Oldal: 1 / 2 12 UtolsóUtolsó
Eredmény: 1 - 10 (18) összesen

Téma: Egyedi készítésű CMS rendszer védelme - Alternatíva

  1. #1
    'Say Hello To My Little Friend'
    Csatlakozott
    10-09-17
    Hozzászólás
    39
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás Egyedi készítésű CMS rendszer védelme - Alternatíva

    Üdv!

    Biztosan vannak olyan fórumtagok, akiket érdekel hogyan vagy milyen módon lehetne saját készítésű CMS rendszerüket védeni, az illetéktelen felhasználástól.

    Ezen írás egy általunk még most fejlesztés alatt álló CMS rendszer védelmét szeretném leírni.
    Tudni kell hogy ezen CMS fizetős verzió, de a megrendelő csak a felhasználási jogot veszi meg, nem pedig a terjesztést vagy a "belekontárkodást" - programrész másolást

    A rendszer a szerzői jogokat védelmét részesíti előnyben így azonnal blokkol ha:
    - Illetéktelen kezek nyúlnak hozzá
    - A Copyright részt szeretnék kiszedni
    - Nem a megrendelő adataival telepítik (kizárólag csak mi tudjuk telepíteni, hiszen mester jelszóval van ellátva)

    Lehet hogy a következő pár sor a rendszer védelemről Science Fiction jelentbe illene, de szeretnénk megvédeni ahogy csak lehet, hiszen a fejlesztés nem olcsó és nem szeretnénk ha tömeg cikk lenne....

    Tehát részletesebben:
    A rendszer telepítése során felvisszük a megrendelő adatait, mint felhasználó. A telepítés során csak mi férünk a rendszerhez egy mester jelszó használatával így lehetséges a további rendszer telepítés. A megadott adatokat, és egy akkor generált titkos kulcsot a mi ügyfélnyilvántartó rendszerünkbe mentünk.

    Ha a megrendelő önkényesen programozókat hívna hogy szerkesszenek bele a rendszerbe és esetleg olyan részt próbálnának kiszedni vagy módosítani, ami szerzői jog ellenes, akkor a rendszer automatikusan blokkol egy hiba üzenettel front-end oldalon, az adatbázis teljes tartalmát törli és elküldi a mi szerverünkre, mint helyreállító biztonsági mentés, amit díj ellenében visszaszolgáltatunk.

    A CMS rendszer fájlok nagyrésze a kódoknak titkosítva vannak, amik olyan adatokat tartalmaznak amiknek senkinek semmi köze. Ha ezeket törli onnan valaki akkor szintén blokkol a rendszer, mivel az ilyen részeknek általában valamilyen külső titkosított csatornán kell megkapni az adatokat ami a rendszer működéséhez szükséges.

    A rendszer programrészek működéséhez a titkos kulcsra van szükség mindenhol, ezzel azonosítjuk az ügyfelet, ez a kulcs programrészeken is titkosítva van, így ha valamelyik résznél hiányozna a kulcs szintén blokkol a rendszer. A kulcs hiearchikusan épül fel a rendszerben, tehát minden mindent használ, a kulcsot pedig egy titkos csatornán kapjuk, meg a saját nyilvántartásunkból.

    Természetesen ezek az információk egy felhasználási feltételekbe és szerződésbe foglalva lesznek átnyújtva a megrendelő ügyfélnek.

    Azért ha valaki egy komolyabb CMS rendszert fejleszt akkor adnia kell a védelemre, hiszen mindenki tudja vagy gondolhatja hogy nem kevés idő és pénz van egy ilyenben.
    De mivel PHP az alap, így ez sem feltörhetetlen, de legalább lehet próbálkozni.




  2. #2
    Bölcs ARTidas logója
    Csatlakozott
    09-09-15
    Hely
    Budapest
    Hozzászólás
    1.465
    Thanked 1 Time in 1 Post

    Alapbeállítás re: Egyedi készítésű CMS rendszer védelme - Alternatíva

    Ha nála van a PHP mindig van lehetőség a buherálásra.

    Mit szólsz ahhoz a megoldáshoz, hogy tőletek, saját szerveretekről hívja be a PHP fájlokat egy includedal? És egy referer ellenőrzés után engeditek csak tovább a valódi PHP-ra? Ezzel teljesen lehetetlenné teszed számára a fájlok módosítását és csakis annak adod át, aki benne van a rendszerben. Referer, IP és akár bármi mást behívhatsz fopennel...

    Cheers,



  3. #3
    Rubyist Geri logója
    Csatlakozott
    07-12-15
    Hely
    \x90
    Hozzászólás
    5.605
    Begyűjtött 1.332 köszönetet
    828 hozzászólásával

    Alapbeállítás re: Egyedi készítésű CMS rendszer védelme - Alternatíva

    Idézet ARTidas eredeti hozzászólása Hozzászólás megtekintése
    Referer, IP és akár bármi mást behívhatsz fopennel...Cheers,
    mindkettő hamisítható.
    igazából csak félmegoldások vannak. ioncube-al, vagy esetleg saját fejlesztéső encode-olóval lehet a legtöbbet elérni. így sem százszálalékos a védelem, de inkább az szokott a kérdés lenni, hogy megéri e fáradságot a kód visszafejtése. ioncube-hoz mondjuk vannak állítólag pár 10$-ért visszafejtők.


    If debugging is the process of removing software bugs, then programming must be the process of putting them in.
    Github Rake tutorial
    Give a man a fish and you feed him for a day. Teach a man to fish and you feed him for a lifetime.
    Respect all, fear none

  4. #4
    Hekker 0xFF logója
    Csatlakozott
    09-08-21
    Hozzászólás
    1.079
    Begyűjtött 168 köszönetet
    118 hozzászólásával

    Alapbeállítás re: Egyedi készítésű CMS rendszer védelme - Alternatíva

    Én tennék egy próbát a buherálásra, amennyiben lehetséges?
    Ezzel a rendszerrel, szerintem az a legnagyobb gond, hogy el lehet hitetni vele bármit, egy localhost kell meg egy kis piszkálás a /etc/hosts -ban és akkor a mentést meg mindent oda küld ahova kell.



  5. #5
    'Say Hello To My Little Friend'
    Csatlakozott
    10-04-13
    Hely
    Budapest
    Hozzászólás
    2.784
    Begyűjtött 863 köszönetet
    659 hozzászólásával

    Alapbeállítás re: Egyedi készítésű CMS rendszer védelme - Alternatíva

    Idézet ARTidas eredeti hozzászólása Hozzászólás megtekintése
    Ha nála van a PHP mindig van lehetőség a buherálásra.

    Mit szólsz ahhoz a megoldáshoz, hogy tőletek, saját szerveretekről hívja be a PHP fájlokat egy includedal? És egy referer ellenőrzés után engeditek csak tovább a valódi PHP-ra? Ezzel teljesen lehetetlenné teszed számára a fájlok módosítását és csakis annak adod át, aki benne van a rendszerben. Referer, IP és akár bármi mást behívhatsz fopennel...

    Cheers,
    Ezt egy picit átdolgozva:
    Nálad vannak a fájlok, a másik fél csak egy includal hívja meg.

    Van egy egyedi azonosítója. Ezt elküldi a Te szerverednek, az csekkolja, hogy jó-e, ha igen, odaadja a tartalmat, és ad egy új egyedi azonosítót. Amit a másiknak le kell tárolnia. Majd ha még egy kérés jön, akkor az új azonosítóval kéri már le. Megint csekkolás, hogy jó-e, ha igen, adod a tartalmat, és megint generálsz egy új kódot.

    Ezt még mindig ki lehet játszani úgy, hogyha többen közös helyen tárolják ezt a kódot, és ezzel a közös kóddal tudják működtetni közösen a CMS-t.

    De tutibiztos védelmet nem tudsz készíteni hozzá, pont a php alap miatt. Pláne, ha abból indulunk ki, hogy lefordított programokat is feltörik nagyon hamar (pl. játékokhoz a crack).



  6. #6
    Mentor arth2o logója
    Csatlakozott
    10-03-11
    Hely
    Győr
    Hozzászólás
    408
    Begyűjtött 7 köszönetet
    2 hozzászólásával

    Alapbeállítás re: Egyedi készítésű CMS rendszer védelme - Alternatíva

    A folyamatos rendszer ellenőrzés (jogosult-e a használatra, módosult-e valami..) erőforrásba kerül. Így el tudom képzelni, hogy lassúak ezek az oldalak. (itt már az ügyfél szív is)

    A forrást le kell nyomni Zend Guard-al, szabadon kell hagyni amit a telepítéshez kell és szevasz.

    Ez a letörlöm az adatbázist is meredek. Szerintem ha ezeket elmondod az ügyfelednek sírva fog menekülni.

    Több CMS-t írtam (magamnak és másoknak is), valószínű még fogok is, de ilyet még nem hallottam . Jó a paranoia, de átestél a ló túloldalára. Arról nem beszélve, hogy az egyedi rendszereket nem is olyan egyszerű folytatni (ha nem Te írtad!).

    Egy kérdésem volna:
    Akkor tőletek gyakorlatilag mit vesznek az ügyfelek?



  7. #7
    Törzsvendég NPeti logója
    Csatlakozott
    07-11-03
    Hely
    Dunakeszi
    Hozzászólás
    151
    Begyűjtött 9 köszönetet
    8 hozzászólásával

    Alapbeállítás re: Egyedi készítésű CMS rendszer védelme - Alternatíva

    Tényleg nem lehet feltörhetetlen kódot írni, pláne nem PHP-val.

    Esetleg meg lehet közelíteni más irányokból. Gondolok itt arra, hogy olyan megoldást kell kialakítani, amiben nem akarják majd ellopni a kódot, vagy belekontárkodni abba. Ha jól csinálod a munkád, valószínűleg továbbra is téged keresnek majd, nem pedig valami amatőrrel próbálják meg továbbfejleszteni.
    Esetleg marad még a kódzagyválás nehezítésnek. De ha valaki elszánt és ért hozzá, semmi nem akadályozhatja meg abban, hogy meg szegje az adott licencet.

    Másik megoldás még ilyenkor, hogy saját szerveren üzemelteted ezeket a rendszereket, kvázi szolgáltatást nyújtasz csak, a programot kézhez nem kapja a felhasználó. Csak mondjuk az adatbázishoz fér hozzá nyersen.



  8. #8
    Bölcs tibi1987 logója
    Csatlakozott
    09-06-08
    Hely
    Aba
    Hozzászólás
    1.113
    Begyűjtött 17 köszönetet
    7 hozzászólásával

    Alapbeállítás re: Egyedi készítésű CMS rendszer védelme - Alternatíva

    Sok ember/hacker az ilyen kihívásokat keresi, így áldozattá is válhat a dolog, hiszen valakinek a kód feltörés a hobbija ahol nincs lehetetlen számára, csak idő kérdése. Amennyi összeget beleöltök inkább más fejlesztésekre fordítnátok és sztem jobban megtérülne



  9. #9
    SzG
    Vendég

    Alapbeállítás re: Egyedi készítésű CMS rendszer védelme - Alternatíva

    Én csak az ügyfél szemével tudom nézni a dolgot, programozáshoz nem értek.

    Ha valaki nekem olyan rendszert csinál, amihez senki más nem fog tudni hozzányúlni máris kifordulok az ajtón. Ugyanis ezzel kizárólagos jogosultságot szerez minden jövőbeni fejlesztésre, ami biztos hogy előnytelen a megrendelőnek. Még csak ajánlatot se tud kérni máshonnan.

    Ha még megtetézi olyan apróságokkal, hogy de ha mégis akkor az adatbázisod is törlöm és csak pénzért fogom visszaállítani... na itt aztán végképp elszakadna a cérna.

    Azért tisztázni kell, hogy mi kié... az adatbázis szerintem azé aki felépíti. (Mert ha az se a megrendelőé, akkor mi?) Könnyen lehet, hogy többet ér mint az oldal programozásának a díja... azt kitörölni, hát egy kissé erős.

    Egy cég ahol korábban dolgoztam csináltatott ilyen fejlesztéseket, ott azt csinálták hogy a fejlesztő rendezte a szervert is, így aztán a file -okhoz más nem is férhetett hozzá, csak az adminba lehetett belépni.

    Viszont elkészülte után évekig nem is lettek új fejlesztések az oldalon, a fentebb vázolt problémák miatt - részben.



  10. #10
    Rubyist Geri logója
    Csatlakozott
    07-12-15
    Hely
    \x90
    Hozzászólás
    5.605
    Begyűjtött 1.332 köszönetet
    828 hozzászólásával

    Alapbeállítás re: Egyedi készítésű CMS rendszer védelme - Alternatíva

    Idézet SzG eredeti hozzászólása Hozzászólás megtekintése
    Ha valaki nekem olyan rendszert csinál, amihez senki más nem fog tudni hozzányúlni máris kifordulok az ajtón.
    szerintem egy rakas ilyen szoftvert hasznalsz
    Idézet SzG eredeti hozzászólása Hozzászólás megtekintése
    Ha még megtetézi olyan apróságokkal, hogy de ha mégis akkor az adatbázisod is törlöm és csak pénzért fogom visszaállítani... na itt aztán végképp elszakadna a cérna.
    Azért tisztázni kell, hogy mi kié... az adatbázis szerintem azé aki felépíti. (Mert ha az se a megrendelőé, akkor mi?) Könnyen lehet, hogy többet ér mint az oldal programozásának a díja... azt kitörölni, hát egy kissé erős.
    ez jogos. megha valaki jogosulatlanul probalja meg valamiert a szoftvert hasznalni egy ido utan, akkor is joga van az adataihoz. de ezt szerzodesbe kell foglalni.
    egyebkent a vasarloi oldalon azt nem ertik meg sokszor, hogy ok nem a programot, hanem annak hasznalati jogat veszik meg. nekem is csak a hasznalatra van jogom a windows-omon, nem nyulkalhatok a forrasaban.



Oldal: 1 / 2 12 UtolsóUtolsó

A téma címkéi:

Könyvjelzők

Hozzászólás szabályai

  • Új témákat nem hozhatsz létre
  • Válaszokat nem küldhetsz
  • Fájlokat nem csatolhatsz
  • A hozzászólásaidat nem módosíthatod
  •