Как ограничить установку модуля не более одного домена

[AdrianNight]

Привет. Интересно, а как сделать ограничение на установку модуля не более чем на один домен? 

[noVe]

Добавить в модуль код, который проверял бы название домена - если не соответствует, то модуль не работает. Ну и сам код закодировать, чтобы не поправили "добрые" люди :)

[AdrianNight]

Добавить в модуль код, который проверял бы название домена - если не соответствует, то модуль не работает. Ну и сам код закодировать, чтобы не поправили "добрые" люди :)

А пример такого кода, если не сложно, можете показать?

[deim]

Если вы не можете написать такой код, тогда и за модуль денег просить права не имеете.

[RGB]

А пример такого кода, если не сложно, можете показать?

/index.php

найти код

$response->output();

заменить на

if ($_SERVER['HTTP_HOST']=="client-site.com") {
    $response->output();
};

Осталось самое простое - закодировать :)

[AdrianNight]

Если вы не можете написать такой код, тогда и за модуль денег просить права не имеете.

 

Ну собственно не в этом дело, имею ли, или не имею. вопрос собственно вообще в другом здесь. Тут важно что бы в паблик не попало то, что предназначается для личного использования. И хотя широкой общественности данный модуль вряд ли будет интересен, хочется сохранить его

[cmd]

 

[AdrianNight]

 

Ага, использую) Так ни чего адекватного и не нашел блин(

[cmd]

Не верю

[sv2109]

Правда в том, что нормальной, 100% защиты php скриптов просто не существует. Так как php это некомпилируемый язык программирования.

Проблемы 2:

1. привязка к домену. Если брать $_SERVER['HTTP_HOST'] то ее несложно подделать

2. шифрование. Без шифрования любая защита обходится за 2 минуты, просто удалением из кода строки проверки. Шифровать php код можно 2 способами:

- обфускация, но все обфускаторы что есть в паблике (по крайней мере все те, что я видел, а я их перепробовал уже не один десяток) достаточно просто обходятся, для многих есть даже онлайн сервисы деобфускации. Это скорее защита от дурака, да 99% пользователей это остановит, но попадется 1 умный и скрипт уйдет в паблик.

- кодировщики типа зенд гуарда и ионкуба. Первый вроде вообще без проблем взламывается, ионкуб 7 версии тоже. На данный момент вроде как не взламывается только 8-мой ионкуб (по крайней мере в паблике декодировщика нету), так как он вышел всего полтора-два месяца назад. Но, думаю, это просто вопрос времени.

Так что, как я писал выше, нормальной 100% защиты просто не существует.

[RGB]

Холиварная тема конечно, но соглашусь с sv2109 - кодируй-не кодируй, а для разработчиков, особенно из СНГ, на самой продаже модулей или шаблонов серьезных денег не заработать. Украдут, раскодируют, вскладчину начнут покупать, жлобясь 50 рублей заплатить за модуль, на поддержке вроде как тоже геморроя выше крыши, а денег практически никаких, про донейты я вообще молчу - надо быть совсем радужным оптимистом, чтобы на это рассчитывать :) Короче говоря, вариантов не много - или иметь основную работу отдельно от всего этого, а разработками заниматься чисто for fun, из альтруизма и человеколюбия, или ориентироваться в основном на более "цивилизованный" и менее жадный буржуйский сегмент, или предложить что-то интересное для крупного бизнеса (например, как в свое время Magento с eBay).

[AdrianNight]

Не верю

 

Ну-ну, сам бы я не догадался погуглить))))) К сожалению есть из успешного только видео))) указаный на видео сайт более не работает))) Есть еще Codelock Tracker, но триал 15 дней. Вот собственно буду его тестить эти 15 дней, и в случае если все норм, придется прикупить цацку. Правда если честно отзывы по нему не читал еще, вот щас займусь

[AdrianNight]

Правда в том, что нормальной, 100% защиты php скриптов просто не существует. Так как php это некомпилируемый язык программирования.

Проблемы 2:

1. привязка к домену. Если брать $_SERVER['HTTP_HOST'] то ее несложно подделать

2. шифрование. Без шифрования любая защита обходится за 2 минуты, просто удалением из кода строки проверки. Шифровать php код можно 2 способами:

- обфускация, но все обфускаторы что есть в паблике (по крайней мере все те, что я видел, а я их перепробовал уже не один десяток) достаточно просто обходятся, для многих есть даже онлайн сервисы деобфускации. Это скорее защита от дурака, да 99% пользователей это остановит, но попадется 1 умный и скрипт уйдет в паблик.

- кодировщики типа зенд гуарда и ионкуба. Первый вроде вообще без проблем взламывается, ионкуб 7 версии тоже. На данный момент вроде как не взламывается только 8-мой ионкуб (по крайней мере в паблике декодировщика нету), так как он вышел всего полтора-два месяца назад. Но, думаю, это просто вопрос времени.

Так что, как я писал выше, нормальной 100% защиты просто не существует.

 

Угу, проведя часов 5 в поиске решения, вынужден согласиться.  

[sv2109]

Есть еще Codelock Tracker

На первый взгляд какая-то лажа..

- зарегистрироваться не могу чтобы получить триальную версию, выдает ошибку

- демо не работает, ни админка и фронтенд, вообще не рабтает, куча ошибок

- сам сайт не внушает доверия никакого, куча каких-то отфотошопленых стоковых картинок

+ они не используют кодировщики типа иокуба, у них какой-то свой кодировщик (или скорее даже обфускатор), насчет которого у меня есть больший сомнения насчет его защиты. Если ионкуб взламывают.. то этот обфускатор мне кажется взломают вообще без проблем..

[AdrianNight]

На первый взгляд какая-то лажа..

- зарегистрироваться не могу чтобы получить триальную версию, выдает ошибку

- демо не работает, ни админка и фронтенд, вообще не рабтает, куча ошибок

- сам сайт не внушает доверия никакого, куча каких-то отфотошопленых стоковых картинок

+ они не используют кодировщики типа иокуба, у них какой-то свой кодировщик (или скорее даже обфускатор), насчет которого у меня есть больший сомнения насчет его защиты. Если ионкуб взламывают.. то этот обфускатор мне кажется взломают вообще без проблем..

 

Та же лажа) Триал скачать не получится, поскольку работа над hgjtrnjv не то закрыта, не то еще чет там у них)

 

Кстати есть мнение:

 

Я бы посоветовал Вам быть немного универсальнее...

А именно если Вы делаете такую привязочку с целью защиты от несанкционированного распространения скрипта то вот чтобы я Вам порекомендовал...

На своём хосте создать базу по хостам которые лицензионные и организовать проверку удаленную примерно так:

Скрипт на Вашем сервере:

Допустим на Вашем хостинге используется MySQL и на хосты вот такая табличка: первое поле ID второе HOST, имя таблички Good_Host

<?php

// Секция базы данных

$site['db']['user'] = "Пользователь";

$site['db']['pass'] = "Пароль";

$site['db']['base'] = "Имя базы";

$site['db']['host'] = "Ваш хост";

$site['coding']    = "cp1251";

$site['loc']     = "cp1251_general_ci";

// Соединямся

        $connect = @mysql_connect($site['db']['host'], $site['db']['user'], $site['db']['pass'])or

        die("Ошибки при попытке соедениться с сервером баз данных.");

        $select = @mysql_select_db($site['db']['base'])

        or die("Ошибки при попытке соедениться с базой данных.");

        // попытка решить проблему кодировок

        @mysql_query("SET NAMES '".$site['coding']."'");

        @mysql_query("SET CHARACTER SET '".$site['coding']."'");

        @mysql_query("SET @@collation_connection = ".$site['loc']."");

// Выберим данные

$res = @mysql_query("SELECT `HOST` FROM `Good_Host`;");

$array = @mysql_fetch_assoc($res);        

// Проверим есть ли хост переданный нам для проверки в списке

foreach ($array as $val) {

    if (trim($val) == $_GET['host']){

        // Если есть выведим такой статус

        header('Status: 202 Accepted');

    }

}

?>Тут же можно организовать занесения в черный лист и тд...

Скрипт который будет в Вашем приложении отвечать за проверку выглядит примерно так

<?php

$fp = fsockopen("Ваш хост", 80);

fputs($fp, "GET /имя_скрипта.php?host=".$_SERVER['HTTP_HOST']." HTTP/1.1\r\n");

fputs($fp, "Host: localhost\r\n");

fputs($fp, "Connection: close\r\n");

fputs($fp, "\r\n");

// Если нелегальное использование, выведим сообщение...

if(!check_header($fp)) exit("Ну и какого хрена???");

fclose($fp);

//

// Ну а тут уже Ваши данные и тд..

//

//

function check_header($fp){

    while (!feof($fp)){

     if (substr_count(fgets($fp, 1000), "Status: 202 Accepted") == 1){return true; }

    }

     return false;

}

?>

Далее берем Вот этот инструмент: TrueBug PHP Encoder и кодируем нужный файл.

Данная софтина не требует установки чего то на хост и до безобразия проста...

В инете она есть...

 

Это я нарыл на одном из форумов. Не приложу ума, можно ли это использовать, и если можно, то как)

[sv2109]

пс скачал триал версию этого кодлока.. http://www.codelock.co.nz/demos.php

как я и предполагал - там используется обфусактор, причем довольно не сложный, основной код скрыт через eval(base64_decode());

меняем eval на echo и получаем код :) это еще не весь код, там дальше еще что-то закодировано, нужно разбираться с кодом но потратив минут 15-30 думаю без проблем его можно взломать

защита от дурака в общем

[AdrianNight]

Пока что временно решил воспользоваться php lockit, там есть привязка к домену, и файл шифрует. Триал 30 дней. Может и какое другое адекватное решение найдется. Вообще хорошо бы если бы это была выдача лицензий

[AdrianNight]

А на форуме ж продаются модули с установкой только на один домен. Интересно, они тоже используют такую вот нехитрую систему???

[RGB]

А на форуме ж продаются модули с установкой только на один домен. Интересно, они тоже используют такую вот нехитрую систему???

А вы требования к хостеру со стороны таких модулей видели в описании? Почти у всех ioncube

[AdrianNight]

А вы требования к хостеру со стороны таких модулей видели в описании? Почти у всех ioncube

Ага, значит по умолчанию защита слабая. Да к тому же неудобство для пользователя. 

[deim]

да ё* же ж вашу ****!!! Что вы такое пытаетесь скрыть, если ни*** в этом не разбираетесь?

Чьи затраты при этом окупятся?

 

Ваши? Тогда читаем. Не ваши? Тогда зачем? Кто автор кода? Что за х**та в нём написана, что его прятать нужно, даже если "общественности он будет не интересен"(с) ?

Да и как вообще этот код в паблик попадёт? Опа.. снова вопрос об авторстве.. а не украли ли вы его?

 

Я вам под каждым сообщением теперь готов минус проставить в этой теме, но не спешу. Лично я категорически против таких параноиков, о чём неоднократно говорил.

Но вы вообще какую-то полную ахинею несёте.

 

Я не вижу ни цели, ни причины в ваших намерениях. Ей богу, ведёте себя как школьник, которому свой код показать стыдно даже заказчику.

В чём смысл?

[AdrianNight]

да ё* же ж вашу ****!!! Что вы такое пытаетесь скрыть, если ни*** в этом не разбираетесь?

Чьи затраты при этом окупятся?

 

Ваши? Тогда читаем. Не ваши? Тогда зачем? Кто автор кода? Что за х**та в нём написана, что его прятать нужно, даже если "общественности он будет не интересен"(с) ?

Да и как вообще этот код в паблик попадёт? Опа.. снова вопрос об авторстве.. а не украли ли вы его?

 

Я вам под каждым сообщением теперь готов минус проставить в этой теме, но не спешу. Лично я категорически против таких параноиков, о чём неоднократно говорил.

Но вы вообще какую-то полную ахинею несёте.

 

Я не вижу ни цели, ни причины в ваших намерениях. Ей богу, ведёте себя как школьник, которому свой код показать стыдно даже заказчику.

В чём смысл?

 

Ого... Какой злой)))

 

Все просто) Я оплатил разработку модуля. Он представляет интерес определенному кругу людей (и мне в том числе). При заказе сразу с разработчиком договорился, что все права на модуль переходят ко мне, что буду его продавать. Вот собственно и вся трабла. Модуль лично мне скажу прямо вышел не дешево (не хотелось бы называть сумму), и просо так отдать его на растерзание тем кому он нужен (ну вот не уверен я в честности всех тех, кому он может понадобится), мне сами понимаете не резон. Однако вот вопрос защиты от того, что бы его купили а потом слили в паблик - стал непосредственно после того как все было готово (да и автор модуля тоже не придумал как бы его защитить, ну или не захотел придумать). 

 

Так, ну вроде внес ясность?

[deim]

Да, внесли. Спасибо.

 

Итак, по порядку:

1) Одна копия у автора. 

Если модуль правда достоин продажи, то автор его на продажу выставит. Возможно доработав, а может и голым. Не столь важно, мы к этому вернёмся.

 

2) Вторая копия у вас.

Хм. Это же оригинал! Вы же за него денег заплатили!.. Чёрт, опять понесло  :ph34r:

Так вот, с сайта у вас его не украдут. Он уже установлен. Стырить его без взлома невозможно (если это конечно не полностью написанный на js модуль)

но вот автору запретить вы не можете...

 

3) Если он и правда так дорого стоил, то 

 - а)  автор мог бы и уметь ставить защиту, иначе вопрос о его профпригодности.

 - б) обратитесь к нашим первопроходцам - cmd и ocshopworld, которые уже внедряют защиту своих дополнений. Как минимум - у них уже есть опыт, и они смогут вам кроме советов (возможно платных) подсказать о грядущих подводных камнях.

 

Ну и далее, чтобы всё-таки не развивать холивар на весьма волнующую меня тему, советую почитать вот эти два топика (мы там пытались добраться до истины): 

Криптование дополнений и о халявщиках на чужом труде

[AdrianNight]

Да, внесли. Спасибо.

 

Итак, по порядку:

1) Одна копия у автора. 

Если модуль правда достоин продажи, то автор его на продажу выставит. Возможно доработав, а может и голым. Не столь важно, мы к этому вернёмся.

 

2) Вторая копия у вас.

Хм. Это же оригинал! Вы же за него денег заплатили!.. Чёрт, опять понесло  :ph34r:

Так вот, с сайта у вас его не украдут. Он уже установлен. Стырить его без взлома невозможно (если это конечно не полностью написанный на js модуль)

но вот автору запретить вы не можете...

 

Да, модуль мой! Денег заплатил! Хватит подозревать то уже)))

 

Боюсь что не с сайта у меня его украдут, а какой ни будь "шустрик" после покупки модуля, выльет его в паблик. 

 

И кстати идея о том, что бы пугать обновлениями и поддержкой - мне кажется имеет все же какой бы то ни было смысл)

 

По поводу честности автора модуля... Ну даже если он толкнет его парочке своих знакомых, думаю не страшно) В паблик тоже думаю не сольет его, ну вот уверен я в нем! 

 

И кстати про почитать, это я с удовольствием! За что кстати спасибо (за ссылки)!

[deim]

Да не за что :) Подозрения временно сняты  :-D

Вам спасибо за адекватность. Редкость ныне.