[Bleistift]

Ich möchte eine PHP-Anwendung von mir mit einem Serialkey sichern. Hat das schon jemand mal in PHP gemacht? Bzw. mal eine grundlegende Frage: Wie könnte so ein Algorithmus aussehen?
Die PHP-Files sind übrigens verschlüsselt.

[FloB]

Bessere (und sichere) Lösung: Der ZendEncoder (u.ä.).

Alles andere ist schlichtweg nicht realisierbar, den Code kann man immer irgendwie herausfinden.

[Bleistift]

Zend Guard (früher hiess das Teil Zend Encoder) ist für das Projekt leider zu teuer. Aber ich habe jetzt eine andere Möglichkeit gefunden. Die Userinformationen werden mit einem Privatekey verschlüsselt. In der Applikation (die wie gesagt geschützt ist) wird dieser String dann wieder entschlüsselt und überprüft. So sollte das meines Erachtens relativ sicher sein

[Flor1an]

Kannst du uns den Skript mal zeigen? Weil im Endeffekt hast du ja irgendwo eine Routine die dann zurück gibt ob der Key ok ist oder nicht .. und da kannst du ganz einfach nen return TRUE; oder sonst was einfügen und auf einmal wird jeder Key akzeptiert ...

[Bleistift]

Nein, das Script lässt sich nicht editieren. Ich erklärs mal ein bisschen deutlicher:
Das Script wird voraussichtlich mit dem ionCube PHP Encoder geschützt (da dieser relativ billig ist). Diese Dateien liegen dann in einem read-only-Verzeichnis. Ich hoste dann mehrere Kunden, die auf diese Dateien Lesezugriff haben. Somit können sie das Script includen etc. Aber natürlich dürfen nur die User das Script includen, die eine gültige Lizenz haben. Das stelle ich mit meinem Lizenmodell sicher.

[Flor1an]

Warum willst du das Skript ansich auf deinem Server laufen lassen und deine die Website deine Kunden greift bei jedem Zugriff auf deinen Server zu?

Du kannst dem User doch gleich das ganze verschlüsselte Skript geben dann muss er nicht jedes mal auf deinen Server zugreifen. Und bei der Installation fragst du dann den Schlüssel ab.

[Basti]

Die Sites der Kunden liegen doch scheinbar auf dem Server.

Ich würd mir das aber trotzdem sehr genau anschauen, wie man das Dingens angreifen kann. Möglich wäre z.B. mit den autoload-Funktionen der SPL deine autoload-Funktion (falls du eine hast) auszuhebeln und so rauszufischen, welche Methoden da aufgerufen werden und diese mit eigenen Objekten zu überschreiben.

Mit Ticks könnte man das Skript vielleicht auch irgendwie analysieren.

Hab noch nicht weiter drüber nachgedacht, aber da gibts sicher noch einige Wege, denen man nachgehen könnte und wenn der Kunde seine Skripte ebenfalls verschlüsselt, bekommst du davon nur schwer was mit.

Gib es nicht auch die Option, aus PHP-Skripten PHP-Module zu machen? Damit wärst du ja aus dem Schneider.

Basti

[Bleistift]

Daran habe ich noch gar nicht gedacht... Ausserdem lässt sich $_SERVER['HTTP_HOST'] einfach überschreiben und dann ist der Schlüssel auf jeder Domain nutzbar. Wobei ich ja auch den Namen ins Script einbaue und somit leicht nachvollziehen kann, wer für die Verbreitung verantwortlich ist. Und später werde ich wohl zusätzlich noch ein Call-Home einbauen, um den Key zu prüfen.

Zitat:

Zitat von Basti

Gib es nicht auch die Option, aus PHP-Skripten PHP-Module zu machen? Damit wärst du ja aus dem Schneider.

Dem werde ich gleich mal nachgehen... Vielleicht auch ne Möglichkeit.

[Bleistift]

So... Bin schon viel weiter. Ich erstelle jetzt unknackbare Keys Ich verschlüssle mit einem Private-Key einige Kundeninformationen, die kommagetrennt sind

Code:

Produkt_Bla,Hans Muster,1212431618,example.com

. Mein geschütztes Script entschlüsselt den Key jetzt mit dem Publickey und prüft die Informationen.
Funtkioniert prima und ist meines Erachtens sehr sicher. Die Keys codiere ich zusätzlich nach mit base64.
Hier mal ein Beispielkey:

Code:

LILjlHRADaT1q+ZE0M/Zkd2nOiLxevhUBCnLOinAw5YBErdS2XpLrcjXXZGSg8JvhLf7d08DijvpeWpMwdgMipdk4ehXMfq3ONEFxJbn9tRaQQL5pLgKzzPaLdm4N5QtOXkt5grhei8SAzhwFg2bIsuXWwigKN8m0O0NVxT6rSU=

Ok... Sind ein bisschen lang, aber das ist im "Copy & Paste"-Zeitalter kein Problem

[think]

Trotzdem ist das im Normalfall nicht sehr kundenfreundlich. Herr Meier will sich den Key ja vielleicht einfach mal kurz auf ein Blatt Papier schreiben, um ein anderes Gerät damit zu aktivieren, etc, etc.

Würde eher kürzere, optisch getrennte Keys generieren und keine Sonderzeichen verwenden. Ausserdem sollte man noch die ähnlichen schreibweisen von l und I, O und 0, etc. beachten.

[Jann Hendrik]

Zitat:

Zitat von think

Trotzdem ist das im Normalfall nicht sehr kundenfreundlich. Herr Meier will sich den Key ja vielleicht einfach mal kurz auf ein Blatt Papier schreiben

Es gibt Drucker?
Es gibt Text-Dateien?

Zitat:

Zitat von think

um ein anderes Gerät damit zu aktivieren

was für ein anderes Gerät?

Zitat:

Zitat von Bleistift

Ich möchte eine PHP-Anwendung von mir mit einem Serialkey sichern.

[think]

Zitat:

Zitat von Jann Hendrik

Es gibt Drucker?
Es gibt Text-Dateien?

Herr Meier möchte es sich aber kurz auf ein Blatt aufschreiben. Gibt viele Menschen die diese Transportmöglichkeit immernoch bevorzugen. Kenn da selbst viele davon.

Das er es nur für PHP-Anwendungen benutzt. Heisst nicht, dass er es per Netz bzw. nur ein Mal aktivieren kann. Eine Stand-Alone Applikation mit Webfrontend z.B. wäre da so ein Fall.