Jump to content
  • entry
    1
  • comments
    198
  • views
    65

Почему ioncube это зло

Exploits

3,858 views

ioncube зло?  

38 members have voted

You do not have permission to vote in this poll, or see the poll results. Please sign in or register to vote in this poll.

 

ioncube - это некий способ защиты исходного кода модуля. Но так ли он хорош и есть ли в нем необходимость?

 

К сожалению в наших широтах нет понятия авторского права и его никто не соблюдает.

Что же делать, и как защитить годы работы над модулем от пиратства? Все просто - кодировать код с помощью ioncube, то есть "закубить".

Да, ведь это решение проблемы, но не все так просто и ванильно.

Дело в том что когда мы кубим модуль исходный код превращается в набор символов и что-либо поменять там невозможно.

Вот оно счастье! Функционал проверки лицензии никто теперь не хакнет. Но, как всегда есть но, и не одно.

 

Почему не стоит использовать ioncube

 

1) Это не защита от пиратства, разве что только от мамкиных хацкеров.

Дело в том что ioncube можно раскодировать и те кто занимается взломами модулей делают это легко.  Толку от такой защиты нет. Да, школьники которые за пару долларов "делают сайты" под ключ конечно не ломанут модуль, но им ничего не стоит найти его уже взломанным на варезе. Понимаете суть - тот кто изначально не нацелен покупать, он не купит.

 

Делайте модули которые хочется покупать. Ставьте адекватный ценник, оказывайте хорошую поддержку. По сути модуль это программная база, но когда человек покупает его он в первую очередь покупает поддержку - это очень важно понимать.

 

2) При любом шорохе у покупателя автоматически будут проблемы!

Уважайте своих клиентов. Жизнь магазина зачастую достаточно динамична. Владелец может сменить хостинг, версию php и получить на сайте проблемы. Ему нужно будет вспоминать где и когда он покупал модуль, у кого, и на что именно ругается. Сменили php - надо загружать отдельный дистрибутив под ту версию что у вас. Автор может уйти в загул или быть занятым для оперативного ответа. Также многие разработчики делают обновления достаточно сложными и для получения модуля нужно предьявить чуть ли не паспорт. Номер счета или место покупки могут и не помнить - это нормально.

 

3) Поменять/доработать ваш код нет возможности - это сильно усложняет жизнь коллегам и владельцам сайтов

Буквально вчера мне нужно было подружить мой модуль с другим, который меняет цены. Ок, зашел в код того модуля посмотреть какие данные нужны его функции и увидел там набор символов… Без кодировки моя работа бы заняла 2 минуты. С кодировкой пришлось подставлять данные и смотреть на ошибки, то есть работать в слепую. Итого минут 20-30 у меня ушло. (В такой ситуации еще легко все прошло) Вы думаете там модуль с мега функционалом или с алгоритмами которые уведут из-за уникальности? Не думаю, там просто подсчет чисел (+/- от цены, ну и проценты).

 

Владельцам еще веселее. Допустим есть 2 модуля, их нужно подружить. Коды закрытые у обеих. Авторы как всегда загруженные и не делают такого. Можно найти человека который смог бы сделать связь модулей за пару часов. Но засада, исходники под кубом и ничего сделать невозможно. Приходится делать либо кастом в разы дороже модуля (если не в десятки), либо через костыли что-то мастерить. Как вы понимаете подход так себе.

 

4) Скрытый код - возможные проблемы безопасности

Когда в модуле открытый код многие коллеги туда заходят посмотреть или поправить что-то под заказчика. Так вот одна голова хорошо, но фидбек от коллег еще лучше. К чему я. Вот сделали вы модуль, ок, но где-то ошиблись и допустили баг(и). Сами в силу загрузки или опыта не можете их выявить, но их может увидеть другой разработчик и вам об этом сообщить. Когда приходят багрепорты вы их можете фиксить тем самым улучшить модуль.

 

Также сами авторы, как уже упоминал, всегда загружены. А покупателю нужно в модуле что-то поменять или доработать. В закодированном варианте у покупателя есть закрытое решение и все. Когда модуль открыт его доработать может любой другой человек без привязки к автору.

 

Не стоит забывать что магазин это бизнес и в нем должно быть все безопасно. Код модуля под кубом нельзя просмотреть и сказать что в нем. А там может быть дыра, или же критическая ошибка, или же специально оставленный автором "ход" для контроля или еще чего-либо. То есть владелец сайта просто не знает что у него в магазине, плохо спит из-за чего качество его жизни стало хуже. А причина в этом ioncube.

 

------------------------------

 

Все это мое личное мнение и мои наблюдения за года работы с магазинами. Может что забыл, вспомню - дополню.

Буду рад обсуждениям, дополнениям и конструктивной критике. И как было написано что одна голова хорошо, а мнение коллег еще лучше :) 

  • +1 4


199 Comments


Recommended Comments



Скорее самый ужас это вот это
Я бы не рекомендовал и не рекомендую приобретать дополнения которые не работают если сервер разработчика не доступен.
Советую пересмотреть этот момент.
Модуль должен работать по любому!
906413759_.png.2f31f3279a9e6660a1ec7683b8245b7b.png
 

Share this comment


Link to comment

самый ужас это когда нельзя доработать модуль как нужно потому что автор зашил свой говнокод в куб и отвечает на все вопросы раз в 3 в духе "спасибо что я вас нахер не послал" 

пример хорошо закубленных модулей это симпл и новая почта апи 

 

а всякий треш типа фильтр виер который меняет системные вызовы  и поделки аля неосео это позорище для сообщества 

  • +1 3

Share this comment


Link to comment
10 минут назад, AWARO сказал:

Скорее самый ужас это вот это
Я бы не рекомендовал и не рекомендую приобретать дополнения которые не работают если сервер разработчика не доступен.
Советую пересмотреть этот момент.
Модуль должен работать по любому!
906413759_.png.2f31f3279a9e6660a1ec7683b8245b7b.png
 

Ну смотрите, когда код открыт, можно убрать связь на крайний случай. Ничего не вижу плохого в том что есть свять только в админке модуля исключительно. Не во фронте конечно. 

То есть если сделать связь в админке модуля максимум проблем это когда захотите в момент "недоступности" настроить модуль, в общем все. Сам модуль работает, сайт также работает. Но как показала практика за 5+ лет была проблема только раз (или 2 точно не помню) и то на 5 минут.

Надо все делать не топорным методом так сказать а учитывать то что могут быть непредвиденные ситуации.

Share this comment


Link to comment
8 минут назад, spectre сказал:

самый ужас это когда нельзя доработать модуль как нужно потому что автор зашил свой говнокод в куб и отвечает на все вопросы раз в 3 в духе "спасибо что я вас нахер не послал" 

пример хорошо закубленных модулей это симпл и новая почта апи 

 

а всякий треш типа фильтр виер который меняет системные вызовы это позорище для сообщества 

Соглашусь. Некоторые модули грамотно закубированы и никакого дискомфорта не создают для доработки и правок. Однако при смене php нужно заменять файлы, а если там были правки так и их переносить. Все это доставляет гемора при работе с сайтом.

Share this comment


Link to comment

@Exploits, выводы-то где?

Критикуешь - предлагай!

 

Цитата

По сути модуль это программная база, но когда человек покупает его он в первую очередь покупает поддержку - это очень важно понимать.

Нет, он в первую очередь покупает заявленный функционал. Иначе попробуй продать просто поддержку, без ничего.

 

 

  • +1 1

Share this comment


Link to comment
7 минут назад, mazein сказал:

@Exploits, выводы-то где?

Критикуешь - предлагай!

Выводы - не кубировать, разве не очевидно?

Предлагаю не кубировать, от этого всем станет легче.

Тот кто хочет - поломает, кто не хочет - не купит.

7 минут назад, mazein сказал:

Нет, он в первую очередь покупает заявленный функционал. Иначе попробуй продать просто поддержку, без ничего.

Понятно что функционал как база я не спорю, поддержку же ни для чего никто не продает:grin:

Я за саму трактовку что модуль это не просто модуль как продукт, но и к тому же услуга в виде поддержки.

 

Я к тому что овчинка выделки не стоит. Доставляет как автору модуля хлопот в виде множества дистрибутивов, так и пользователю

Share this comment


Link to comment

если модуль работает нормально то ему и поддержка особо не нужна, важна его актуальность 

 

в вашем случае например покупка модуля это получение новой версии при смене алгоритмов разметки к примеру 

 

лично я просто не выкладываю файл в свободный доступ а выдаю после покупки а то уже и по 300 р тырят, всякие сео студии, пока не будем тыкать пальцем, герои известны 

 

это конечно не панацея от всех бед, но покупая модуль официально клиент получает качественный продукт 

 

а кто качает бесплатно и без смс пусть качают, это не наша целевая аудитория

  • +1 1

Share this comment


Link to comment
7 минут назад, Exploits сказал:

Выводы - не кубировать, разве не очевидно?

Предлагаю не кубировать, от этого всем станет легче.

 

Нет, предложи решение защиты от воровства, кубят же для этого?

Share this comment


Link to comment
1 минуту назад, spectre сказал:

а кто качает бесплатно и без смс пусть качают, это не наша целевая аудитория

Верно, плюсую!!!

Ну и не нужно забывать что когда модуль оказывается на варезе то это доп реклама + некомпетентность их "поддержки" по модулям. Они не разработчики и всех нюансов не знают а часто люди оттуда приходят к автору за той самой поддержкой. 

Share this comment


Link to comment
2 минуты назад, mazein сказал:

 

Нет, предложи решение защиты от воровства, кубят же для этого?

А оно помогает что кубят? То есть модули под кубом защищены? Их на варезе нет?

Защиты от лома нет. Кто не хочет покупать под дулом пистолета не купит поймите.

Вот в супермаркетах также выносят товар, у них вероятно есть свои мотивы так делать.

Share this comment


Link to comment
11 минут назад, Exploits сказал:

А оно помогает что кубят? То есть модули под кубом защищены? Их на варезе нет?

Защиты от лома нет поймите. Кто не хочет покупать под дулом пистолета не купит поймите.

Вот в супермаркетах также выносят товар, у них вероятно есть свои мотивы так делать.

 

Не все будут ломать защиту.

А вот поставить купленный легально незакубленный модуль на второй сайт вполне могут все, понимаешь?

  • +1 2

Share this comment


Link to comment
35 минут назад, Exploits сказал:

Ну смотрите, когда код открыт, можно убрать связь на крайний случай. Ничего не вижу плохого в том что есть свять только в админке модуля исключительно. Не во фронте конечно. 

То есть если сделать связь в админке модуля максимум проблем это когда захотите в момент "недоступности" настроить модуль, в общем все. Сам модуль работает, сайт также работает. Но как показала практика за 5+ лет была проблема только раз (или 2 точно не помню) и то на 5 минут.

Надо все делать не топорным методом так сказать а учитывать то что могут быть непредвиденные ситуации.

Зачем это пользователю?
Выдавайте новые релизы по подписке, а старье пусть работает как и работало

Share this comment


Link to comment

про куб, никто бы ничего не кубил, не будь варезопомоек. тут бестолку спорить

Share this comment


Link to comment
24 минуты назад, mazein сказал:

Не все будут ломать защиту.

А вот поставить купленный легально незакубленный модуль на второй сайт вполне могут все, понимаешь?

и не на один.
лично против куба только поотму что кубят всея и всё. вот закубить определённую админ часть чтоб без ключа там не поработать - это норм считаю. но не более того.
тут даже обфускации достаточно.
Много пользователей с вареза пришло  на легал. а все кто там остался и сидит конченные нищеброды и ванючие недокодеры разводящие на бабло обычных заказчиков.

  • +1 1

Share this comment


Link to comment

@Exploits

Цитата

Дело в том что ioncube можно раскодировать и те кто занимается взломами модулей делают это легко.  Толку от такой защиты нет. 

 

Это не совсем так.

Верно будет тогда, когда "мамкины программисты", выражаясь в вашем стиле, будут для защиты пользоваться одной кнопкой "защитить" в онлайн-кодере.

Тогда "мамкины хацкеры" тоже одной кнопкой будут творить чудо раскодирования в декодере.

Выражаясь другими словами: примитивно защищенное будет сломано примитивными методами.

 

немамкины программисты не пользуются услугой ioncube-онлайн. это скорее демо в сильно лайт версии, а не защита. По ней делать вывод неверно.

 

ioncube - зло? Отчасти, это зло, согласен. Но у любой медали есть две стороны.

Тема то холиварная.

Как защита это работает у правильных прогеров.

 

Как мелкое зло можно отметить еще, что код php под ioncube не может использовать нативное кеширование zend-движка. И по мелочам еще много чего.

 

Писать код и делать нормальную защиту под ioncube - это лишняя трата времени на защиту. Потерянное время часто лучше потратить на другую работу и заработать. Просто плюнуть на вечных халявщиков и воров - тоже норм решение.

Каждый сам выбирает.

 

  • +1 2

Share this comment


Link to comment
25 минут назад, mazein сказал:

 

Не все будут ломать защиту.

А вот поставить купленный легально незакубленный модуль на второй сайт вполне могут все, понимаешь?

 

вполне норм логика.

причем делают так вполне допропорядочные люди.

 

2 минуты назад, AWARO сказал:

лично против куба только поотму что кубят всея и всё

 

все и вся - вот это лютое зло. вообще любая крайность - зло.

  • +1 1

Share this comment


Link to comment
34 минуты назад, mazein сказал:

 

Не все будут ломать защиту.

А вот поставить купленный легально модуль на второй сайт вполне могут все, понимаешь?

Конечно, если простой проверки ключа нет. Я не за то что бы вообще убирать проверку ключа. Пусть это будет, я за кодирование кода.

То есть зашита для честных людей так сказать

 

Share this comment


Link to comment
1 час назад, Exploits сказал:

Ну смотрите, когда код открыт, можно убрать связь на крайний случай. Ничего не вижу плохого в том что есть свять только в админке модуля исключительно. Не во фронте конечно. 

То есть если сделать связь в админке модуля максимум проблем это когда захотите в момент "недоступности" настроить модуль, в общем все. Сам модуль работает, сайт также работает. Но как показала практика за 5+ лет была проблема только раз (или 2 точно не помню) и то на 5 минут.

Надо все делать не топорным методом так сказать а учитывать то что могут быть непредвиденные ситуации.

этим простой юзер заниматься не будет - он (а их сколько кто у тебя купил модуль) вместо цветов, ну не дай Бог конечно но кащеев бесмертных тут нет. разгрузят вагон проклятий на могилку и не один раз. Ушёл, не продлил сервер - лови экибану негатива ещё сверху.

оно тебе надо?
закубленный говнокод ещё хоть как то будет работать

Share this comment


Link to comment
26 минут назад, AWARO сказал:

Зачем это пользователю?
Выдавайте новые релизы по подписке, а старье пусть работает как и работало

Не практикую подписку, у меня бесплатные обновления без ограничений по времени.

24 минуты назад, AWARO сказал:

про куб, никто бы ничего не кубил, не будь варезопомоек. тут бестолку спорить

и не спорю, мотивы кубить понимаю, но не поддерживаю

12 минут назад, AWARO сказал:

вот закубить определённую админ часть чтоб без ключа там не поработать - это норм считаю. но не более того.

В таком случае можно нормально кодировать а не весь контроллер например, я согласен. Скажем весь посыл на то когда все кубят вот это зло

sazonoff - поддерживаю ваши комментарии. Везде должна быть мера и здравый смысл а не параноить.

Да, когда нет элементарной защиты ставят на много сайтов а когда спрашиваешь зачем то отвечают в духе, ну не запрещено же. То есть все же надо делать защиту от честных, а он нечестных все равно уведут.

sazonoff - тема не создана что бы холиварить. Просто решил поделиться своим мнением по этому поводу и сколько проблем вся эта защита вызывает и проблема в том что и защита то не защита.

 

Share this comment


Link to comment
5 минут назад, AWARO сказал:

этим простой юзер заниматься не будет - он (а их сколько кто у тебя купил модуль) вместо цветов, ну не дай Бог конечно но кащеев бесмертных тут нет. разгрузят вагон проклятий на могилку и не один раз. Ушёл, не продлил сервер - лови экибану негатива ещё сверху.

оно тебе надо?
закубленный говнокод ещё хоть как то будет работать

Думаю над этим как сделать все грамотно и что бы без хлопот всем.

Share this comment


Link to comment
13 минут назад, Exploits сказал:

и не спорю, мотивы кубить понимаю, но не поддерживаю

 

просто прогер выбирает из двух зол меньшее.

 

зло №1 - воруют  (зло абсолютное и без примесей добра)

зло № 2 - сам ioncube  (зло относительное)

 

В разных ситуациях выбор будет разный. 

Share this comment


Link to comment
12 минут назад, sazonoff сказал:

 

просто прогер выбирает из двух зол меньшее.

 

зло №1 - воруют  (зло абсолютное и без примесей добра)

зло № 2 - сам ioncube  (зло относительное)

 

В разных ситуациях выбор будет разный. 

Ну смотрите на воровство можно смотреть под разными углами. Это как ни странно канал продвижения какой ни какой. Ну и если модуль на варезе значит он актуальный и нужный и часть варезопокупателей идут к автору. К сожалению сейчас варезы как магазины то есть простой покупатель часто и не знает где он покупает.

В выдаче варез иногда и выше стоит офф сайтов и всегда рядом так что от этого никуда не денешься.

 

Кстати прикол по теме. Ко мне с вареза буквально вчера зашел на поддержку "покупатель" и указал ссылку где "покупал".

Я думаю дай-ка я запилю коммент туда) Отправил, и на мое удивление мне на почту пришел ответ: https://prnt.sc/vejji5 и сам модуль удалили https://prnt.sc/vejlkx. Сам в шоке от "порядочности" варезодержателя.

Share this comment


Link to comment
7 минут назад, Exploits сказал:

Ну смотрите на воровство можно смотреть под разными углами. Это как ни странно канал продвижения какой ни какой. Ну и если модуль на варезе значит он актуальный и нужный и часть варезопокупателей идут к автору. К сожалению сейчас варезы как магазины то есть простой покупатель часто и не знает где он покупает.

В выдаче варез иногда и выше стоит офф сайтов и всегда рядом так что от этого никуда не денешься.

 

Кстати прикол по теме. Ко мне с вареза буквально вчера зашел на поддержку "покупатель" и указал ссылку где "покупал".

Я думаю дай-ка я запилю коммент туда) Отправил, и на мое удивление мне на почту пришел ответ: https://prnt.sc/vejji5 и сам модуль удалили https://prnt.sc/vejlkx. Сам в шоке от "порядочности" варезодержателя.

Потому что им "шум" не нужен. Как и поддержка модуля. Если модуль требует поддержки или лагает, его им дешевле удалить. Там вся идея держится на нулевой поддержке. Т.е. купил - забыл.

  • +1 1

Share this comment


Link to comment
1 минуту назад, Vladzimir сказал:

Потому что им "шум" не нужен. Как и поддержка модуля. Если модуль требует поддержки или лагает, его им дешевле удалить. Там вся идея держится на нулевой поддержке. Т.е. купил - забыл.

Поддержу, но за шум не уверен, мне кажется им все равно. А за то что продать а идите лесом - это факт. Но и с этого вытекает что это канал продвижения, хоть и плохой конечно же.

Share this comment


Link to comment
Только что, Exploits сказал:

Поддержу, но за шум не уверен, мне кажется им все равно. А за то что продать а идите лесом - это факт. Но и с этого вытекает что это канал продвижения, хоть и плохой конечно же.

Ну если потом покупатели идут к разработчику, зачем им это вот все? Логично?

Share this comment


Link to comment

Guest
You are posting as a guest. If you have an account, please sign in.
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.