Hei Leute!

Ich habe da eine Grunsatzfrage.
Wie kann man seinen PHP Source Code schützen?

Wenn eine Kunde mein CMS gekauft hat, kann er ja per ftp auch auf seinen Server zugreifen und damit das System runterladen und weitergeben. Ich möchte das irgendwie schützen, so dass niemand ohne eine Lizenz zu bezahlen ( ), das Ding in Betrieb nehmen kann.

Wie kann man so was machen? Verschlüsseln? Aber da muß der Schlüssel ja auch wo gespeichert sein?

Eine Anfrage auf meinen Server machen, und dort einen Freischaltschlüssel abrufen? Denn kann man dann ja auch per echo ausgeben? Im Prinzip brauche ich dann ja nur in jedem script die Abfrage des Schlüssels zu deaktivieren?

Welche ideen habt ihr?

Hi paracelsus,

gibts verschiedene Möglichkeiten.
Eine geläufige ist von Zend:
Zend Guard - Schützen Sie Ihren Code und IP - Zend.com

Gibts auch von anderen Firmen und ich glaube es gibt auch ein OpenSource Programm, das ähnliches kann.

Gerade bei Google gefunden:
Sind nicht alles Verschlüsselungsprogramme, aber kann mal gucken. Zend ist aber auf jeden Fall sicher, der Encoder wird nämlich als richtige Software auf dem Server installiert (der Encode ist kostenlos) und halt richtig sicher. Nicht wie manche andere Version, in der PHP sich selbst entschlüsselt, was natürlich leicht reversed werden kann.

Gruß,
Pablo

__________________
Go Opera!
… oder Chrome. Auch cool.

Zend: scheint mir so ein Mechanismus wie bei Java zu sein. Der Code wird in
Tokens zerlegt und der Rest evtl. gezippt. Zum Entschlüsseln müßten sie dann
irgendeinen Expander als Servermodul laufen haben. Irgendwie muß PHP den
Code auch ausführen können - er muß also irgendwann auch als Klartext
vorliegen.

Prinzipiell nicht sicher. Der 08/15-Anwender wird es nicht knacken können.

Bei dBase IV und FoxPro gab es auch mal solche Versuche ...

Wenn ich das Zend knacken wollte, würde ich mir die Quellcodes von PHP
besorgen und an geeigneter Stelle das Zeugs rausschreiben lassen. Kann
nicht so schwer sein ...

__________________
Grüße aus dem Spessart, Joe

{ table-layout: biertischistbesser; }
Der Mausinator

Mir ist schon klar, das es den 100% Schutz nicht geben wird, aber wenigstens ordentlich schwermachen will ich das - nicht das ich gleube, meine Software wäre so bedeutend geg. anderen OpenSource, das sie derlei Versuchen arg ausgesetzt ist. Aber einmal geknackt heisst auch weniger Geschäft. Und das will ich mir hier in meinem Bereich sichern.
Hab mir ein paar der offenen CMS angesehen - da kann ich - vor allem im Bereich Usability - doch gut mithalten.

Danke für die Links.

Na ja.... Ich weiß nicht so recht ob das so leicht gehen wird
Es kann ja sein, das Zend den schon kompilierten Code verschlüsselt.. Dann kannst das ganze zumindest nicht einfach so eben auslesen... Auch weil Zend den PHP Kern geschrieben hat,d enek ich dass die sich was nettes ausgedacht haben.
Und dass irgendjemand erfolgreich Zend geknackt hat, habe ich noch nicht gehört. Interessenten wird es aber auf jeedn Fall geben.

Gruß,
Pablo

__________________
Go Opera!
… oder Chrome. Auch cool.

PHP ist ein Interpreter, also gilt es erstmal die Tokens herauszubekommen.
Dazu macht man ein kleines Programm und füttert Zend damit ...

Ich weiß nicht ob es lohnt. Premiere und den iPod haben die Jungs auch
flachgelegt, da hat es sich gelohnt.

Für Paras Zwecke dürfte das reichen.

__________________
Grüße aus dem Spessart, Joe

{ table-layout: biertischistbesser; }
Der Mausinator

Also ich mach das etwas anderst. Ich leg die PHP Files einfach auserhalb der Ordner auf den die Kunden zugreifen dürfen.

Ordnerstruktur:
Und in /domains/www.url.de/ gibt es eine PHP Datei die wiefolgt aufgebaut ist:
So kommt der User auch nicht an meine PHP Dateien.

Auch ein Vorteil ist, dass wenn jemand den PHP Interpreter so angreift das er immer den Quellcode Pastet sieht der Angreifer auch nur den Include Befehl

Gruß
Timo

__________________
Um weitere Erklärungen eingeblendet zu bekommen, drücken Sie bitte die Tastenkombination Alt + F4

Daneben. Para will das CMS ja verkaufen, dann hat der Kunde ja alles.
Etwas anderes wäre, das als Dienstleister anzubieten.

Para: ist vielleicht eine Überlegung wert. Wir machen das in der Firma auch so.

__________________
Grüße aus dem Spessart, Joe

{ table-layout: biertischistbesser; }
Der Mausinator

Ups das hab nicht gesehen das er das so verkaufen will

__________________
Um weitere Erklärungen eingeblendet zu bekommen, drücken Sie bitte die Tastenkombination Alt + F4

Ihr meint das das System selber auf meinem Server liegt?
Hm, wäre einen Versuch wert, allerdings läuft das mit den includes dann nicht...
Mir wäre ne Verschlüsselung wie die von Zend das liebste, aber ist auch recht teuer...