Téma: Egyedi készítésű CMS rendszer védelme - Alternatíva

Üdv!

Biztosan vannak olyan fórumtagok, akiket érdekel hogyan vagy milyen módon lehetne saját készítésű CMS rendszerüket védeni, az illetéktelen felhasználástól.

Ezen írás egy általunk még most fejlesztés alatt álló CMS rendszer védelmét szeretném leírni.
Tudni kell hogy ezen CMS fizetős verzió, de a megrendelő csak a felhasználási jogot veszi meg, nem pedig a terjesztést vagy a "belekontárkodást" - programrész másolást

A rendszer a szerzői jogokat védelmét részesíti előnyben így azonnal blokkol ha:
- Illetéktelen kezek nyúlnak hozzá
- A Copyright részt szeretnék kiszedni
- Nem a megrendelő adataival telepítik (kizárólag csak mi tudjuk telepíteni, hiszen mester jelszóval van ellátva)

Lehet hogy a következő pár sor a rendszer védelemről Science Fiction jelentbe illene, de szeretnénk megvédeni ahogy csak lehet, hiszen a fejlesztés nem olcsó és nem szeretnénk ha tömeg cikk lenne....

Tehát részletesebben:
A rendszer telepítése során felvisszük a megrendelő adatait, mint felhasználó. A telepítés során csak mi férünk a rendszerhez egy mester jelszó használatával így lehetséges a további rendszer telepítés. A megadott adatokat, és egy akkor generált titkos kulcsot a mi ügyfélnyilvántartó rendszerünkbe mentünk.

Ha a megrendelő önkényesen programozókat hívna hogy szerkesszenek bele a rendszerbe és esetleg olyan részt próbálnának kiszedni vagy módosítani, ami szerzői jog ellenes, akkor a rendszer automatikusan blokkol egy hiba üzenettel front-end oldalon, az adatbázis teljes tartalmát törli és elküldi a mi szerverünkre, mint helyreállító biztonsági mentés, amit díj ellenében visszaszolgáltatunk.

A CMS rendszer fájlok nagyrésze a kódoknak titkosítva vannak, amik olyan adatokat tartalmaznak amiknek senkinek semmi köze. Ha ezeket törli onnan valaki akkor szintén blokkol a rendszer, mivel az ilyen részeknek általában valamilyen külső titkosított csatornán kell megkapni az adatokat ami a rendszer működéséhez szükséges.

A rendszer programrészek működéséhez a titkos kulcsra van szükség mindenhol, ezzel azonosítjuk az ügyfelet, ez a kulcs programrészeken is titkosítva van, így ha valamelyik résznél hiányozna a kulcs szintén blokkol a rendszer. A kulcs hiearchikusan épül fel a rendszerben, tehát minden mindent használ, a kulcsot pedig egy titkos csatornán kapjuk, meg a saját nyilvántartásunkból.

Természetesen ezek az információk egy felhasználási feltételekbe és szerződésbe foglalva lesznek átnyújtva a megrendelő ügyfélnek.

Azért ha valaki egy komolyabb CMS rendszert fejleszt akkor adnia kell a védelemre, hiszen mindenki tudja vagy gondolhatja hogy nem kevés idő és pénz van egy ilyenben.
De mivel PHP az alap, így ez sem feltörhetetlen, de legalább lehet próbálkozni.

---

Hasonló témák:

• E-mail címek védelme (PHP)
• Adatok védelme a tárhelyszolgáltatóknál?
• GIF Alternatíva
• ügyviteli rendszer, vállalatirányítási rendszer linkcsere

ARTidas eredeti hozzászólása

Ha nála van a PHP mindig van lehetőség a buherálásra.

Mit szólsz ahhoz a megoldáshoz, hogy tőletek, saját szerveretekről hívja be a PHP fájlokat egy includedal? És egy referer ellenőrzés után engeditek csak tovább a valódi PHP-ra? Ezzel teljesen lehetetlenné teszed számára a fájlok módosítását és csakis annak adod át, aki benne van a rendszerben. Referer, IP és akár bármi mást behívhatsz fopennel...

Cheers,

Ezt egy picit átdolgozva:
Nálad vannak a fájlok, a másik fél csak egy includal hívja meg.

Van egy egyedi azonosítója. Ezt elküldi a Te szerverednek, az csekkolja, hogy jó-e, ha igen, odaadja a tartalmat, és ad egy új egyedi azonosítót. Amit a másiknak le kell tárolnia. Majd ha még egy kérés jön, akkor az új azonosítóval kéri már le. Megint csekkolás, hogy jó-e, ha igen, adod a tartalmat, és megint generálsz egy új kódot.

Ezt még mindig ki lehet játszani úgy, hogyha többen közös helyen tárolják ezt a kódot, és ezzel a közös kóddal tudják működtetni közösen a CMS-t.

De tutibiztos védelmet nem tudsz készíteni hozzá, pont a php alap miatt. Pláne, ha abból indulunk ki, hogy lefordított programokat is feltörik nagyon hamar (pl. játékokhoz a crack).

A folyamatos rendszer ellenőrzés (jogosult-e a használatra, módosult-e valami..) erőforrásba kerül. Így el tudom képzelni, hogy lassúak ezek az oldalak. (itt már az ügyfél szív is)

A forrást le kell nyomni Zend Guard-al, szabadon kell hagyni amit a telepítéshez kell és szevasz.

Ez a letörlöm az adatbázist is meredek. Szerintem ha ezeket elmondod az ügyfelednek sírva fog menekülni.

Több CMS-t írtam (magamnak és másoknak is), valószínű még fogok is, de ilyet még nem hallottam . Jó a paranoia, de átestél a ló túloldalára. Arról nem beszélve, hogy az egyedi rendszereket nem is olyan egyszerű folytatni (ha nem Te írtad!).

Egy kérdésem volna:
Akkor tőletek gyakorlatilag mit vesznek az ügyfelek?

Tényleg nem lehet feltörhetetlen kódot írni, pláne nem PHP-val.

Esetleg meg lehet közelíteni más irányokból. Gondolok itt arra, hogy olyan megoldást kell kialakítani, amiben nem akarják majd ellopni a kódot, vagy belekontárkodni abba. Ha jól csinálod a munkád, valószínűleg továbbra is téged keresnek majd, nem pedig valami amatőrrel próbálják meg továbbfejleszteni.
Esetleg marad még a kódzagyválás nehezítésnek. De ha valaki elszánt és ért hozzá, semmi nem akadályozhatja meg abban, hogy meg szegje az adott licencet.

Másik megoldás még ilyenkor, hogy saját szerveren üzemelteted ezeket a rendszereket, kvázi szolgáltatást nyújtasz csak, a programot kézhez nem kapja a felhasználó. Csak mondjuk az adatbázishoz fér hozzá nyersen.

Én csak az ügyfél szemével tudom nézni a dolgot, programozáshoz nem értek.

Ha valaki nekem olyan rendszert csinál, amihez senki más nem fog tudni hozzányúlni máris kifordulok az ajtón. Ugyanis ezzel kizárólagos jogosultságot szerez minden jövőbeni fejlesztésre, ami biztos hogy előnytelen a megrendelőnek. Még csak ajánlatot se tud kérni máshonnan.

Ha még megtetézi olyan apróságokkal, hogy de ha mégis akkor az adatbázisod is törlöm és csak pénzért fogom visszaállítani... na itt aztán végképp elszakadna a cérna.

Azért tisztázni kell, hogy mi kié... az adatbázis szerintem azé aki felépíti. (Mert ha az se a megrendelőé, akkor mi?) Könnyen lehet, hogy többet ér mint az oldal programozásának a díja... azt kitörölni, hát egy kissé erős.

Egy cég ahol korábban dolgoztam csináltatott ilyen fejlesztéseket, ott azt csinálták hogy a fejlesztő rendezte a szervert is, így aztán a file -okhoz más nem is férhetett hozzá, csak az adminba lehetett belépni.

Viszont elkészülte után évekig nem is lettek új fejlesztések az oldalon, a fentebb vázolt problémák miatt - részben.

SzG eredeti hozzászólása

Ha valaki nekem olyan rendszert csinál, amihez senki más nem fog tudni hozzányúlni máris kifordulok az ajtón.

szerintem egy rakas ilyen szoftvert hasznalsz

SzG eredeti hozzászólása

Ha még megtetézi olyan apróságokkal, hogy de ha mégis akkor az adatbázisod is törlöm és csak pénzért fogom visszaállítani... na itt aztán végképp elszakadna a cérna.
Azért tisztázni kell, hogy mi kié... az adatbázis szerintem azé aki felépíti. (Mert ha az se a megrendelőé, akkor mi?) Könnyen lehet, hogy többet ér mint az oldal programozásának a díja... azt kitörölni, hát egy kissé erős.

ez jogos. megha valaki jogosulatlanul probalja meg valamiert a szoftvert hasznalni egy ido utan, akkor is joga van az adataihoz. de ezt szerzodesbe kell foglalni.
egyebkent a vasarloi oldalon azt nem ertik meg sokszor, hogy ok nem a programot, hanem annak hasznalati jogat veszik meg. nekem is csak a hasznalatra van jogom a windows-omon, nem nyulkalhatok a forrasaban.