config.php kódólás.

**Geri** · 2009-12-26, 18:33

todi eredeti hozzászólása

akkor a zend-nek van egy nagyon jó kódolója, azt kell használni. (zend guard)

hát nem tudom. a zend guard 600, az incube már 200 ért is elérhető, de a 300 dolláros verzió már nagyon jó. nem hiszem hogy ennyivel jobb lenne a zend. ahogy látom ők inkább csináltak egy nagy nevet maguknak és aranyáron adnak mindent. a certificate sem ér sokat szerintem, és marha drága megszerezni

**todi** · 2009-12-26, 18:51

én úgy tudom, hogy a zned fejleszti a php-t is, de lehet, hogy ebben tévedek. viszont ha ez igaz, akkor szerintem nekik van a legtöbb közük hozzá

**Geri** · 2009-12-26, 18:57

todi eredeti hozzászólása

én úgy tudom, hogy a zned fejleszti a php-t is, de lehet, hogy ebben tévedek. viszont ha ez igaz, akkor szerintem nekik van a legtöbb közük hozzá

jól tudod, a php5 a zend engine-t használja, de ennek nem sok köze van az encode-oláshoz, mert az már c-re fordítással jár.

**0xFF** · 2009-12-26, 23:44

rendszergazda eredeti hozzászólása

Szerintem nem a gombhoz kell keresni a kabátot, a kérdés az, hogy miként férhet hozzá egy felhasználó a config.php (vagy bármely más állomány) tartalmához, és ezt hogy lehet megakadályozni. Ha minden OK, akkor sehogy. Ha valami bug van a rendszerben, feltörhető, akkor ezt kell befoltozni.

Ebben egyetértünk, én 2 okbol is szeretném, hogy ne plain text legyen, az eslő, hogyha atadom valakinek ne tudja elolvasni a file forrását, a második meg, az, hogy mig a jelszavkatat MD5 ben MD5+Salt és még ki tudja milyen megoldásokkal hash-eljük addig az adatbázis jelszavunk, vagy egyéb más jelszavunk plaintextben csücsül, ami nekem egy picit fura, ha már van rá lehetőség miért ne.

**todi** · 2009-12-27, 00:59

most 1 fájlról beszélünk, vagy az oldalhoz tartozó összesről?
én egyetértek azzal, hogy amit egyszer megcsináltál, azt más ne használja fel, de csak egyszer történjen valami a gépeddel, és írhatod újra a teljes programot, mert nem tudod visszafejteni a fájlodat. ha vki fel akar törni vmit, akkor azt úgy is meg fogja tenni, aki meg nem ért hozzá, annak meg teljesen mindegy, hogy el van kódolva, vagy sem, mert ránézésre neki minden egy nagy kavalkád lesz

**rendszergazda** · 2009-12-27, 15:23

Geri eredeti hozzászólása

szerintem kforum azt szeretné ha le tudná korlátozni a kódja felhasználását pl egy domainhez és ezért akarja lekódolni a fájlt.

Ez így érthető, én is találkoztam már többször azzal a kéréssel, hogy kellene a szerverre zend, ioncube, etc. loader, mert egyedi fejlesztésű weboldal, és a fejlesztő nem adja a kódot, nehogy lenyúlják, más fejlessze tovább, bármi.

Ezzel így nincs is semmi gondom, megírom ügyfélnek hogy kap olyan loadert amilyet csak akar, de kicsiben az én/szerver oldaláról nézve több a kára mint a haszna ezeknek, így ez plusz x Ft lesz; azt vagy kifizetik, vagy mennek más szolgáltatóhoz

Csak ezeknél a kódoknál pont egyetlen file, a config.php az, ami soha nincs lekódolva, hisz így nem lehetne módosítani, customizálni a progit

Ezért is vagyok nagyon kíváncsi, mi az a felhasználás, amikor az a megoldás, hogy a php kód az szabadon olvasható, kivéve a config.php-t...

**rendszergazda** · 2009-12-27, 16:14

KForum eredeti hozzászólása

Ebben egyetértünk, én 2 okbol is szeretném, hogy ne plain text legyen, az eslő, hogyha atadom valakinek ne tudja elolvasni a file forrását, a második meg, az, hogy mig a jelszavkatat MD5 ben MD5+Salt és még ki tudja milyen megoldásokkal hash-eljük addig az adatbázis jelszavunk, vagy egyéb más jelszavunk plaintextben csücsül, ami nekem egy picit fura, ha már van rá lehetőség miért ne.

Ez igaz, de ha átadod valakinek, akkor nemcsak olvasni, de módosítani sem fogja tudni így a config.php-t, plusz ha átadod, akkor az adatbázist is vele adod, nem?

Sajnos a mysql ilyen, az adatbázisban már hash-elt jelszavakat tárol, de a connect-hez plaintext kell, amit a kliens átalakít, és azt küldi már tovább.

De ha belegondolsz, a jelszavas belépések (ssh, ftp, htpasswd, etc.) általában ilyenek, a jelszavak kódoltan vannak eltárolva, de belépésnél neked az eredeti "plaintext" jelszót kell megadnod.

A gond az, hogy el kell tárolnod valahogy a jelszót a program számára, így valahova egy állományba le kell mentened. Ha ezt az állományt, ennek a tartalmát meg tudod védeni, akkor nincs azért olyan nagy baj. Ha el is kódolod az állományt, a connect-hez ezt valahogy vissza kell majd kódolni, így itt ennél a pontnál sebezhető lesz, bármilyen megoldást is választasz sajnos.

**rendszergazda** · 2009-12-27, 16:25

todi eredeti hozzászólása

én egyetértek azzal, hogy amit egyszer megcsináltál, azt más ne használja fel, de csak egyszer történjen valami a gépeddel, és írhatod újra a teljes programot, mert nem tudod visszafejteni a fájlodat. ha vki fel akar törni vmit, akkor azt úgy is meg fogja tenni, aki meg nem ért hozzá, annak meg teljesen mindegy, hogy el van kódolva, vagy sem, mert ránézésre neki minden egy nagy kavalkád lesz

Na igen, amíg elég jó decompilerek vannak, pl. deZender, de-ioncube, addig sokat nem ér a dolog, bár tényleg látványos hogy az olvasható php kód helyett egy zagyvaság van, csak amikor a 600$-os zend guard-al kódolt állományt egy 25$-os decompiler simán visszakódolja, akkor azért elgondolkodik az ember, mi mennyit is ér