PHP Code verschlüsseln oder auf auf eigenem Server Scripte hosten

Hallo,

ich stehe vor dem Problem dass ich ein Modul für ein CMS geschrieben habe und dieses vermarkten möchte, bzw. Lizensen für die Nutzung verwalten möchte.

Zuerst wollte ich dies über Zend oder Ioncube machen, jedoch gibt es hunderte von Threads die beschreiben wie einfach es ist diese zu decompilieren und somit wieder im Klartext darzustellen.
Des weiteren soll das Handling für den Kunden auch so einfach wie möglich sein.

Also ist mir die Idee gekommen die entscheidenden Scripte mit den Funktionen auf meinem Server laufen zu lassen und die Clientserver Anfrageabhängig zugreifen zu lassen. Ein includen ist auch nicht möglich weil der Code halt nicht auf dem Clientrechner geparst werden soll.

Als Idee wär da noch SOAP, aber gibt es einen alternativen Weg bei dem ich nicht alle Funktionen umschreiben muss oder wie auch immer.

Ich bin für jeden Hinweis sehr dankbar.

Beste Grüsse
Michael

Was macht denn dein Modul?

Hallo,

es ermöglicht Newsletter auf Knopfdruck zu erstellen, zu verwalten, zu speichern und zu schedulen und noch einige weitere Features.

Das ist eben auch das Problem, dass die meisten Funktionen Zugriff auf die lokale Datenbank des CMS benötigen.

Grüsse
Michael

Sind es sensible Daten, die da übers Netz an einen aus Kundensicht fremden Server geschickt werden?
Sind es viele Daten oder viele einzelne Requests, so dass man mit Performanceverlust rechnen muss?
Sind die Funktionen wirklich schützenswert, die dann auf deinem Server laufen? Wenn ich dothemagic($foo) via SOAP aufrufe und "$foo with magic" zurückbekomme, kann ich mir den SOAP-Kram sparen.
Können deine Kunden dein Modul auch dann noch nutzen, wenn dein Server gerade mal offline ist?
Gibt es andere Module für dieses CMS, die so arbeiten? Oder die encoded sind?

Je nachdem wie man Newsletterdaten bezeichnet, aber aus Sicht der Datenschützer sind es mit Sicherheit sensible Daten.

Die Kunden können das Modul nicht nutzen wenn der Server Down ist, aber dafür habe ich soweit schon eine Lösung, dass das Ausfallrisiko stark begrenzt wird. Auszuschliessen ist es auf jedenfall nicht.

Der entschidende Punkt ist der, dass die Mail-Klasse auf meinem Server liegt aber mit den SMT Daten des Kunden die Emails über seinen SMTP Server schicken soll -> ergo diese Daten sind auf jedenfall sensibel.

Das diese Daten verschickt werden kann ich jedoch umgehen, indem ich sie bei der Kundenanmeldung auf meinem Server speichere und dann nur von dort aus aufrufe. In diesem Fall wird wird aber mit diesen Daten auch wieder eine Verbindung zum SMTP Server des Kunden hergestellt. Also das verschicken sensibler Daten kann ich so nicht verhindern.

Es ist schade das man diesen Aufwand betreiben muss, aber leider gibt es zuviel Script Diebstähle, wonach die Scripte einfach geklaut werden und unter anderem Namen verkauft werden. Und dieser Methode mit komplizierten Lizenzverträgen und Klagen entgegen zu wirken ist für mich zu aufwendig.

Gruss
Michael

Vergleiche mal die Kosten der drei Varianten
1. unverschlüsselter Code + Copyright
2. verschlüsselter Code + Copyright
3. Client-Server Lösung

Beantworte dir folgende Fragen für jede Variante:
Mit wie vielen Verkäufen zu welchem Preis rechnest du? Wie viele Supportanfragen erwartest du und was kostet dich deren Behandlung im Durchschnitt? Dazu noch die Kosten fürs Hosting ... und was sonst noch anfällt (z.B. Code-Umbau für 3.).

Zitat:

Zitat von francosdad

Die Kunden können das Modul nicht nutzen wenn der Server Down ist, aber dafür habe ich soweit schon eine Lösung, dass das Ausfallrisiko stark begrenzt wird. Auszuschliessen ist es auf jedenfall nicht.

Und wenn du pleite bist?

Ich kaufe bestimmt kein Produkt, welches ewig an irgendwelche Server und somit an die Existenz des Herstellers angebunden ist.

Ich denke, mit verschlüsselte Code + Copyright fährst du am besten. Es gibt sowieso keinen 100%tigen Schutz. Das was du machen kannst ist es zu erschweren, so dass die Leute sich zunächst mal überlegen müssen, ob es sich lohnt, sich die Arbeit zu machen.

Der Vorteil ist, dass die Leute es nicht kaufen sollen, sondern ein Nutzungsentgelt zahlen. So ist eine konstante monatliche Einnahme da zur Finanzierung der Server und der Weiterentwicklung. ... Und wenn wir pleite sind muss keiner mehr bezahlen! -> ist für alle Fair

Gruss
Michael

..und du meinst, dass es auf Dauer gesehen billiger kommt dir ein Nutzungsentgeld zu zahlen als es vlt selber programmieren zu lassen? (kommt natürlich auf den Umfang deines Moduls an)

mfg

Das weiss ich nicht, aber es baut sich ja auch nicht jeder ein Haus statt sich eine Wohnung zu mieten!

Wobei wir ja vom Thema abgekommen sind.
Ich experimentiere gerade mit SOAP und so wie es ausschaut wird es das wohl auch werden.

Gruss
Michael

Auf heise online gab es vor noch gar nicht allzu langer Zeit einen Artikel über derartige "Verschlüsselungen". Die Profis hatten davon abgeraten. Und zwar, weil das Debuggen dann schwierig wird. Da geht dann viel Zeit dafür drauf. Und nachdem bei Profis Zeit Geld ist, raten die davon ab.

Ähm ... warum verschlüsselt man das Originalprojekt

Es ist so oder so sicher nicht optimal php zu verschlüsseln denn es kostet Geld und ist scheinbar nicht sicher.

Der beste Weg scheint wirklich zu sein, die entscheidenden Funktionen lokal zu hosten und bsplw. über SOAP vom Client aus zu bedienen.

Ich muss mich jetzt zwar hinsetzen und die entscheidenden Funktionen umbauen, aber das ist es mir Wert.

Ausserdem denke ich das es betriebswirtschaftlich besser ist ein Projekt konstant zu finanzieren statt einmalige Einnahmen zu generieren.

Ob jemand mein Produkt dann kauft bzw. mietet wird sich halt zeigen, aber wenn der Quellcode einmal durch das Netz geistert für lau, wird wohl keiner mehr Geld dafür ausgeben.

Grüsse
Michael

Wenn du deinen Code verschlüsseln willst, dann hast du dir mit PHP die falsche Programmiersprache ausgesucht. Es gibt einfache "Verschlüsselngsmöglichkeiten", aber du kannst alles, was noch über das PHP Modul gehen können sollte auch wieder "entschlüsseln".

Mit der reinen Programmierung wirst du doch eh nicht steinreich. Du kannst doch viel mehr Geld aus Customizing und Support ziehen. Da wäre mir das Betreiben eines Servers für sowas echt zu dösig. Da musst du dir noch Gedanken machen, wie du angepasste Software laufen lässt, was du machst wenn der Server zu dünn wird oder mal ausfällt, etc. Das übersteigt dicke die Kompetenz eines einfachen Entwicklers und verlangt nach einen Admin, der sich nur um den Server kümmert.