Szyfrowanie swoich plików do strony www

Question

Witam. Chciałem udostępnić moją aplikację (stronę www) publicznie. Aplikacja wysyłałaby się do osoby, która ją zakupi. Martwi mnie natomiast to, że gdy jedna osoba kupi sobie aplikacje, będzie miała dostęp do jej plików i powysyła je za darmo innym. Czy istnieje jakiś sposób, aby te pliki zaszyfrować?

Comments

Istnieje proste rozwiązanie tego problemu: SaaS.

Answer 1

Można skorzystać z rozwiązań pokroju Zend Guard → https://www.zend.com/products/zend-guard

Ogólnie poszukaj rozwiązań typu PHP obfuscator, PHP encoder albo kompilatorów PHP do binarek (też coś powinno być).

Comments

Sam obfuscator niewiele da. Zawsze można przekazać plik i dalej będzie działał.

---

No niekoniecznie. Co to za problem dodać do obfuskowanego kodu proste sprawdzanie, czy kod jest odpalany z określonej domeny i czy klucz licencyjny jest poprawny?

Answer 2

Można próbować, ale w praktyce jest to praktycznie niemożliwe.

Comments

Nie wiem czy dobrze zrozumiałeś. Załóżmy, że kupujesz u mnie stronę www. Dostajesz pliki i odpalasz je sobie na vps. Ja chcę uniknąć, abyś wysłał te pliki swojemu koledze, który dzięki Tobie będzie miał tą stronę za darmo.

---

Edytowalem :)  myślałem, że chcesz sprzedawać aplikacje przez stronę. Jak chcesz samą stronę -to jest to bardzo trudne do zabezpieczenia, wręcz niemożliwe.

Answer 3

Nie jestem pewien czy taka odpowiedź Cię zadowoli, ale ja zrobiłbym to w taki sposób:

Stronę upubliczniłbym zwyczajnie za darmo, ale np. w PHP w oparciu o SQL dodałbym taką funkcjonalność:

(pseudokod)

Jeżeli IP użytkownika znajduje się w bazie "Zarejestrowani"  to udziel dostępu

W innym przypadku zażądaj podania kodu (kod rozsyłałbyś osobą, które wykupiły dostęp)

Jeżeli podany kod znajduje się w bazie "Kody", dodaj IP tego użytkownika do bazy "Zarejestrowani" i udziel dostępu a następnie usuń ten kod z bazy "Kody"

Comments

Żeby to obejść wystarczy, że ktoś stworzy bazę na localhoście ze swoim zarejestrowanym ip i do niej podepnie to sprawdzanie.

---

Musi "podpiąć to sprawdzanie" za pomocą PHP który jest językiem backendowym, przez co nie widać jak nazywają się dane bazy. Co więcej pod inną domeną (tu: localhost), te bazy nie będą utworzone i nie będą zawierać kodów.( Dodatkowo można zmienić nazwy tych baz na ciąg losowych znaków, co znacząco utrudni część ataków, jednak nie uważam aby było to potrzebne)

---

Musi "podpiąć to sprawdzanie" za pomocą PHP który jest językiem backendowym, przez co nie widać jak nazywają się dane bazy.

Wejdzie w plik php, który łączy się z moją bazą, za pomocą VSCode i przekieruje dane logowania na swoją bazę.

---

W jaki sposób miałby edytować kod backendowy? Jeżeli ma jakiś program, pozwalający mu na edycje i/lub podglądanie kodu php to raczej niewiele jest zabezpieczeń webowych, które go powstrzymają... (Nie mówię tu o atakach pokroju SQL Injection, bo przed tymi można stosunkowo łatwo się zabezpieczyć

---

A no w taki że wejdzie w plik na vps i sobie go otworzy.

---

Jeżeli nie miałby przykładowo hasła do hostingu (bezpośredniego dostępu do oryginału strony php) niemożliwe byłoby zobaczenie kodu php

---

Chyba chodzi o to, że przy sprzedaży tworzysz back-endową instancję dla klienta na swoim serwerze, a jemu wysyłasz tylko front-endową część.

---

W jaki sposób miałby edytować kod backendowy?

Normalnie, w końcu cały problem zasadza się na tym, że tę aplikację kupuje i dostaje kod źródłowy.