Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Блог Exploits

  • запис
    1
  • коментарів
    246
  • переглядів
    2 067

Почему ioncube это зло


Exploits

18 461 перегляд

ioncube зло?  

144 голоси

You do not have permission to vote in this poll, or see the poll results. Будь ласка, увійдіть або зареєструйтеся для голосування в опитуванні.

 

ioncube - это некий способ защиты исходного кода модуля. Но так ли он хорош и есть ли в нем необходимость?

 

К сожалению в наших широтах нет понятия авторского права и его никто не соблюдает.

Что же делать, и как защитить годы работы над модулем от пиратства? Все просто - кодировать код с помощью ioncube, то есть "закубить".

Да, ведь это решение проблемы, но не все так просто и ванильно.

Дело в том что когда мы кубим модуль исходный код превращается в набор символов и что-либо поменять там невозможно.

Вот оно счастье! Функционал проверки лицензии никто теперь не хакнет. Но, как всегда есть но, и не одно.

 

Почему не стоит использовать ioncube

 

1) Это не защита от пиратства, разве что только от мамкиных хацкеров.

Дело в том что ioncube можно раскодировать и те кто занимается взломами модулей делают это легко.  Толку от такой защиты нет. Да, школьники которые за пару долларов "делают сайты" под ключ конечно не ломанут модуль, но им ничего не стоит найти его уже взломанным на варезе. Понимаете суть - тот кто изначально не нацелен покупать, он не купит.

 

Делайте модули которые хочется покупать. Ставьте адекватный ценник, оказывайте хорошую поддержку. По сути модуль это программная база, но когда человек покупает его он в первую очередь покупает поддержку - это очень важно понимать.

 

2) При любом шорохе у покупателя автоматически будут проблемы!

Уважайте своих клиентов. Жизнь магазина зачастую достаточно динамична. Владелец может сменить хостинг, версию php и получить на сайте проблемы. Ему нужно будет вспоминать где и когда он покупал модуль, у кого, и на что именно ругается. Сменили php - надо загружать отдельный дистрибутив под ту версию что у вас. Автор может уйти в загул или быть занятым для оперативного ответа. Также многие разработчики делают обновления достаточно сложными и для получения модуля нужно предьявить чуть ли не паспорт. Номер счета или место покупки могут и не помнить - это нормально.

 

3) Поменять/доработать ваш код нет возможности - это сильно усложняет жизнь коллегам и владельцам сайтов

Буквально вчера мне нужно было подружить мой модуль с другим, который меняет цены. Ок, зашел в код того модуля посмотреть какие данные нужны его функции и увидел там набор символов… Без кодировки моя работа бы заняла 2 минуты. С кодировкой пришлось подставлять данные и смотреть на ошибки, то есть работать в слепую. Итого минут 20-30 у меня ушло. (В такой ситуации еще легко все прошло) Вы думаете там модуль с мега функционалом или с алгоритмами которые уведут из-за уникальности? Не думаю, там просто подсчет чисел (+/- от цены, ну и проценты).

 

Владельцам еще веселее. Допустим есть 2 модуля, их нужно подружить. Коды закрытые у обеих. Авторы как всегда загруженные и не делают такого. Можно найти человека который смог бы сделать связь модулей за пару часов. Но засада, исходники под кубом и ничего сделать невозможно. Приходится делать либо кастом в разы дороже модуля (если не в десятки), либо через костыли что-то мастерить. Как вы понимаете подход так себе.

 

4) Скрытый код - возможные проблемы безопасности

Когда в модуле открытый код многие коллеги туда заходят посмотреть или поправить что-то под заказчика. Так вот одна голова хорошо, но фидбек от коллег еще лучше. К чему я. Вот сделали вы модуль, ок, но где-то ошиблись и допустили баг(и). Сами в силу загрузки или опыта не можете их выявить, но их может увидеть другой разработчик и вам об этом сообщить. Когда приходят багрепорты вы их можете фиксить тем самым улучшить модуль.

 

Также сами авторы, как уже упоминал, всегда загружены. А покупателю нужно в модуле что-то поменять или доработать. В закодированном варианте у покупателя есть закрытое решение и все. Когда модуль открыт его доработать может любой другой человек без привязки к автору.

 

Не стоит забывать что магазин это бизнес и в нем должно быть все безопасно. Код модуля под кубом нельзя просмотреть и сказать что в нем. А там может быть дыра, или же критическая ошибка, или же специально оставленный автором "ход" для контроля или еще чего-либо. То есть владелец сайта просто не знает что у него в магазине, плохо спит из-за чего качество его жизни стало хуже. А причина в этом ioncube.

 

------------------------------

 

Все это мое личное мнение и мои наблюдения за года работы с магазинами. Может что забыл, вспомню - дополню.

Буду рад обсуждениям, дополнениям и конструктивной критике. И как было написано что одна голова хорошо, а мнение коллег еще лучше :) 

  • +1 8

246 коментарів


Recommended Comments



Я не со всем согласен с этой темой. Только от части.


Я не согласен с тем что куб могут взломать варезы. Тут хочу получить ответ более опытных пользователей.
Я искал метод как ломаю мой модуль варезы. Честно искал пол года. И оказалось что ломают именно версию закубированную в php 5.6
Версию на php 7.1 + не могут. С этого момента я веду статистику использования php 5.6 что бы отказаться от нее как можно скорее. Напомню что на дворе уже php 8 вот вот вступит в силу. А версии 5.6 уже лет шесть.


Вообще, все хорошо рассказано с точки зрения потребления. А как быть с точки зрения создания ?

Мои выводы.
Кубировать все наглухо это зло, зло в первую очередь для разработчика. Ведь в случаи чего можно просто написать человеку где какую строку подправить :) А с кубом только самому править и скидывать пользователю :(

Но делать защиту модулей тоже нужно, не забывайте об интересах авторов. Они тоже хотят кушать.

Надіслати
1 минуту назад, Vladzimir сказал:

Ломаются все версии.

Пришлите мне информацию об это в ЛС.
Я честно не нашел.

И все пробники моего модуля были именно версии 5.6

Надіслати

@Exploits А вы просто отказались от куба, у вас стоит обращение к серверу разработчика но при этом не закубили.
То есть из расчета кому нужно и так сломает, и нет смысла запариваться. Это логично, зашита от честных людей.

Мне интересно ваше мнение по поводу недобросовестных студий.

Студии которые занимаются созданием магазинов, могут купить один раз ваш модуль, и с их знанием сделать так что бы этот модуль работал на всех сайтах их клиентов.
Какое у вас отношение к этому, и какие решения вы принимаете.

Так как после покупки вы должны предоставить поддержку, и не будете знать что они ставят ваш модуль везде где только влезет.

Надіслати
10 минут назад, Rassol2 сказал:

@Exploits А вы просто отказались от куба, у вас стоит обращение к серверу разработчика но при этом не закубили.
То есть из расчета кому нужно и так сломает, и нет смысла запариваться. Это логично, зашита от честных людей.

Мне интересно ваше мнение по поводу недобросовестных студий.

Студии которые занимаются созданием магазинов, могут купить один раз ваш модуль, и с их знанием сделать так что бы этот модуль работал на всех сайтах их клиентов.
Какое у вас отношение к этому, и какие решения вы принимаете.

Так как после покупки вы должны предоставить поддержку, и не будете знать что они ставят ваш модуль везде где только влезет.

Верно, модули все открытые полностью. Защита условная.

По таким студиям/разработчикам негативное конечно. Но опять же это их выбор - воровать вот и все.

Порядочные исполнители или студии всегда берут повторно при надобности.

Да, было пару человек таких, но скажу честно, либо я не знаю полной статистики, либо их малый процент. Я за тех кто ворует.

В основном все покупают кому нужно. Ну может я другого не знаю. Но это их выбор, раз на такое идут.

 

Вообще был кадр на форуме который написал мне в ЛС что я поломал твой модуль и буду ставить везде а тебе буду что-то кидать. Ну его и забанили здесь. Но есть такие. А что им сделаешь? Ну не хотят они покупать и считают что бесплатно что-то взять и кому-то продать нормально

  • +1 1
Надіслати
1 час назад, Rassol2 сказал:

Я не согласен с тем что куб могут взломать варезы. Тут хочу получить ответ более опытных пользователей.
Я искал метод как ломаю мой модуль варезы. Честно искал пол года. И оказалось что ломают именно версию закубированную в php 5.6
Версию на php 7.1 + не могут.

 

В целом вы правы.

Многие еще используют кодирование для 5.4 или даже для 5.3.   Там вообще все просто.

Для 5.6 уже все намного сложнее. Но если кубить методом "нажал и все" в онлайн-ионкубе, то для 5.6 код будет раскодирован буквально одной кнопкой. Он будет не полностью раскодирован на автомате, нужно будет ручками еще поработать,  но основное вы сразу увидите,  например, проверку лицензии. А большего и не нужно, далее лепится обычно keygen и вуаля - даже модуль переделывать не надо.

 

Еще не стоит забывать о версии ioncube. Она важна для качественной защиты.  Сейчас на всех серверах 10-ка стоит.

Но прогеры ради поддержки 0.01% покупателей, которые сидят на 5.3 & 5.4,   кодируют под ioncube 5-й версии.

ионкуб 5-ка или 6-ка - отстой полный в плане защиты, читай - нет ее. Только, как тут писали, от мамкиных кулхацкеров.

 

При должном подходе для 5.6 можно делать отличную защиту.

 

1 час назад, Rassol2 сказал:

Но делать защиту модулей тоже нужно, не забывайте об интересах авторов. Они тоже хотят кушать.

 

Разумная зашита имеет право на существование.

Постоянная привязка к серверу автора дополнения - сомнительная штука с точки зрения потребителя. Зло, может быть, похуже ионкуба будет.

 

@Rassol2 , проблема еще в том, что на данном форуме прогеров, которые владеют ионкубом НЕ на уровне "нажми на кнопку - получишь результат",  можно по пальцам пересчитать.  Сколько прогеров осилили официальные доки по ионкубу? 

 

@Rassol2 , вот вы честно пишите, что не владеете в полной мере вопросом.  Но часто тот, кто им владеет еще хуже чем вы, делают далеко идущие выводы. Вы уже поняли сами, что "есть нюансы" и "не все так однозначно" как многие утверждают.  

И на самом деле защита есть, просто почти никто в эту тему не въехал.   А тот, кто реально в этой теме, тот не будет об этом особо распространяться.

Надіслати
1 час назад, Vladzimir сказал:

Ломаются все версии.

 

не слишком ли категорично?

вы сами пробовали или на чем инфа основана?

 

у вас свой опыт был?

Надіслати
Только что, sazonoff сказал:

 

не слишком ли категорично?

вы сами пробовали или на чем инфа основана?

 

у вас свой опыт был?

Нет не слишком категорично.

Это простая констатация факта.

Надіслати
3 минуты назад, Vladzimir сказал:

Нет не слишком категорично.

Это простая констатация факта.

Если помните у @sitecreator была свой статья в блоге - как что и где.

Надіслати
57 минут назад, Exploits сказал:

По таким студиям/разработчикам негативное конечно. Но опять же это их выбор - воровать вот и все.

 

а таких студий полным полно. они демпингуют за счет этого.

тут на форуме таких тоже достаточно с большой стпенью вероятности.

 

58 минут назад, Exploits сказал:

Порядочные исполнители или студии всегда берут повторно при надобности.

 

да, это вопрос порядочности.

 

но в глазах жадного заказчика порядочный исполнитель будет выглядеть хапугой, заламывающим цены, а вот халтурщик, который демпингует, будет выглядеть человеком с "адекватными ценами".

Да и не обязательно заказчик будет жадный, заказчик может быть просто неопытный и сработает "зачем платить больше если разницы не видно".

 

@Exploits , вообще, вы затронули интересную тему.  Защита - это вечная тема, методы защиты и взлома меняются постоянно.  

  • +1 1
Надіслати
3 минуты назад, chukcha сказал:

Если помните у @sitecreator была свой статья в блоге - как что и где.

его там не было, закрытый блог был, и он утверждал что его зашита не ломается
он там какието зихера творил с кубом

Надіслати
17 минут назад, Vladzimir сказал:

Нет не слишком категорично.

Это простая констатация факта.

вы мне ничего не прислали в личку.
Я полагаю это не факт.

Я честно пытался найти. Если бы я нашел подтверждение что сломать версию PHP 7+ по усилиям стоит меньше 20$
Я бы думал либо изменить защиту либо отказаться по примеру @Exploits


Но если вы мыслите что это факт потому что даже Пентагон можно взломать. То спешу сообщить что кроме самого факта есть еше цена вопроса.
Если цена вопроса взлома версии куба под php 7+ дороже моего модуля, то я считаю зашиту кубированием более чем эффективной.
И чем дороже взлом обходится тем зашита эффективнее.

 

А то что рано или поздно все можно взломать меня не так сильно беспокоит как цена вопроса.

Надіслати
9 минут назад, Vladzimir сказал:

Нет не слишком категорично.

Это простая констатация факта.

 

 

ломают того, кто не желал тратить время хотя бы на малейшее изучение вопроса защиты.

А поскольку таких 90%, то, таки да, можно сказать, что это "констатация факта".

Но 10%, кого не ломают, просто посмеиваются над этой констатацией.

 

Я так понимаю, что способа защиты кроме "нажми на кнопку - получишь результат"  вы не знаете и не рассматриваете?

Вы же так ионкуб представляете?  онлайн-ионкуб именно так и работает. и 90% защиты на нем и сделана.

 

 

 

Надіслати
4 минуты назад, Rassol2 сказал:

Я честно пытался найти. Если бы я нашел подтверждение что сломать версию PHP 7+ по усилиям стоит меньше 20$

 

и не найдете.

 

4 минуты назад, Rassol2 сказал:

То спешу сообщить что кроме самого факта есть еше цена вопроса.

 

а вот тут вы в тютельку попали! 

 

@Rassol2 , возьмите закодируйте даже под 5.6 вместе с внешним ключом - и уже ни один кулхацкер на потоке это не раскодирует. Потому, что ключ уже не вшит в код, а его искать - это времени на порядок больше уйдет. Настойчивый и опытный кулхацкер найдет все равно если ему время некуда девать.  Но за это же время он наломает на потоке десяток программ с примитивной защитой.

 

 

Надіслати
14 минут назад, sazonoff сказал:

а таких студий полным полно. они демпингуют за счет этого.

тут на форуме таких тоже достаточно с большой стпенью вероятности.

К сожалению да, но это их выбор воровать и демпинговать, только вот как правило качество продукта на выходе соответствует качеству подвального китая мягко говоря. Как правило такие вкручивают разные нитро и т.п. пакости в магазины и при любом чихе магазины как карточные домики падают.

16 минут назад, sazonoff сказал:

да, это вопрос порядочности.

 

но в глазах жадного заказчика порядочный исполнитель будет выглядеть хапугой, заламывающим цены, а вот халтурщик, который демпингует, будет выглядеть человеком с "адекватными ценами".

Ну здесь такое может быть. Хотя при выборе врача например многие же дешевле не ищут)

11 минут назад, Rassol2 сказал:

Если цена вопроса взлома версии куба под php 7+ дороже моего модуля, то я считаю зашиту кубированием более чем эффективной.
И чем дороже взлом обходится тем зашита эффективнее.

Ну здесь понимаете в чем засада. Может взломать и стоит много денег и усилий, но это надо сделать всего один раз а потом продавать как свое или бесплатно раздавать. Сам не могу понять зачем так делать в чем их мотивы или профит чтоли.

Надіслати
14 минут назад, Exploits сказал:

Может взломать и стоит много денег и усилий, но это надо сделать всего один раз а потом продавать как свое или бесплатно раздавать.

 

это будет верно в том случае если, например, один раз взломали и сделали kyegen.

например, так ломали первые версии закодированной Симплы.

 

Если авторы делают примитивные проверки лицензии, то одного раза будет достаточно. Но тут уже сами авторы виноваты.

 

Бесплатно раздают в основном те, кто своровал ворованное у воров.  Но и  воры нынче пошли хитрые.

Раньше kyegen-ы продавали как отдельные файлы. Но другие честные воры стали выкладывать эти kyegen-ы бесплатно на варезных свалках, правда за лайки и сообщения. Т.е. они тоже в итоге монетизировали вроде как бесплатную раздачу kyegen, в итоге у них - больше посетителей, больше дохода от рекламы и т.д.

 

Но кулхацкеры обиделись на честных воров и перестали раздавать kyegen-ы, но стали предлагать их по подписке только с запуском на веб-сайте.   Купил подписочку - генери сам сколько хошь, а другому передать  - ни ни!

 

Да и воры там тоже друг с другом грызутся и тоже пытаются наказать друг друга если спер один вор ворованное у другого вора.   Они тоже за "честную конкуренцию"!

 

Если kyegen сделать нельзя, то будут ломать каждый раз новую версию. Но ломать иначе.

Змінено користувачем sazonoff
Надіслати
16 минут назад, Exploits сказал:

Ну здесь понимаете в чем засада. Может взломать и стоит много денег и усилий, но это надо сделать всего один раз а потом продавать как свое или бесплатно раздавать. Сам не могу понять зачем так делать в чем их мотивы или профит чтоли.

Я на это смотрю немного иначе.
Представим варезный сайт который позволяет качать все по подписке. К примеру минимальный тариф 5баксов.

Для держателей вареза взлом одного модуля будет 100$
ну и что бы покупали подписку нужно предоставить асортимент. К примеру 100модулей.
Вот 100 модулей по 100$ уже 10к $

И это в пределах одной итерации обновления модуля.
вопрос профита заниматься этим.

Задача в том что бы хацкерам нужно было тратить больше сил денег на взломы, и тогда они будут завышать цены вареза.

И пока это не станет экономически не целесообразно.
Ведь обратите внимание цены на модули на этом ресурсе в 95% случае более чем демократичны.

 

И с этой точки зрения не делать куб это своеобразное помочь в поддержании серого рынка.
Ох меня сейчас за это , ратататататата. :grin:
 

Надіслати

Нет смысла рассуждать о надежности защит. Все они ненадежны. И мифы об их стойкости основаны на фантазиях. Заинтересованность и материальные ресурсы ломают любую защиту. Ионкуб создавался для того, чтобы его разработчики на этом зарабатывали "впаривая" идею защиту кода. Да, он дает иллюзию защиты, но это защита от просмотра и изменения. Люди, пишущие на языке программирования типа php, для написание кода на котором достаточно блокнота, ничего не знают о людях которые пишут настоящие программы, разбирающихся в архитектуре ОС и "железе".  Вы даже представить себе не можете, на что способны хорошие реверсы. И если ваш код не взломали - это значит лишь одно, он никому не нужен.

Все что нужно для успешных продаж - это качественный, продуманный продукт, наличие документации, быстрое исправление ошибок и регулярный выпуск новых версий с новыми возможностями. И тогда это будут покупать, а не выкладывать в свободный доступ. Не задумывались о том, что причина появления модулей (шаблонов) в свободном доступе - это недовольство пользователей их купивших, вызванное различными причинами.

Надіслати
29 минут назад, Rassol2 сказал:

Для держателей вареза взлом одного модуля будет 100$

 

для нормально закубленного модуля примерно такой порядок и будет.

Но дело в том, что сейчас с нормальной защитой от силы 10%, а может и 1%.

Потому что все эти 90% разрабов рассуждают в стиле "все равно сломают".

 

32 минуты назад, Rassol2 сказал:

Вот 100 модулей по 100$ уже 10к $

 

Вот если разрабы отойдут от этих догм ("всё взломают") и начнут нормально защищать, то ваш расчет будет отражать реальность, но пока это нет так.

Вопрос - а как побудить разрабов заботиться о защите несколько больше чем сейчас?

Вот вы уже озаботились, а много ли таких как вы?

 

34 минуты назад, Rassol2 сказал:

Задача в том что бы хацкерам нужно было тратить больше сил денег на взломы, и тогда они будут завышать цены вареза.

И пока это не станет экономически не целесообразно.

 

да верно все в принципе.  только разрабам либо квалификации в вопросе защиты крайне не хватает, либо, ну не знаю чего?

у вас есть варианты чего разрабам не хватает?

 

1 час назад, AWARO сказал:

и он утверждал что его зашита не ломается
он там какието зихера творил с кубом

 

Подтвержением тому будет отсутствие его продуктов на варезе.  Модуль вроде бы дорогой, продаж больше полтыщи, а че на варезе то нету?

Может ломать не хотели?  Слабо верится. А если ломали, то почему не сломали? Не смогли?

Надіслати
3 минуты назад, Edvard сказал:

ничего не знают о людях которые пишут настоящие программы, разбирающихся в архитектуре ОС и "железе".  

Как хорошо, что люди которые пишут вирусы, нихрена не разбираются в железе
 

 

5 минут назад, Edvard сказал:

то причина появления модулей (шаблонов) в свободном доступе - это недовольство пользователей

Вы реально так считаете? Что купивших код, и поленившийся обратиться в поддержку.. будет выкладывать, чтобы насолить автору?

  • +1 1
Надіслати
11 минут назад, Edvard сказал:

Нет смысла рассуждать о надежности защит. Все они ненадежны. И мифы об их стойкости основаны на фантазиях. Заинтересованность и материальные ресурсы ломают любую защиту. Ионкуб создавался для того, чтобы его разработчики на этом зарабатывали "впаривая" идею защиту кода. Да, он дает иллюзию защиты, но это защита от просмотра и изменения. Люди, пишущие на языке программирования типа php, для написание кода на котором достаточно блокнота, ничего не знают о людях которые пишут настоящие программы, разбирающихся в архитектуре ОС и "железе".  Вы даже представить себе не можете, на что способны хорошие реверсы. И если ваш код не взломали - это значит лишь одно, он никому не нужен.

Все что нужно для успешных продаж - это качественный, продуманный продукт, наличие документации, быстрое исправление ошибок и регулярный выпуск новых версий с новыми возможностями. И тогда это будут покупать, а не выкладывать в свободный доступ. Не задумывались о том, что причина появления модулей (шаблонов) в свободном доступе - это недовольство пользователей их купивших, вызванное различными причинами.

А вы никогда не задумывались что сливают модули не обычные люди которые купили их для себя ?
У нас человек удавится сигаретой поделится на улице, а тут пару тыш потратил на модуль стал недовольный и слил. ШАС!!!

Вы не думали что это целая индустрия? И ей не важно качественный продукт или нет. Ей важна только одна метрика, интерес покупателя.
Так что все размышление о качестве продукта, это все не в тему.
Напишите качественно вы будете первые слиты, даже если все ваши клиенты будут вам безмерно благодарны.

  • +1 2
Надіслати
8 минут назад, Edvard сказал:

Не задумывались о том, что причина появления модулей (шаблонов) в свободном доступе - это недовольство пользователей их купивших, вызванное различными причинами.

 

о как!

 

9 минут назад, Edvard сказал:

Все они ненадежны. И мифы об их стойкости основаны на фантазиях.

 

мифы о НЕнадежности основаны на фантазиях, точнее на других фантазиях с одновременным отсутствием нужной квалификации.

 

10 минут назад, Edvard сказал:

Все они ненадежны.

 

но в разной степени.

 

Ровно также справедливо утверждение:

 

Цитата

любую броню можно пробить

 

Можно, не из пулемета, так из гаубицы. Ну а если гаубица бессильна, то можно тогда ядреной бомбой.

Надіслати
6 минут назад, Rassol2 сказал:

Напишите качественно вы будете первые слиты, даже если все ваши клиенты будут вам безмерно благодарны.

 

есть примеры когда была сделана одна покупка и модуль сразу же появился на варез-барахолке.

Потому, что уважающая варез-барахолка следит за новинками и хочет чтобы на ней новинки появлялись как можно скорее.

 

При таком подходе нередко даже гугл выводит варез-барахолку на более высокое место чем официальная торг-площадка.

Продвижение, однако!

Надіслати

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.