Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Блог Exploits

  • запис
    1
  • коментарів
    246
  • переглядів
    2 068

Почему ioncube это зло


Exploits

18 478 переглядів

ioncube зло?  

144 голоси

You do not have permission to vote in this poll, or see the poll results. Будь ласка, увійдіть або зареєструйтеся для голосування в опитуванні.

 

ioncube - это некий способ защиты исходного кода модуля. Но так ли он хорош и есть ли в нем необходимость?

 

К сожалению в наших широтах нет понятия авторского права и его никто не соблюдает.

Что же делать, и как защитить годы работы над модулем от пиратства? Все просто - кодировать код с помощью ioncube, то есть "закубить".

Да, ведь это решение проблемы, но не все так просто и ванильно.

Дело в том что когда мы кубим модуль исходный код превращается в набор символов и что-либо поменять там невозможно.

Вот оно счастье! Функционал проверки лицензии никто теперь не хакнет. Но, как всегда есть но, и не одно.

 

Почему не стоит использовать ioncube

 

1) Это не защита от пиратства, разве что только от мамкиных хацкеров.

Дело в том что ioncube можно раскодировать и те кто занимается взломами модулей делают это легко.  Толку от такой защиты нет. Да, школьники которые за пару долларов "делают сайты" под ключ конечно не ломанут модуль, но им ничего не стоит найти его уже взломанным на варезе. Понимаете суть - тот кто изначально не нацелен покупать, он не купит.

 

Делайте модули которые хочется покупать. Ставьте адекватный ценник, оказывайте хорошую поддержку. По сути модуль это программная база, но когда человек покупает его он в первую очередь покупает поддержку - это очень важно понимать.

 

2) При любом шорохе у покупателя автоматически будут проблемы!

Уважайте своих клиентов. Жизнь магазина зачастую достаточно динамична. Владелец может сменить хостинг, версию php и получить на сайте проблемы. Ему нужно будет вспоминать где и когда он покупал модуль, у кого, и на что именно ругается. Сменили php - надо загружать отдельный дистрибутив под ту версию что у вас. Автор может уйти в загул или быть занятым для оперативного ответа. Также многие разработчики делают обновления достаточно сложными и для получения модуля нужно предьявить чуть ли не паспорт. Номер счета или место покупки могут и не помнить - это нормально.

 

3) Поменять/доработать ваш код нет возможности - это сильно усложняет жизнь коллегам и владельцам сайтов

Буквально вчера мне нужно было подружить мой модуль с другим, который меняет цены. Ок, зашел в код того модуля посмотреть какие данные нужны его функции и увидел там набор символов… Без кодировки моя работа бы заняла 2 минуты. С кодировкой пришлось подставлять данные и смотреть на ошибки, то есть работать в слепую. Итого минут 20-30 у меня ушло. (В такой ситуации еще легко все прошло) Вы думаете там модуль с мега функционалом или с алгоритмами которые уведут из-за уникальности? Не думаю, там просто подсчет чисел (+/- от цены, ну и проценты).

 

Владельцам еще веселее. Допустим есть 2 модуля, их нужно подружить. Коды закрытые у обеих. Авторы как всегда загруженные и не делают такого. Можно найти человека который смог бы сделать связь модулей за пару часов. Но засада, исходники под кубом и ничего сделать невозможно. Приходится делать либо кастом в разы дороже модуля (если не в десятки), либо через костыли что-то мастерить. Как вы понимаете подход так себе.

 

4) Скрытый код - возможные проблемы безопасности

Когда в модуле открытый код многие коллеги туда заходят посмотреть или поправить что-то под заказчика. Так вот одна голова хорошо, но фидбек от коллег еще лучше. К чему я. Вот сделали вы модуль, ок, но где-то ошиблись и допустили баг(и). Сами в силу загрузки или опыта не можете их выявить, но их может увидеть другой разработчик и вам об этом сообщить. Когда приходят багрепорты вы их можете фиксить тем самым улучшить модуль.

 

Также сами авторы, как уже упоминал, всегда загружены. А покупателю нужно в модуле что-то поменять или доработать. В закодированном варианте у покупателя есть закрытое решение и все. Когда модуль открыт его доработать может любой другой человек без привязки к автору.

 

Не стоит забывать что магазин это бизнес и в нем должно быть все безопасно. Код модуля под кубом нельзя просмотреть и сказать что в нем. А там может быть дыра, или же критическая ошибка, или же специально оставленный автором "ход" для контроля или еще чего-либо. То есть владелец сайта просто не знает что у него в магазине, плохо спит из-за чего качество его жизни стало хуже. А причина в этом ioncube.

 

------------------------------

 

Все это мое личное мнение и мои наблюдения за года работы с магазинами. Может что забыл, вспомню - дополню.

Буду рад обсуждениям, дополнениям и конструктивной критике. И как было написано что одна голова хорошо, а мнение коллег еще лучше :) 

  • +1 8

246 коментарів


Recommended Comments



ну вон же на днях был яркий пример с фрилансером а оказалось что там шифрование такое что вы даже пароль к бд не можете поменять чтоб модуль не слетел 

  • +1 1
Надіслати
11 минут назад, chukcha сказал:

Кубик зло

то есть категорически и бесповоротно ?

как - алкоголь зло, его надо искоренять. так ? ))))

а вариант - все в меру не проходит ? ))))))))

Надіслати

я знаю 2 популярных модуля где все в меру 

остальное - либо говнокод либо непопулярно либо автор мудила и если его серверу привет то магазин лежит в лучшем случае без надписи не найден ключ пиши в мыло и само мыло 

забыл ещё 1 вариант - функционал модуля можно повторить за час без особых навыков 

 

ну это я так, по опыту говорю, может на деле все гораздо лучше 

  • +1 1
Надіслати
8 минут назад, egor23 сказал:

а вариант - все в меру не проходит ?

 

вообще, любая крайность - вот это зло лютое.

 

20 минут назад, spectre сказал:

даже пароль к бд не можете поменять чтоб модуль не слетел

 

ну так это и есть крайность, не?

 

Да и по большей части все эти крайности случаются от неграмотности и от не желания изучать основы защиты приложений.

Почему бы не использовать нормальные приемы?

Почему бы не почитать книжки, доки с мануалами, в которых написано что и как нужно делать грамотно?

Почему бы не получить информацию у тех, кто отлично владеет этим вопросом как в теории, так и на практике?  На практике - это самое важное, не так ли?

 

Почему каждый решил, что он может быть специалистом в области безопасности, но при этом совершенно не владея основами этой безопасности?

Вот в этой теме куча заблуждений высказана только потому, что нет у людей достаточной информации.

 

Все обсуждение возможной защиты и взлома строится на уровне догадок и предположений. Хотя защита информации - это особая наука. 

 

Не помешало бы всем программистам прослушать курс лекций о защите информации.

Надіслати
11 минут назад, spectre сказал:

и если его серверу привет то магазин лежит

 

так это еще более лютое зло чем наличие файлов под ионкубом.

это и есть крайности, в которые впадают по не знанию способов защиты.

 

неграмотность в сфере защиты как раз и толкают на использование сомнительных способов защиты.  Каждый старается изобрести свой кривой велосипед защиты, но не у всех он едет.

 

42 минуты назад, spectre сказал:

на днях был яркий пример

 

интересно почитать. можно пруф?

Надіслати
29 минут назад, egor23 сказал:

то есть категорически и бесповоротно ?

Если хотите - да

Пример с популярным модулем только что привели.

 

Тем более, если модули делает один человек.
Что-то случилось - нет модуля.

 

18 минут назад, spectre сказал:

функционал модуля можно повторить за час без особых навыков 

или доработать если открыт.
 

  • +1 1
Надіслати
8 минут назад, sazonoff сказал:

Не помешало бы всем программистам прослушать курс лекций о защите информации.

У сайткреатора в закрытом блоге было много  на эту тему..
Про ключи, про возможности куба, про типы ключей, про взлом , симметричное и не симметричное шифоование в кубе.

Надіслати

вообще я считаю обсуждение данной темы это переливание из пустого в порожнее, уже много раз обсуждали и если посмотреть эти темы то обсуждение практически в каждой одних и тех же людей.

по сути обсуждения совершенно не нужные и бесполезные, так только что бы язык почесать.

1. кто кубил тот так и будет кубить. хоть вы тут что говорите.

2. как тут уже говорили, кубик это только инструмент, которым пользуются те кто умеет и те кто не умеет. говорить категорически что куб зло это все равно что говорить к примеру что сигнализации на авто это тоже зло, потому что она может на чужой машине под окнами заорать ночью и разбудить, потому что она может заглючить и машина не заведется, и т.д.

да и вообще можно привести много примеров, что по таким принципам надо считать злом.

но от этого этого зла меньше не становиться и пользуются как и пользовались )))

3. покупатель сам в праве решать, ставить модуль под кубом или нет, если ставит значит он осознает и берет на себя всю ответственность за его использование. так же как в банке, взял кредит, значит прочитал и согласился с условиями. и не надо потом ныть, что типа условия плохие и т.д.

4. не устраивает под кубом, ищи другой подходящий по функционалу но без куба. или заказывай индивидуально под себя - но цена будет другой соответственно, а это самый больной вопрос )))) все хотят, хорошее, дешево и т.д. в связи с этим многие прутся на варез, там дешево, а вот что потом ... это уже как фишка ляжет )))

5. основная беда не в кубике, а в том что клинты не хотят платить , вот основное зло ! ))))

 

Надіслати
2 минуты назад, egor23 сказал:

основная беда не в кубике, а в том что клинты не хотят платить , вот основное зло ! ))))

 

Не соглашусь, клиенты хотят платить

 

но чтобы при этом им сделали работу хотя бы нормально, не сломали ничего вокруг, не рассказывали про "переводил бабушку через дорогу"

 

Просто как говорит один известный господин

 

Спойлер

Набор стикеров для Telegram «Виталий Кличко» в 2020 г | Братские цитаты,  Смешной юмор, Мемы

 

Надіслати
13 минут назад, egor23 сказал:

1. кто кубил тот так и будет кубить. хоть вы тут что говорите.

 

и кто до этого не кубил, тот, как минимум, задумается рано или поздно об этом. Или о других способах защиты. Например, привязывают к своем серверу, что в 1000 раз хуже куба. Пример - лайтинг, автор самоустранился, долго ли будет работать его сервер и, соответственно, программа на сайтах? Как известно, то автор банально хранит настройки программы у себя на сервере для каждого сайта.

 

13 минут назад, egor23 сказал:

2. как тут уже говорили, кубик это только инструмент, которым пользуются те кто умеет и те кто не умеет

 

вот все проблемы проистекают от тех, кто не умеет.

и тут проблемы либо самому автору, т.к. его продолжают ломать хоть под кубом его код, хоть - нет.

либо проблемы уже пользователям.

но часто и тем и тем одновременно, т.е. проблемы - всем. И защитить не смог автор от взлома нормально, но только геморроя добавил пользователям.

Надіслати
4 минуты назад, spectre сказал:

Не соглашусь, клиенты хотят платить

соглашусь, но от части.

большее конечно зло в доморощенных прахрамыстах, которые научились разворачивать движок, натягивать шаблон и тыкать модули и прутся на фриланс позиционируя себя спецами, и которые хотят купив один раз модуль тыкать его всем подряд. но от этого и возникают цены - 15-20 т.р. за магазин ))) а что из этого получится никто из клиентов не понимает, главное цена.

поставте себя на место клиента, он спрашивает тут, ему заряжают 60-70, а на фрилансе - 20. куда он пойдет ? а потом он возвращается сюда и начинает плакаться что магаз по нормальному не работает. что он уже заплатил и т.д.

что мало тому примеров ?

я сам для интереса создавал акк на фл как заказчик, если все описывать что там и за какие деньги предлагали, война и мир отдыхает )))

и самое главное, начинаешь задавать конкретные вопросы, практически никто нечего внятного ответить не может ))) но это я, потому что понимаю, что и как, а клинт который в этом 0 ?

его интересует только цена.

Надіслати
8 минут назад, spectre сказал:

ну я видел и ломаный даже не переведённый журнал за 70 тысяч гривен

бывают исключения из основных правил )))

но это исключения.

лично я за последний год переделывал магазы после дватцатитысячных фрилансов 8 штук.

и везде одна и та же история.

Надіслати

  

В 19.11.2020 в 04:39, Dotrox сказал:

Привязка лицензии к содержимому файла конфига - это очень плохая практика!

 

это из темы про фильтр про.

не, ребята, такой хоккей нам не нужен!

 

Я ж и говорю, эти все извращения от незнания основ защиты. Овладели php и все? 

 

53 минуты назад, chukcha сказал:

У сайткреатора в закрытом блоге было много  на эту тему..
Про ключи, про возможности куба, про типы ключей, про взлом , симметричное и не симметричное шифоование в кубе.

 

Вот эти знания как раз будут в тему.

Тогда и не будет казусов как с дополнениями у @freelancer

Вот на конкретно возникшей проблеме можно с уверенностью сказать, что возникла она вовсе не из-за куба. А из-за желания изобрести  свой велосипед защиты, который в итоге не поехал, но всех только напугал, включая самого разраба.

 

  • +1 1
Надіслати
15 hours ago, egor23 said:

вообще если присмотреться, то 90% тех кто кричит что кубик зло на деле сами ничего никогда не написали и не представляют что значит потраченное время и неоправданные надежды на то что бы что то заработать.

 

Если бы вы действительно ценили свое время то не продавали бы модули по 5 долларов за штуку. 

А г..-модулей по типу "Добавление кнопки" вообще быть в продаже не должно. 

  • +1 2
Надіслати
6 минут назад, magecode сказал:

Если бы вы действительно ценили свое время то не продавали бы модули по 5 долларов за штуку. 

не вам судить !!!

еще раз повторю, напишите хотя бы один стоящий модуль выложите в продажу, а потом разглогольствуйте тут.

Надіслати
20 часов назад, zCarot сказал:

К примеру есть мои модули которые попали под складчину..  Не вижу смысла даже обновлять или улучшать. 

Собрались 25 человек 

Цена модуля 900 

Сколько я потерял...

Вы сейчас считаете свои убытки, как их любят считать копирасты.

25 человек у вас как не покупали, так и не купят данный модуль, при любых условиях.

Двое купят, а 23 оставшихся нет.

Вот и вся арифметика.

Надіслати

@Vladzimir а вот вы скажите честно, почему не пишите модули на продажу ?

ну напишите вы хороший нужный спрашиваемый модуль, потратьте на него 5-6 месяцов своего труда и раздавайте бесплатно.

вы же не копираст и не будете считать свои убытки ))))

займитесь благотворительность. в чем проблема ?

вот тогда у вас будет право обсуждать об арифметике.

 

Надіслати
23 хвилини назад, egor23 сказав:

ну напишите вы хороший нужный спрашиваемый модуль, потратьте на него 5-6 месяцов своего труда и раздавайте бесплатно.

вы же не копираст и не будете считать свои убытки ))))

займитесь благотворительность. в чем проблема ?

Любопытно слушать, как боятся упустить хоть каплю выгоды люди, которые живут за счёт опенсорсного движка.

  • +1 2
Надіслати

@Dotrox а вам не любопытно слушать тех кто хочет наживаться на чужом труде ?

это для вас нормально ?

а то что люди хотят получить денег за свой труд, это для вас ненормально ?

интересная политика ))))

я не думаю, что вы клиентам ставите магазин за бесплатно, вы получаете прибыль и так же живете за счет опенсорного движка. это для вас нормально )))

обьясните, какое имеют право люди которые сами ничего не сделали возмущаться и высказывать претензии авторам модулей ?

еще раз повторю, не нравится покупать кубленые моды, нет проблем,никто вас не заставляет, пишите сами.

 

Надіслати
1 час назад, egor23 сказал:

@Vladzimir а вот вы скажите честно, почему не пишите модули на продажу ?

ну напишите вы хороший нужный спрашиваемый модуль, потратьте на него 5-6 месяцов своего труда и раздавайте бесплатно.

вы же не копираст и не будете считать свои убытки ))))

займитесь благотворительность. в чем проблема ?

Зачем мне "метать бисер" перед Sus scrofa domesticus?

P.S. В свое время, мои модули были написаны под 1.5, и распространялись под GPL-лицензией и распространялись бесплатно.

Надіслати
1 час назад, Dotrox сказал:

Любопытно слушать, как боятся упустить хоть каплю выгоды люди, которые живут за счёт опенсорсного движка.

Просто эти люди считают что их опенкорс опенсорснее других опенсорсов, поэтому они имеют право запрещать/защищать опенсорс посредством кодирования и других ограничений.

Надіслати
29 хвилин назад, egor23 сказав:

я не думаю, что вы клиентам ставите магазин за бесплатно, вы получаете прибыль и так же живете за счет опенсорного движка. это для вас нормально )))

Я отдаю свой долг опенсорс сообществу бесплатными консультациями на этом форуме.

И вы будете кусать локти, если попробуете посчитать сколько б денег я мог заработать, если б вместо каждого бесплатного совета предлагал решить вопрос за оплату.

Некоторыми моими бесплатно опубликованными решениями люди уже годами пользуются.

И, собственно, я тут такой далеко не один.

А вы чем похвастаетесь?

 

 

38 хвилин назад, egor23 сказав:

какое имеют право люди которые сами ничего не сделали возмущаться

Какое право имеют люди, которые никогда не делали колбасу возмущаться магазинной колбасой из сои и крахмала? Надо жрать и нахваливать!

 

 

40 хвилин назад, egor23 сказав:

высказывать претензии авторам модулей

2/3 модулей под ОК - это такое дерьмище, что лучше б эти авторы уроки делали, а не модули писали :)

Я с ОК работаю больше восьми лет и за это время много раз приходилось переписывать модули из-за того, что они просто не способны были нормально работать в реальном магазине заказчика (а не сферическом тестовом вакууме автора). А с кубленым модулем переписать уже не выйдет. Особенно, если автор пустился во все тяжкие и закубил вообще всё (а то вдруг его дерьмокод, который не может нормально работать, кто-то украдёт и одним дерьмомодулем станет больше - мир же этого не переживёт, и только ИонКуб спасает мир от такого сценария).

  • +1 2
Надіслати

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.