Дырка в проге.

Есть очень интересный вопрос.
Вот программер написал свою прогу, долго и старательно... И очень часто бывают такие случаи, что их обманывают и не платят или используют ту прогу в своих целях...
Я думаю в таких случаях желательно сделать "дырку", что б программист смог если что, остановить работу все накопированных его программ. Как это сделать? У кого-то есть какие-то идеи?

1

Сообщение от Некромант Я так понял просьбу автора

Насколько я понял, такой вид дырки он описал от незнания того, как вообще такие вещи делаются (собственно, для того он и спросил)

0

Если зазчику очень захочется, то он взломает прогу.
Есть базовый принцип защиты информации: защита информации должна стоить дешевле её взлома. Т.е. если стоимость защиты высокая, то стоимость взлома должна быть ещё выше.
Защиту, которую предложил Evg ломается в элементе: отслеживается, что меняет прога и меняется то, что надо.
Защита Некромант - это вообще не защита: если у заказчика стоит firewall и все соединея с инетом делаются через одну машину, то это никак нельзя осуществить. А если заказчик - фирма, то это 100-пудово так.

0

Сообщение от Airhand Если зазчику очень захочется, то он взломает прогу. Защиту, которую предложил Evg ломается в элементе: отслеживается, что меняет прога и меняется то, что надо.

Я сразу оговорил два пункта, при невыполнении которых смысла писать защиту нет, потому как программа, которую делает автор, врядли стОит бешенных денег, чтобы связываться с современными средствами защиты

0

Да, интересно... Классные варианты...

Добавлено через 3 минуты 27 секунд

Сообщение от Delphin_KKC Тогда сделай в проге запрос на свой сайт, в запросе пусть передаёт свой идентификатор. РНР скрипт на сайте находит его в базе и если там стоит "можно" - отсылает "ОК" программе, иначе - чтото другое. Программа получив ОК как ни в чём не бывало работает. Иначе - компосирует мозг на предмет оплаты Такая защита (при условии того, что её не будут пытаться ломать) пишется от силы за час.

только как это организовать?

1

Сообщение от Delphin_KKC Тогда сделай в проге запрос на свой сайт, в запросе пусть передаёт свой идентификатор. РНР скрипт на сайте находит его в базе и если там стоит "можно" - отсылает "ОК" программе, иначе - чтото другое.

Делается затычка, которая при отправке запроса определённого на определённый сайт, присылает "ОК". Стоит файервол и прога даже не знает, что никуда не ходит.

0

Сообщение от Airhand Делается затычка, которая при отправке запроса определённого на определённый сайт, присылает "ОК". Стоит файервол и прога даже не знает, что никуда не ходит.

Для этого надо как минимум понять как работает защита (т.е. взломать её; а автор взлом исключает). Потом эту затычку надо создать. Что тоже небесплатно.

0

Сообщение от Delphin_KKC Для этого надо как минимум понять как работает защита (т.е. взломать её; а автор взлом исключает). Потом эту затычку надо создать. Что тоже небесплатно.

Что там понимать: файервол скажет куда ломится прога. Из двух вариантов отсеиваем один: он нужен для работы. Осьаётся 1 вариант с ним и работаем. Всё окозалось намного проще, чем ты думаешь.

0

Сообщение от Airhand Что там понимать: файервол скажет куда ломится прога. Из двух вариантов отсеиваем один: он нужен для работы. Осьаётся 1 вариант с ним и работаем. Всё окозалось намного проще, чем ты думаешь.

Хорошо. Нашли что прога ломится куда не просили. Но если просто заблокировать - прога работать откажется. Т.е. нужно понять что она передаёт и что получает. А для этого уже средств файерволла не хватит. Хотя тоже не особо проблематично проследить.

Однако я ведь только подал идею, которую можно развивать. Например передавать не ОК, а новый ID, который будет использован при следующем обращении к сайту. При этом можно не случайно генерировать ИД, а по какому-то алгоритму и сравнивать возвращённый и рассчитанный самой программой. Если же лицензия кончилась - то сайт должен выдавать заведомо неверный ИД, но так, чтоб он для хакера выглядел как верный.
Кроме того, можно блокировать работу программы не сразу, а через определённый интервал времени после обнаружения нелицензионности. Интервал может выбираться из определённого списка значений случайно, но должен быть примерно равным тому моменту, когда пользователь (по мнению программиста) сделает достаточное количество изменений. Кроме того, при нажатии на "сохранить" работа должна немедленно блокироваться. Самое лучшее - тупо закрыть прогу без объяснения причин. Ну или перед самым закрытием вывести окошко с просьбой заплатить.

1

Сообщение от Delphin_KKC Хорошо. Нашли что прога ломится куда не просили. Но если просто заблокировать - прога работать откажется. Т.е. нужно понять что она передаёт и что получает. А для этого уже средств файерволла не хватит. Хотя тоже не особо проблематично проследить.

Работать - не значит заблокировать.

Однако я ведь только подал идею, которую можно развивать.

Изначально фиговая идея.

Например передавать не ОК, а новый ID, который будет использован при следующем обращении к сайту.

И, конечно, этого не увидят.

При этом можно не случайно генерировать ИД, а по какому-то алгоритму и сравнивать возвращённый и рассчитанный самой программой. Если же лицензия кончилась - то сайт должен выдавать заведомо неверный ИД, но так, чтоб он для хакера выглядел как верный.

Что мешает проге подсовывать один и тот же ИД ? И вся твоя хитрая защита накрылась медным тазом.

Кроме того, можно блокировать работу программы не сразу, а через определённый интервал времени после обнаружения нелицензионности. Интервал может выбираться из определённого списка значений случайно, но должен быть примерно равным тому моменту, когда пользователь (по мнению программиста) сделает достаточное количество изменений. Кроме того, при нажатии на "сохранить" работа должна немедленно блокироваться. Самое лучшее - тупо закрыть прогу без объяснения причин. Ну или перед самым закрытием вывести окошко с просьбой заплатить.

Вся твоя защита не стоит и гроша. Evg прав: нет такой защиты, которую бы не сломали. Вопрос лишь в том как быстро это смогут сделать и какое кол-во ресурсов потратят.
Ты что, думаешь у Били Гейтса не хватает денег ? Если бы такая зашита существовала, он бы её применил для защиты вин хр.
Для одной проги по затратам времени и ресурсов, лучше всего привязаться к кому-нибудь серийнику. Я не знаю к какому и как.

0

Сообщение от Airhand Что мешает проге подсовывать один и тот же ИД ? И вся твоя хитрая защита накрылась медным тазом.

Всё зависит от алгоритма генерации этого ИД. Если его привязать к количеству запусков программы или к чему-то в интернете - тогда старый ИД не прокатит.

Сообщение от Airhand Вся твоя защита не стоит и гроша.

А где я говорил что предложенная мной тут защата - мегакул? Я знаю что есть способы написания трудноломаемых защит (как то шифрование процедур и расшифровка их напрямую в память и т.д.). Но автор изначально сказал что мегакрутая защита ему не нужна.

Сообщение от Airhand Evg прав: нет такой защиты, которую бы не сломали. Вопрос лишь в том как быстро это смогут сделать и какое кол-во ресурсов потратят.

И он прав. Я тоже такого мнения. Посмотри в моей подписи ("нет ничего невозможного").
Что один человек придумал - другой всегда сможет взломать. Сколько веков насчитывается с момента изобретения замка? А сейфы до сих пор взламывают

Сообщение от Airhand Ты что, думаешь у Били Гейтса не хватает денег ? Если бы такая зашита существовала, он бы её применил для защиты вин хр.

Думаю что Гейтс точно так же соблюдал балланс между ценой винды и ценой защиты.

Сообщение от Airhand Для одной проги по затратам времени и ресурсов, лучше всего привязаться к кому-нибудь серийнику. Я не знаю к какому и как.

Возможно. Тоже неплохой вариант.

0

Вариант с проверкой по инету не совсем хорош вот скакой стороны. Все программы, которые проверяют себе через интернет в своём описании выставляют такое требование, а так же пишут об этом в лицензионном соглашении. Т.е. если программа делает какое-то дополнительное соединение, не указанное в ТЗ, то теоретически это означает невыполнение договора, а потому можно прие$аться с юридической стороны

Второй момент использования инета - это то, что для взлома достаточно студента-админа средней квалификации. Сисадмин есть в любой конторе, в которой имеются компы для выхода в инет. Защита без инета требует для взлома уже опытного программиста или хакера, а потому цена взлома возрастает. При этом наличие программиста означает возможность взлома хоть с инетом, хоть без него. Но программисты есть в штате далеко не у каждой компании, поэтому на мой взгляд более предпочтителен вариант без инета

По поводу того, что всё ломается. Взлом стОит денег. И вопрос в том, нужен ли этот геморой закачику - связываться со сторонними прогрммистами и хакерами. Если за час пишется защита для программы стоимостью в 100 баксов, условная цена взлома которой так же равна 100 баксам, то почему бы это не реализовать?

1

а по-моему, использование инета является одним из самых надежных средств защиты. возьмите касперского, возьмите onlineRPG.

предложу свой алгоритм
1. программа посылает уникальный seed
2. сервер присылает в ответ hesh
3. программа шифрует весь свой трафик, который пересылает на сервер, используя полученный hesh

все.

1

Дырку если и оставлять то в веб приложениях, там это актуальней, а в сях думаю лучше использовать просто триальную версию, с ограниченными возможностями, например: показ в столбце всего 5 строк из БД , и подобные варианты, если заказчику понравится программа то он её купит, а подправить пару строк кода не так сложно. практично и несложно. да и не сломаешь тут уже ничего.

0

Сообщение от Evg При этом наша запись будет прятаться где-то среди этих данных и будет внутри файла модифицироваться (не трогая при этом остальные данные). Удалив файл, испортят работу программы. Такой вариант менее надёжный, потому как для первого пункта ограничений появляется более простое условие: в самом начале просто дублируем все файлы, а потом купируем куда надо и запускаем программу.

Тогда можно наверное использовать хеширование,а результат хранить где-то в реестре,причём в специально запутанном виде,и сравнивать?

0

Сообщение от #pragma Тогда можно наверное использовать хеширование,а результат хранить где-то в реестре,причём в специально запутанном виде,и сравнивать?

Как кодировать, как потом это распознавать - вопрос десятый. Основной вопрос - это в какое место спрятать, чтобы трудно было найти и трудно было безболезненно удалить

0

Тяжело сказать что защита по нету хуже чем защита без него, ведь в твоих руках прога. Вот надуют тебя и выгонят с работы, а твой продукт пустят на продажу, как серийник поможет проучить гадов?

Второй момент использования инета - это то, что для взлома достаточно студента-админа средней квалификации. Сисадмин есть в любой конторе, в которой имеются компы для выхода в инет.

Если прога работает з нетом, как студент-админ сможет предотвратить неминучую остановку работы проги?
А как сделать, что бы прога подала запрос на сайт? Через Инди?

1

Сообщение от Tree Вот надуют тебя и выгонят с работы, а твой продукт пустят на продажу, как серийник поможет проучить гадов?

Если есть такие опасения, то правильным вариантом было бы менять работу, а не тратить время на защиту, которую всё равно нано или поздно сломают. Хотя я ситуёвину воспринял так, что заказчик отдельно, а ты отдельно, и ты не являешься их сотрудником, а потому по закону им чревато продавать твою прогу. Да и если есть хоть капля мозгов, то попросту нет смысла продавать прогу, исходника которой у них нет

Сообщение от Tree Если прога работает з нетом, как студент-админ сможет предотвратить неминучую остановку работы проги?

Студент-админ просто посмотрит, что шлётся по сети, и скорее всего смекнёт, а что надо сделать, чтобы программа думала, что всё нормально. В варианте без сети это всё самое тоже делается, но с использованием отладчика. А тут нужен программист, коих всё-таки меньше, чем админов. К тому же прямые руки обязательны (в то время как админ подойдёт и криворукий)

0

Сообщение от Lolcht0 а по-моему, использование инета является одним из самых надежных средств защиты. возьмите касперского, возьмите onlineRPG.

У касперского совсем другой случай: он базы ДОЛЖЕН тянуть из инета, т.е. соединение с инетом ДОЛЖНО быть. А у бухгалтерской проги особенности другие: она ДОЛЖНА работать и без инета. Любой файервол закроет эту дырку и что тогда ? Прога не будет работать: позвонит заказчик и вствит...
Так что с инетом имеет смысл связываться только тогда, когда прога без него жить не может.

0

Собственно прога конектится через нет на свою базу, если не будет соединения, то она полюбэ не заработает.
Мне интерестно как можно организовать, что б прога получала разрешение через нет.
Мы, вроде, дошли до того, что на сервере должен лежать файл, и прога должна его читать?
Но как это организовать? Может сделать так, что б она каждый рас его качала, а потом уже проверяла? Да, это идея не из лучших, но как вы на это смотрите, может по другому попробовать?

1

Сделай как Каспер и семёрка. Проверяй регистрацию через инет. Только не тяни весь файл с сервера, а то содержимое этого файла станет сразу известным.

0