Lizensystem

Guten Tag,
ich bin im Moment dabei ein Lizensystem für mein CMS zu entwickeln. Die theoretische Funktionsweise ist schon mal klar, nur an der Umsetzung hapert es. Das ganze soll folgendermaßen ablaufen:
Ein Benutzer kauft das CMS, wird in die User-DB eingetragen. Diese umfasst hauptsächlich userID, Passwort und Emailadresse. Sobald das System nun installiert wird, soll der Installationsassistent nach der UserID und dem PW fragen. Dieses wird dann an die DB übermittelt, falls Eingabe korrekt wird ein Schlüssel generiert und per Mail an der Benutzer geschickt. Dieser gibt nun diesen Key ein, dieser wird wieder überprüft und falls korrekt gehts weiter.

Eigentlich alles kein Problem, wäre da nicht die Tatsache, dass man sämtliche Zugriffsdaten für die mySQL-DB in der PHP-Datei speichern müsste - und diese kann ja vom Käufer eingesehen werden. Bisher ist mir noch keine Lösung eingefallen, vll werd ich ja hier fündig

MfG
matze

und warum machst du nicht so: nach der Installation wird eine Seite von dir aufgerufen, dabei werden bestimmte Daten über URL an deine Seite übermittelt, deine Seite prüft diese Daten und gibt dem User ggf. einen Code für die Freigabe, dann kann der User diesen Code eingeben, dafür musst du nur noch eine entsprechende Seite in dein CMS mitgeben, damit er eingeben kann. Anders machen die anderen Hersteller auch nicht. Es sei denn du schreibst einen ActiveX, welches direkt auf das System von User zugreift und die empfangenen Daten selbstständig einträgt

Die Idee ist mir auch schon gekommen - aber wie soll der Code auf richtigkeit überprüft werden? Sessions und Cookies fliegen ja raus, da diese ja nur für den entsprechenden Server gültig sind.

der nächste, der mal versucht sein script zu "schützen" ohne wirklich was davon zu verstehen. Micronax hatte da doch recht viele ausführliche Themen zu angefangen...

wie hattest du es denn ursprünglich vor? wolltest du bei jedem aufruf des cms den code mit deiner DB abgleichen? oder nur einmalig.

ersteres ist natürlich unfug.
letzteres kannst du genauso lösen wie oben. einfach nen HTTP-Request senden.

Hin oder her. Wenn ich deinen Quellcode bearbeiten kann, umgehe ich diese Abfragen.

Also greifst du auf ein vernünftiges System a la Zend Encoder zurück Themen haben wir genug dazu..

(auch dieser Thread ist nicht mehr als ein Brainstorming und wird auch dahin verschoben.)

Hallo,
natürlich nicht bei jedem Aufruf, sondern zum einen bei der Installation und ggf. auch noch beim Login ins Admincenter. Alles andere wäre schwachsinnig und würde nur die Performance verringern.

Selbstverständlich gibt es mit dieser Methode keinen perfekten Schutz, jeder der etwas PHP kann, kann die Funktion einfach aushebeln.

Zend ist natürlich eine Alternative, allerdings muss der Kunde Zend Optimizer installiert haben, was nicht immer der Fall ist und auch nicht immer möglich ist.

Zitat:

natürlich nicht bei jedem Aufruf, sondern zum einen bei der Installation und ggf. auch noch beim Login ins Admincenter.

Und "offline", bzw. in einigen Jahren kann/darf ich dein Script nicht nutzen, obwohl bezahlt?

Zitat:

Original geschrieben von matze|p
Hallo,
natürlich nicht bei jedem Aufruf, sondern zum einen bei der Installation und ggf. auch noch beim Login ins Admincenter. Alles andere wäre schwachsinnig und würde nur die Performance verringern.

Selbstverständlich gibt es mit dieser Methode keinen perfekten Schutz, jeder der etwas PHP kann, kann die Funktion einfach aushebeln.

Zend ist natürlich eine Alternative, allerdings muss der Kunde Zend Optimizer installiert haben, was nicht immer der Fall ist und auch nicht immer möglich ist.

nimm ASP.NET dann hast du das Problem nicht

Zitat:

Original geschrieben von TobiaZ
Und "offline", bzw. in einigen Jahren kann/darf ich dein Script nicht nutzen, obwohl bezahlt?

Warum solltest du das nicht dürfen können? Falls aus irgendeinem Grund der Server nichtmehr existieren sollte, wird ein entsprechender Fix bereitgestellt der das ganze deaktiviert bzw. auf einen anderen Server umschwenkt.

würde allerdings voraussetzen, dass weiterhin kontakt zum kunden/programmierer besteht.

Ich hab das grad nicht frei erfunden. Adobe ist das beste beispiel. Die haben auch irgend nen Lizentserver ersatzlos gehimmelt.

Hab mich nun sowiso dazu entschieden das ganze nur bei der Installation zu überprüfen, da es einem Menschen der etwas PHP beherscht sowiso nicht standhält. Aber immerhin besser als nichts