защита php файла с помощью пермутации

akifjev, всё хорошо, но при этом мы имеем закрытый исходник и отсутсвие возможности вмешаться в часть кода, которая иногда нужна... В частности ДЛЕ шифрует файл авторизации. Мне дважды приходилось вскрывать этот файл чтобы изменить способ авторизации на координально другой ибо там 2 или 3 функции, которые мне нужно было изменить, были именно в этом файле...

Защита на сервере разработчика хороша только если этот файл является критичным для работы, но тогда сталкиваемся с проблемой выше. Если же файл не критичен - то его легко дописать самому и CMS будет работать в обход твоей защиты...

Надо ещё учесть владельцев Денвера, которые хотят работать на локалхосте в поездках, дорабатывая дизайн или ещё что-то... Интернет им не нужен, либо его вовсе нет, а тут необходимость обработки данных сторонним сервером...

Ещё одной проблемой является перехват этого трафика... А) Можно отловить трафик и пустить его на другой сервер, генерируя аналогичные ответы; Б) Можно сделать прокси, на которую купить 1 лицензию, а все пиратки будут обращаться к ней; В) Злоумышленник может перехватить трафик между серверами и использовать это для взлома...

Так что идея плохая...

rayahari, идея хорошая, но тут встревает вопрос большой нагрузки... Оправдана ли она? Тем более, что такая схема лишь замедлит нуление на пару дней... Думаю, лучше смотреть в сторону ёна или зенда, которые по сей день являются более-менее сильной защитой... Ну по крайней мере от новечков... Ну а профи и так вскроют любую защиту...

И да, особенность PHP в том, что она не требует компиляции кода... Если распространять ту же CMS в скомпилированном виде до EXE/SO файлов, это сильно уменьшит поток клиентов до владельцев VDS в выше...
 
как вы представляете себе пермутацию на php - один скрипт генерирует другие скрипты и потом их выполняет? И что толку? весь код может быть пройден под отладчиком даже без всякий премудростей любым школьником, где ему будут виды все строки кода, значения переменных, ввод-вывод и т.д.
Если не защищать текст скрипта то это ерунда какая то а не защита
если защищать текст скрипта то нахрена тогда все остальное?
 
API
Ладно, поясним. Зачем все это придумывать. Шифровать, открытые ключи, закрытые, йонкуб, зенд. Зенд открывает каждый 3-ретий нуллевиц, йон - пореже. Абусфация - дело терпения. Никакой серьездный проект не распространяет дистрибутив софта в каком-либо виде. Если даже люди екстеншены делают в dll библиотеки с помощью ассемблера, то какие защиты простив скрипта, который даже не компилируется.
Безопасный вариант - пользователю написать инструкцию, по взаимодействию с вашим скриптом, и можно в подарок немного грубый и неотесанный код. Вот они смогут и в метро шаблоны делать, и отлавливать и перехватывать ничего не будут.
Любые манипуляции, что вы привели требуют огромных затрат выч. мощьности на работу, что выгоднят сначала со всех хостингов, а потом еще самим невыгодно будет собирать высокопроизводительную систему.
Дайте человеку все что ему надо для работы. Не надо его сокушать, провацировать закрытым скриптом.. И стабильно будете знать, что человек не напишет оставшийся кусок скрипта.
Привязать скрипт к айпи? Не проблема, но ничего с ним пользователь не сделает. Да, лицензия будет.. Замечательно. Делают 2-ва nat -а подряд, и работай.

1) Простая разработка ( не требует массы хтмл, ксс) - забота конечного пользователя
2) Безопасность и стабильность в том, что не утечет Ваш двиг в шару
3) Стабильный доход с каждой лицензии
4) Не надо городить на велосипед паровозов вместе с шатлами защищая код
5) Вы пишите код для себя, а не сцелью заныкать какой-то кусок.

Да недостаток, мало кто доверится серверу, всеж пол движка то не у них хранится.. Вспомним теперь где хранятся репы линуксов и как часто они падают. Люди почему-то выкладывают в соц сеть свою жизнь, а с компов то фотки, музыку и прочий хлам удаляют.

Для просмотра ссылки Войди или Зарегистрируйся
 
если реализация на пхп - то защиту вскроет средний кодер.
если зенды и ионкубы - только профи Но, на пример, у нас есть люди которые вскрывают за спасибо в соотв. теме.
ТО, что автор предлагает - как я понял это генерация для каждого юзера своей версии путанного кода. С вирусами это проканывает а для проекта - зачем? Взламываем одну версию и всё. Нас не будет абсолютно волновать то, что есть ещё 101 версия этого проекта с другой защитой.

Тема и мои размышления, что можно сотворить:
Для просмотра ссылки Войди или Зарегистрируйся

Моё мнение - код можно защищать только при маштабном проекте. Как к примеру битрикс. Т.е когда есть покупатели. Кодерасты на битрикс неплохо живут . Для просмотра ссылки Войди или Зарегистрируйся
 
tirrex написал(а):
как вы представляете себе пермутацию на php - один скрипт генерирует другие скрипты и потом их выполняет? И что толку? весь код может быть пройден под отладчиком даже без всякий премудростей любым школьником, где ему будут виды все строки кода, значения переменных, ввод-вывод и т.д.
Если не защищать текст скрипта то это ерунда какая то а не защита
если защищать текст скрипта то нахрена тогда все остальное?
Нажмите для раскрытия...

защищаются не текст скрипта а отдельные функции скрипта с помощью подкючённого файла или встроенного агортима который будет мутировать функцию каждую по отдельности и мутация каждой из них будет составять общую мутацию - мутация в квадрате. например пермутировать фунцкцию подкючения к базе затем взятие и добавение данных - так чтобы никакая иньекция не поняа как работает функция, а тем более связка функций которая и создаёт результат. А насчёт нагрузки - так можно наверное написать под разичные инструкции процессоров.ну а ещё есть енкодеры которые кодят аутпут php. постараюсь выложить защифрованный с помощью шифрования аутпут php файл - а вы раскодируйте его.
 
KillDead написал(а):
если реализация на пхп - то защиту вскроет средний кодер.
если зенды и ионкубы - только профи Но, на пример, у нас есть люди которые вскрывают за спасибо в соотв. теме.
ТО, что автор предлагает - как я понял это генерация для каждого юзера своей версии путанного кода. С вирусами это проканывает а для проекта - зачем? Взламываем одну версию и всё. Нас не будет абсолютно волновать то, что есть ещё 101 версия этого проекта с другой защитой.

Тема и мои размышления, что можно сотворить:
Для просмотра ссылки Войди или Зарегистрируйся

Моё мнение - код можно защищать только при маштабном проекте. Как к примеру битрикс. Т.е когда есть покупатели. Кодерасты на битрикс неплохо живут . Для просмотра ссылки Войди или Зарегистрируйся
Нажмите для раскрытия...

насколько я слышал мнения - то пермутация генерирует новую версию при каждом обращении к коду (для програм) - так что обратился изменил ещё раз обратился всё начинай с нуля.
 
rayahari, а что мешает раскодировать кусок файла, выполнить, продолжить раскодировать исходный код... Т.е. мутации нам по боку... Они происходят в другой копии файла, которые нам особо и не нужны...
 
rayahari написал(а):
насколько я слышал мнения - то пермутация генерирует новую версию при каждом обращении к коду (для програм) - так что обратился изменил ещё раз обратился всё начинай с нуля.
Нажмите для раскрытия...
просто подумал что нужно именно это. А то есть люди, которые обфускацией называют и base64 при передаче в урле.
А насчёт нагрузки - так можно наверное написать под разичные инструкции процессоров.ну а ещё есть енкодеры которые кодят аутпут php. постараюсь выложить защифрованный с помощью шифрования аутпут php файл - а вы раскодируйте его.
Нажмите для раскрытия...
вообще не понял ничего. Что за инструкции процессоров в пхп? Вы хотитесвою версию зенда сделать?
 
rayahari написал(а):
защищаются не текст скрипта а отдельные функции скрипта с помощью подкючённого файла или встроенного агортима который будет мутировать функцию каждую по отдельности и мутация каждой из них будет составять общую мутацию - мутация в квадрате. например пермутировать фунцкцию подкючения к базе затем взятие и добавение данных - так чтобы никакая иньекция не поняа как работает функция, а тем более связка функций которая и создаёт результат. А насчёт нагрузки - так можно наверное написать под разичные инструкции процессоров.ну а ещё есть енкодеры которые кодят аутпут php. постараюсь выложить защифрованный с помощью шифрования аутпут php файл - а вы раскодируйте его.
Нажмите для раскрытия...

Фанатов таких много, и в итоге, что имеется, код защищали бы все йонкубом, будь у них деньги на это, на худой конец - зендом ( Как беспланая альтернатива). А все остальные способы, которые придумывали люди по шифрованию отмирают быстрее мамонтов. И Вы думаете, что первый разрабатывали такие способы шифрования.

А в Вашей системе есть серьезднейший недостаток, с мутациями. Для того, чтобы Ваши мутированные файлы мутировались в нормальный вид, который может размутироваться на сервере Кто-то должен давать каждый раз алгоритмы, или все эти алгоритмы должны быть вшиты в сам скрипт (И спокойно читаться, если Вы конечно не думаете, модуль свой для PHP писать). И перехватив их, Ваш код в 100-тни метров уменьшится до 100 кб.
 
инструкции для выполненя пермутации без допонилтельных нагрузок на процессор
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху