт. Номер счета или место покупки могут и не помнить - это нормально.

 

3) Поменять/доработать ваш код нет возможности - это сильно усложняет жизнь коллегам и владельцам сайтов

Буквально вчера мне нужно было подружить мой модуль с другим, который меняет цены. Ок, зашел в код того модуля посмотреть какие данные нужны его функции и увидел там набор символов… Без кодировки моя работа бы заняла 2 минуты. С кодировкой пришлось подставлять данные и смотреть на ошибки, то есть работать в слепую. Итого минут 20-30 у меня ушло. (В такой ситуации еще легко все прошло) Вы думаете там модуль с мега функционалом или с алгоритмами которые уведут из-за уникальности? Не думаю, там просто подсчет чисел (+/- от цены, ну и проценты).

 

Владельцам еще веселее. Допустим есть 2 модуля, их нужно подружить. Коды закрытые у обеих. Авторы как всегда загруженные и не делают такого. Можно найти человека который смог бы сделать связь модулей за пару часов. Но засада, исходники под кубом и ничего сделать невозможно. Приходится делать либо кастом в разы дороже модуля (если не в десятки), либо через костыли что-то мастерить. Как вы понимаете подход так себе.

 

4) Скрытый код - возможные проблемы безопасности

Когда в модуле открытый код многие коллеги туда заходят посмотреть или поправить что-то под заказчика. Так вот одна голова хорошо, но фидбек от коллег еще лучше. К чему я. Вот сделали вы модуль, ок, но где-то ошиблись и допустили баг(и). Сами в силу загрузки или опыта не можете их выявить, но их может увидеть другой разработчик и вам об этом сообщить. Когда приходят багрепорты вы их можете фиксить тем самым улучшить модуль.

 

Также сами авторы, как уже упоминал, всегда загружены. А покупателю нужно в модуле что-то поменять или доработать. В закодированном варианте у покупателя есть закрытое решение и все. Когда модуль открыт его доработать может любой другой человек без привязки к автору.

 

Не стоит забывать что магазин это бизнес и в нем должно быть все безопасно. Код модуля под кубом нельзя просмотреть и сказать что в нем. А там может быть дыра, или же критическая ошибка, или же специально оставленный автором "ход" для контроля или еще чего-либо. То есть владелец сайта просто не знает что у него в магазине, плохо спит из-за чего качество его жизни стало хуже. А причина в этом ioncube.

 

------------------------------

 

Все это мое личное мнение и мои наблюдения за года работы с магазинами. Может что забыл, вспомню - дополню.

Буду рад обсуждениям, дополнениям и конструктивной критике. И как было написано что одна голова хорошо, а мнение коллег еще лучше :) 

  • +1 8

246 коментарів


Recommended Comments



Скорее самый ужас это вот это
Я бы не рекомендовал и не рекомендую приобретать дополнения которые не работают если сервер разработчика не доступен.
Советую пересмотреть этот момент.
Модуль должен работать по любому!
906413759_.png.2f31f3279a9e6660a1ec7683b8245b7b.png
 

Надіслати

самый ужас это когда нельзя доработать модуль как нужно потому что автор зашил свой говнокод в куб и отвечает на все вопросы раз в 3 в духе "спасибо что я вас нахер не послал" 

пример хорошо закубленных модулей это симпл и новая почта апи 

 

а всякий треш типа фильтр виер который меняет системные вызовы  и поделки аля неосео это позорище для сообщества 

  • +1 5
Надіслати
10 минут назад, AWARO сказал:

Скорее самый ужас это вот это
Я бы не рекомендовал и не рекомендую приобретать дополнения которые не работают если сервер разработчика не доступен.
Советую пересмотреть этот момент.
Модуль должен работать по любому!
906413759_.png.2f31f3279a9e6660a1ec7683b8245b7b.png
 

Ну смотрите, когда код открыт, можно убрать связь на крайний случай. Ничего не вижу плохого в том что есть свять только в админке модуля исключительно. Не во фронте конечно. 

То есть если сделать связь в админке модуля максимум проблем это когда захотите в момент "недоступности" настроить модуль, в общем все. Сам модуль работает, сайт также работает. Но как показала практика за 5+ лет была проблема только раз (или 2 точно не помню) и то на 5 минут.

Надо все делать не топорным методом так сказать а учитывать то что могут быть непредвиденные ситуации.

Надіслати
8 минут назад, spectre сказал:

самый ужас это когда нельзя доработать модуль как нужно потому что автор зашил свой говнокод в куб и отвечает на все вопросы раз в 3 в духе "спасибо что я вас нахер не послал" 

пример хорошо закубленных модулей это симпл и новая почта апи 

 

а всякий треш типа фильтр виер который меняет системные вызовы это позорище для сообщества 

Соглашусь. Некоторые модули грамотно закубированы и никакого дискомфорта не создают для доработки и правок. Однако при смене php нужно заменять файлы, а если там были правки так и их переносить. Все это доставляет гемора при работе с сайтом.

Надіслати

@Exploits, выводы-то где?

Критикуешь - предлагай!

 

Цитата

По сути модуль это программная база, но когда человек покупает его он в первую очередь покупает поддержку - это очень важно понимать.

Нет, он в первую очередь покупает заявленный функционал. Иначе попробуй продать просто поддержку, без ничего.

 

 

  • +1 1
Надіслати
7 минут назад, mazein сказал:

@Exploits, выводы-то где?

Критикуешь - предлагай!

Выводы - не кубировать, разве не очевидно?

Предлагаю не кубировать, от этого всем станет легче.

Тот кто хочет - поломает, кто не хочет - не купит.

7 минут назад, mazein сказал:

Нет, он в первую очередь покупает заявленный функционал. Иначе попробуй продать просто поддержку, без ничего.

Понятно что функционал как база я не спорю, поддержку же ни для чего никто не продает:grin:

Я за саму трактовку что модуль это не просто модуль как продукт, но и к тому же услуга в виде поддержки.

 

Я к тому что овчинка выделки не стоит. Доставляет как автору модуля хлопот в виде множества дистрибутивов, так и пользователю

  • +1 1
Надіслати

если модуль работает нормально то ему и поддержка особо не нужна, важна его актуальность 

 

в вашем случае например покупка модуля это получение новой версии при смене алгоритмов разметки к примеру 

 

лично я просто не выкладываю файл в свободный доступ а выдаю после покупки а то уже и по 300 р тырят, всякие сео студии, пока не будем тыкать пальцем, герои известны 

 

это конечно не панацея от всех бед, но покупая модуль официально клиент получает качественный продукт 

 

а кто качает бесплатно и без смс пусть качают, это не наша целевая аудитория

  • +1 1
Надіслати
7 минут назад, Exploits сказал:

Выводы - не кубировать, разве не очевидно?

Предлагаю не кубировать, от этого всем станет легче.

 

Нет, предложи решение защиты от воровства, кубят же для этого?

Надіслати
1 минуту назад, spectre сказал:

а кто качает бесплатно и без смс пусть качают, это не наша целевая аудитория

Верно, плюсую!!!

Ну и не нужно забывать что когда модуль оказывается на варезе то это доп реклама + некомпетентность их "поддержки" по модулям. Они не разработчики и всех нюансов не знают а часто люди оттуда приходят к автору за той самой поддержкой. 

Надіслати
2 минуты назад, mazein сказал:

 

Нет, предложи решение защиты от воровства, кубят же для этого?

А оно помогает что кубят? То есть модули под кубом защищены? Их на варезе нет?

Защиты от лома нет. Кто не хочет покупать под дулом пистолета не купит поймите.

Вот в супермаркетах также выносят товар, у них вероятно есть свои мотивы так делать.

Надіслати
11 минут назад, Exploits сказал:

А оно помогает что кубят? То есть модули под кубом защищены? Их на варезе нет?

Защиты от лома нет поймите. Кто не хочет покупать под дулом пистолета не купит поймите.

Вот в супермаркетах также выносят товар, у них вероятно есть свои мотивы так делать.

 

Не все будут ломать защиту.

А вот поставить купленный легально незакубленный модуль на второй сайт вполне могут все, понимаешь?

  • +1 3
Надіслати
35 минут назад, Exploits сказал:

Ну смотрите, когда код открыт, можно убрать связь на крайний случай. Ничего не вижу плохого в том что есть свять только в админке модуля исключительно. Не во фронте конечно. 

То есть если сделать связь в админке модуля максимум проблем это когда захотите в момент "недоступности" настроить модуль, в общем все. Сам модуль работает, сайт также работает. Но как показала практика за 5+ лет была проблема только раз (или 2 точно не помню) и то на 5 минут.

Надо все делать не топорным методом так сказать а учитывать то что могут быть непредвиденные ситуации.

Зачем это пользователю?
Выдавайте новые релизы по подписке, а старье пусть работает как и работало

Надіслати
24 минуты назад, mazein сказал:

Не все будут ломать защиту.

А вот поставить купленный легально незакубленный модуль на второй сайт вполне могут все, понимаешь?

и не на один.
лично против куба только поотму что кубят всея и всё. вот закубить определённую админ часть чтоб без ключа там не поработать - это норм считаю. но не более того.
тут даже обфускации достаточно.
Много пользователей с вареза пришло  на легал. а все кто там остался и сидит конченные нищеброды и ванючие недокодеры разводящие на бабло обычных заказчиков.

  • +1 1
Надіслати

@Exploits

Цитата

Дело в том что ioncube можно раскодировать и те кто занимается взломами модулей делают это легко.  Толку от такой защиты нет. 

 

Это не совсем так.

Верно будет тогда, когда "мамкины программисты", выражаясь в вашем стиле, будут для защиты пользоваться одной кнопкой "защитить" в онлайн-кодере.

Тогда "мамкины хацкеры" тоже одной кнопкой будут творить чудо раскодирования в декодере.

Выражаясь другими словами: примитивно защищенное будет сломано примитивными методами.

 

немамкины программисты не пользуются услугой ioncube-онлайн. это скорее демо в сильно лайт версии, а не защита. По ней делать вывод неверно.

 

ioncube - зло? Отчасти, это зло, согласен. Но у любой медали есть две стороны.

Тема то холиварная.

Как защита это работает у правильных прогеров.

 

Как мелкое зло можно отметить еще, что код php под ioncube не может использовать нативное кеширование zend-движка. И по мелочам еще много чего.

 

Писать код и делать нормальную защиту под ioncube - это лишняя трата времени на защиту. Потерянное время часто лучше потратить на другую работу и заработать. Просто плюнуть на вечных халявщиков и воров - тоже норм решение.

Каждый сам выбирает.

 

  • +1 3
Надіслати
25 минут назад, mazein сказал:

 

Не все будут ломать защиту.

А вот поставить купленный легально незакубленный модуль на второй сайт вполне могут все, понимаешь?

 

вполне норм логика.

причем делают так вполне допропорядочные люди.

 

2 минуты назад, AWARO сказал:

лично против куба только поотму что кубят всея и всё

 

все и вся - вот это лютое зло. вообще любая крайность - зло.

  • +1 1
Надіслати
34 минуты назад, mazein сказал:

 

Не все будут ломать защиту.

А вот поставить купленный легально модуль на второй сайт вполне могут все, понимаешь?

Конечно, если простой проверки ключа нет. Я не за то что бы вообще убирать проверку ключа. Пусть это будет, я за кодирование кода.

То есть зашита для честных людей так сказать

 

Надіслати
1 час назад, Exploits сказал:

Ну смотрите, когда код открыт, можно убрать связь на крайний случай. Ничего не вижу плохого в том что есть свять только в админке модуля исключительно. Не во фронте конечно. 

То есть если сделать связь в админке модуля максимум проблем это когда захотите в момент "недоступности" настроить модуль, в общем все. Сам модуль работает, сайт также работает. Но как показала практика за 5+ лет была проблема только раз (или 2 точно не помню) и то на 5 минут.

Надо все делать не топорным методом так сказать а учитывать то что могут быть непредвиденные ситуации.

этим простой юзер заниматься не будет - он (а их сколько кто у тебя купил модуль) вместо цветов, ну не дай Бог конечно но кащеев бесмертных тут нет. разгрузят вагон проклятий на могилку и не один раз. Ушёл, не продлил сервер - лови экибану негатива ещё сверху.

оно тебе надо?
закубленный говнокод ещё хоть как то будет работать

Надіслати
26 минут назад, AWARO сказал:

Зачем это пользователю?
Выдавайте новые релизы по подписке, а старье пусть работает как и работало

Не практикую подписку, у меня бесплатные обновления без ограничений по времени.

24 минуты назад, AWARO сказал:

про куб, никто бы ничего не кубил, не будь варезопомоек. тут бестолку спорить

и не спорю, мотивы кубить понимаю, но не поддерживаю

12 минут назад, AWARO сказал:

вот закубить определённую админ часть чтоб без ключа там не поработать - это норм считаю. но не более того.

В таком случае можно нормально кодировать а не весь контроллер например, я согласен. Скажем весь посыл на то когда все кубят вот это зло

sazonoff - поддерживаю ваши комментарии. Везде должна быть мера и здравый смысл а не параноить.

Да, когда нет элементарной защиты ставят на много сайтов а когда спрашиваешь зачем то отвечают в духе, ну не запрещено же. То есть все же надо делать защиту от честных, а он нечестных все равно уведут.

sazonoff - тема не создана что бы холиварить. Просто решил поделиться своим мнением по этому поводу и сколько проблем вся эта защита вызывает и проблема в том что и защита то не защита.

 

Надіслати
5 минут назад, AWARO сказал:

этим простой юзер заниматься не будет - он (а их сколько кто у тебя купил модуль) вместо цветов, ну не дай Бог конечно но кащеев бесмертных тут нет. разгрузят вагон проклятий на могилку и не один раз. Ушёл, не продлил сервер - лови экибану негатива ещё сверху.

оно тебе надо?
закубленный говнокод ещё хоть как то будет работать

Думаю над этим как сделать все грамотно и что бы без хлопот всем.

Надіслати
13 минут назад, Exploits сказал:

и не спорю, мотивы кубить понимаю, но не поддерживаю

 

просто прогер выбирает из двух зол меньшее.

 

зло №1 - воруют  (зло абсолютное и без примесей добра)

зло № 2 - сам ioncube  (зло относительное)

 

В разных ситуациях выбор будет разный. 

Надіслати
12 минут назад, sazonoff сказал:

 

просто прогер выбирает из двух зол меньшее.

 

зло №1 - воруют  (зло абсолютное и без примесей добра)

зло № 2 - сам ioncube  (зло относительное)

 

В разных ситуациях выбор будет разный. 

Ну смотрите на воровство можно смотреть под разными углами. Это как ни странно канал продвижения какой ни какой. Ну и если модуль на варезе значит он актуальный и нужный и часть варезопокупателей идут к автору. К сожалению сейчас варезы как магазины то есть простой покупатель часто и не знает где он покупает.

В выдаче варез иногда и выше стоит офф сайтов и всегда рядом так что от этого никуда не денешься.

 

Кстати прикол по теме. Ко мне с вареза буквально вчера зашел на поддержку "покупатель" и указал ссылку где "покупал".

Я думаю дай-ка я запилю коммент туда) Отправил, и на мое удивление мне на почту пришел ответ: https://prnt.sc/vejji5 и сам модуль удалили https://prnt.sc/vejlkx. Сам в шоке от "порядочности" варезодержателя.

Надіслати
7 минут назад, Exploits сказал:

Ну смотрите на воровство можно смотреть под разными углами. Это как ни странно канал продвижения какой ни какой. Ну и если модуль на варезе значит он актуальный и нужный и часть варезопокупателей идут к автору. К сожалению сейчас варезы как магазины то есть простой покупатель часто и не знает где он покупает.

В выдаче варез иногда и выше стоит офф сайтов и всегда рядом так что от этого никуда не денешься.

 

Кстати прикол по теме. Ко мне с вареза буквально вчера зашел на поддержку "покупатель" и указал ссылку где "покупал".

Я думаю дай-ка я запилю коммент туда) Отправил, и на мое удивление мне на почту пришел ответ: https://prnt.sc/vejji5 и сам модуль удалили https://prnt.sc/vejlkx. Сам в шоке от "порядочности" варезодержателя.

Потому что им "шум" не нужен. Как и поддержка модуля. Если модуль требует поддержки или лагает, его им дешевле удалить. Там вся идея держится на нулевой поддержке. Т.е. купил - забыл.

  • +1 1
Надіслати
1 минуту назад, Vladzimir сказал:

Потому что им "шум" не нужен. Как и поддержка модуля. Если модуль требует поддержки или лагает, его им дешевле удалить. Там вся идея держится на нулевой поддержке. Т.е. купил - забыл.

Поддержу, но за шум не уверен, мне кажется им все равно. А за то что продать а идите лесом - это факт. Но и с этого вытекает что это канал продвижения, хоть и плохой конечно же.

Надіслати
Только что, Exploits сказал:

Поддержу, но за шум не уверен, мне кажется им все равно. А за то что продать а идите лесом - это факт. Но и с этого вытекает что это канал продвижения, хоть и плохой конечно же.

Ну если потом покупатели идут к разработчику, зачем им это вот все? Логично?

Надіслати

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.