Tester für phpkopierschutz gesucht.

Hallo zusammen,

ich habe einen meiner Meinung nach, recht sicheren Kopierschutz für PHP entwickelt und suche nun Tester die die Sicherheit bestätigen oder auch nicht bestätigen können. :-)

Weitere Infos demnächst hier, sofern die Betreiber des Forums nichts dagegen haben oder unter http://phpschutz.os-st.de

Nur soweit. Der Kopierschutz läuft mit dynamischen vercrypteten PHP-Code, der zudem nur begrenzt gültig ist.
Ohne Servermodulinstallation
Ohne Verschlüsselung Ihre geschützten Codes.

Mit freundlichen Grüßen

Thomas Stoffregen
---
0208/9939318

Zitat:

Ohne Verschlüsselung Ihre geschützten Codes.

Aber was hindert mich denn daran einfach die include() Zeile zur Verbindung mit deinem Server auszukommentieren ? Dann funzt doch dein Schutz nicht mehr (wenn ich das richtig verstanden habe), da ja der Quellcode eben nicht verschlüsselt ist

Gruss

tobi

Hallo,

wenn Du aber wichtigen PHP-Code auslagerst, läuft das ganze Script nicht mehr wenn das include auskommentiert wird.

MfG

Thomas

wenn das script SOOOOO wichtig ist:
- lagere ich keinen codeteil auf einen fremden server aus
was passiert, wenn
=> der abraucht
=> aus anderen gründen nicht erreichbar ist
=> das teil bei einer high-traffic seite wegen einer dos-attacke dicht macht
=> jemand deinen server hackt UND mir oder meinen kunden 'bösen code' unterjubelt
?

die verschlüsselung selber ist ja putzig. nach 5 min hab ich schon das:

Code:

$a172bb4f599a851245296f1226fb78745e="stripslashes";
$a12c4fb3436a5e2a0fddaefa4f1c44c66d="base64_encode";
$a1a69a41eea3e36925da0c8ee919394b1c="base64_decode";
$a192a4e900ee88efbca424941c7f4b3947="fsockopen";
$a1c3fbef77e19ef3bc3cf18b07747f3b23="file_get_contents";
...

extrahiert. damit weiss ich wie du "verschleierst" und kann mit ein paar array- und ein paar string-funktionen das ganze "entschleiern".

imho nicht besser als ein x-beliebiger obfuscator (oder wie die dinger heissen)

Entschleier erst ganz und dann mecker.

Dafür brauchte man noch nichtmal ein Script. Bis dahin lässt sich das auch noch debuggen. Nur das der Code danach nicht mehr gültig ist.

Du musst es ja nicht testen.
Auserdem ist es nicht Sinn der Sache schadhaften code zu schützen.

Gruß Thomas

Ausserdem soll im laufenden Betrieb schon jeder der Interesse hat, seinen eigenen Lizenzserver besitzen. Dann laden die Kunden den Code nur von Server des Programmiereres.

Gruß

Thomas

so, ich habe es gerade mal getestet.
php code war nur eine echo 'hallo';
habe die id 1013 und das passort erhalten und per eval(base64_decode(file_get_contents( ... eingebunden.

ergebnis:
zig-fehlermeldungen wegen undefinierter konstanten und dass die lizenz gesperrt wurde:
...
Notice: Use of undefined constant a1ad05a5fa6e85bf205ed8829c29f9444c - assumed 'a1ad05a5fa6e85bf205ed8829c29f9444c' in E:\Internet\Webshop\htdocs\test.php(5) : eval()'d code on line 20
Hackversuch - Ihre Lizenz wurde gesperrt.

Was will ich mehr. :-)

Im laufenden Betrieb wird ohne Hachversuch nichts gesperrt.

Wenn Du nicht versucht hast zu hacken, dann scheint noch ein BUg in der Umsetzung eines Windows-Pfades zu sein. Komisch bei mir wurde der Pfad korrekt übergeben.

Gruß

Thomas.

Zitat:

Ausserdem soll im laufenden Betrieb schon jeder der Interesse hat, seinen eigenen Lizenzserver besitzen. Dann laden die Kunden den Code nur von Server des Programmiereres.

Auch der hat keine 100%ige Ausfall Sicherheit...

Zitat:

Original geschrieben von TobiaZ
Auch der hat keine 100%ige Ausfall Sicherheit...

Naja, das ist aber eine Sache von Hochverfügbarkeitslösungen.
google.de hat auch mehr als einen Server der unter www.google.de zu erreichen ist.


Gruß

Thomas.

Und die ganze Serverfarm ist nicht mehr erreichbar, wenn google.de vom DNS nicht aufgelöst werden kann.

Außerdem wirst du wenig Käufer finden, wenn sie extra eine "Hochverfügbarkeitslösung" unterhalten müssen, um dein Produkt einsetzen zu können.


Es ist und bleibt so: Du verteilst Software auf mehrere Hosts, der ausführende muß sich die Teile zusammenholen. Dadurch steigt das Risiko und die Ausführungszeit.

Für kritische Applikationen also völlig ungeignet. Außerdem kein https. Du zielst auf den kleinen Scripter. Der ist nich hochverfügbar.

Also wenns am https liegen soll.

Zur Zeit teste ist eher ob es stimmt, was ist vermute. Wenn das der Fall ist, dann ist das ganze System durch eine kleine Erweiterung unknackbar.

Mich interessiert keine Verschlüsselung. Auch die erste Ebene, die jetzt auch mit Browser aufrufbar ist, lässt sich entschlüsseln. logisch. Der Clou ist, wenn es nicht in echtzeit maschinell gemacht wird, nützt der code nichts mehr.

Zur Zeit ist der eigentliche Step0 noch statisch. Nur mit dynamischen variablen und funktionsnnamen. Der nächste Schritt ist,l das auch noch echt dynamisch mit jede menge datenschrott zu gestallten. dann möchte ich den programmierer sehen der das teil knackt.

Was mich eher interessiert ist: wie sieht es bei einen geknackten php aus. Wenn da, der verschlüsselte Quelltext auch nur mit eval... zu sehen ist, dann geht meine Rechung auf.

Was die Geschwindigkeit angeht: www.de-spider.de läuft auf einem mini-vserver und ist mit meinem Verfahren kopiergeschützt. Ich habe einige Besucher durch einen Besuchertausch auf der Site. Und es läuft ohne Probleme.

MfG

Thomas Stoffregen

ausserdem, wenn es um die verfügbarkeit geht:

Auch für extrem teure und kritische Software ist das System zu gebrauchen.

Bei einer teuren Software ( mehr als 10.000 Euro jährlich an Lizenzgebühren) kann man einen/mehrer eigenen Lizenzserver mit in das gleiche Netzsegment installieren.

Gruß

Thomas

Zitat:

Zur Zeit teste ist eher ob es stimmt, was ist vermute.

Das ganze basiert auf einer Vermutung?

zum nächsten sind 10.000 € nicht die schwelle, an der ich mir fürs Lizenzsystem 1 oder gar zwei server aufstellen würde...

Wills aber auch gar nicht weiter schlecht reden.
Das Problem ist bekannt und es wäre schön, wenn es eine praktikable Lösung geben würde. Für meine Scripte brauch ichs ohnehin nicht und daher belasse ichs auch erstmal dabei.

Zitat:

Original geschrieben von TobiaZ
Das ganze basiert auf einer Vermutung?

Jain, die Vermutung ist, das auch mit gecracktem php der code nicht sichtbar wird. weil der Interpreter nur den Eval bekommt.

Fact ist, das ich das Konzept auf Zend Studio incl. Platform gestestet habe und da der Code zwar ausfürhbar aber nicht sichbar war.

Der Debugger ist zwar schön zeilenweise durch die funktion gegangen aber als code war nur eval... zu sehen.


Gruß

Thomas