Re: Also ob das das Gelbe vom Ei ist..
Geizhals Preisvergleich Impressum | Werbung
 
Geizhals » Forum » Programmierung » PHP-Scripte verschlüsseln leicht gemacht... (20 Beiträge, 216 Mal gelesen) Top-100 | Fresh-100
Du bist nicht angemeldet. [ Login/Registrieren ]
^ Forum  Programmierung  #2279962
PHP-Scripte verschlüsseln leicht gemacht...
Ice-Tea
17.03.2005, 04:31:31
hi @all
an alle PHP freaks die PHP scripten den besseren schutz verpassen wollen will ich auf diesem wege meine persönliche erfahrung mitteilen...

motivation: mir war es leid meine DB-Passwörter in plaintext abzulegen und ich wollte meinen kunden trialware (zeit limitierte software) anbieten können ohne der gefahr zu laufen dass wer auf die dumme idee kommt ein sicherheits-backup der scripte zu erstellen...

ich war auf der suche nach einer PHP-Verschlüsselung (encoding) und habe mehrere systeme unter die lupe genommen...

die 3 kandidaten waren:
IonCube ( http://www.ioncube.com/  )
Zend ( http://www.zend.com/store/products/zend-safeguard-suite.php  )
SourceGuardian ( http://www.sourceguardian.com  )

ich will jetzt nicht alle vor und nachteile aufzählen aber;

IonCube
+ sehr günstig
+ viele funktionen
- man muss den ApacheServer neustarten und in der php.ini herum pfuschen
- da ich den INODE server nicht rebooten durfte konnte ich es nichmal testen :-(

Zend
- sehr teuer
- nicht alle encoder versionen sind mit allen PHP versionen kompatibel :-(
- nicht alle encoder versionen sind mit dem hauseigenen Zend Optimizer kompatiebel ?-)
- wollte einfach nicht funktionieren (PHP version war zu alt)
+ verdammt gute verschlüsselung
+ dateien sind im binary format
+ PHP Acceleration
+ alle funktionen die sich ein developer wünscht

SourceGuardian
+ preis ist im grünen bereich
+ gute funktionen
+ mit 4 klicks sind die dateien servierfertig (hehe SERV(i)ER-FERTIG |-D)
+ hat auf anhieb am server funktioniert
+ verschlüsselung ist gut
+ funktioneiert unter linux, windows, mac os x, freebsd und sun
+ man muss keine zusätzliche software am server installieren oder gar http-server restarten !:-)
+ kleine updates sind gratis
- um die backupfiles muss man sich selbst kümmern (dateien werden sonst überschreiben)
- die funktionen sind zwar gut aber eher unflexiebel...
- man kann nach der encodierung nur händisch copyright infos hinzufügen
- keine PHP Acceleration, im gegenteil wird es unbedeutend wenig langsamer

Fazit: SourceGuardian ist gut und bietet genug schutz... also viel spass beim ENCODIEREN ;-)

lg.
Ice-Tea (mit Zitrone)

|-DWunschdomain noch frei?|-D


"Es gibt 3 Stadien der Verblödung. Im ersten merkt man es nur selber, im zweiten merken es auch die anderen und im dritten merken es nur noch die anderen. Dann ist es wieder schön. Bei mir ist es schön."
Antworten PM Alle Chronologisch
 
Melden nicht möglich
.  Re: PHP-Scripte verschlüsseln leicht gemacht...  (Spedi am 17.03.2005, 09:35:01)
..  Re(2): PHP-Scripte verschlüsseln leicht gemacht...  (Robert Craven am 17.03.2005, 09:37:17)
...  Re(3): PHP-Scripte verschlüsseln leicht gemacht...  (Spedi am 17.03.2005, 09:39:24)
....  Re(4): PHP-Scripte verschlüsseln leicht gemacht...  (Robert Craven am 17.03.2005, 09:42:17)
.  Re: PHP-Scripte verschlüsseln leicht gemacht...  (Robert Craven am 17.03.2005, 09:36:51)
..  Re(2): PHP-Scripte verschlüsseln leicht gemacht...  (Ice-Tea am 17.03.2005, 13:25:15)
...  Re(3): PHP-Scripte verschlüsseln leicht gemacht...  (gepeinigter_aon_neukunde am 17.03.2005, 13:46:19)
....  Re(4): PHP-Scripte verschlüsseln leicht gemacht...  (Ice-Tea am 17.03.2005, 13:52:54)
.....  Re(5): PHP-Scripte verschlüsseln leicht gemacht...  (gepeinigter_aon_neukunde am 17.03.2005, 13:59:22)
......  Re(6): PHP-Scripte verschlüsseln leicht gemacht...  (Ice-Tea am 17.03.2005, 14:25:19)
.......  Re(7): PHP-Scripte verschlüsseln leicht gemacht...  (mIstA am 17.03.2005, 14:45:52)
........  Re(8): PHP-Scripte verschlüsseln leicht gemacht...  (Ice-Tea am 17.03.2005, 16:06:00)
.  Also ob das das Gelbe vom Ei ist..  (gepeinigter_aon_neukunde am 17.03.2005, 12:03:32)
..
^ Forum  Programmierung  #2281004
Re: Also ob das das Gelbe vom Ei ist..
Ice-Tea
17.03.2005, 13:18:14
Also für mich klingt das ganz anders, als du beschreibst:
[1] dachte ich immer, daß Zend im Prinzip den Source in einen P-Code übersetzt
und u.a. damit die Performance erhöht. Dann hast aber deinen Source net
verschlüsselt sondern maximal verschleiert. Die Frage wäre - kannst sicher
schnell ausprobieren - ob man mit einem trivialen "strings" net einfach auf
die Kennwörter kommt.


zend hat mehrere produkte. Zend Optimizer oder Accelerator (wie der name schon sagt) optimiert und gibt gas.
mit einem trivialen string kommt man nicht auf den quellcode der php datei weil zend SafeGuard erstelt aus den normalen PHP dateien eine Binere ausführbare datei die nur die Zend Engine entschlüsseln kann.

S1:
es geht dir also darum, deinen Rechner zu schützen, falls die böse Eve ihn
heimsuchte.
Nun denn, dann bleibt uneinsichtig, warum irgendein user (außer www) auf die
Dateien Zugriff haben soll. Ein Plaintext-PW ist net schlecht, wenn net einmal
root auf die Datei zugreifen darf. Kurzum: Du hast dann ein gaaanz schlimmes
Security-Problem - daß du besser durch die Kombination von 2 anderen
Mechanismen löst: SE (um im Betrieb zu schützen) und vercryptete Dateisysteme
(um vor dem mit einer Knoppix bewaffneten und physichem Zugriff auf den
Rechner habenden zu schützen).


es wird hier nicht der server geschützt sonder ganz simple PHP dateien bekommen eine sprerre. man kann die dateien auf bestimmte domains, IP adressen eichen sodass keiner diese irgendwo anders einsetzten kann. es ist sogar möglich (wie bei shareware) das du die PHP aplikationen auf eine bestimmte zeit sperrst. z.B. die aplikation läuft nur bis 1.April 2005 und danach muss der kunde eine lizenz kaufen um diese weiter zu betreiben. du gibst den kunden so die möglichkeit deine programme zu testen (auf auch deren server) ohne das du befürchten musst das sie unerwünschte kopien von deinem geistigen werk machen.

für die restlichen fragen trifft nichts zu weil das mit Serververwaltung nichts zu tun hat.

S4: Alles beim Server, du bist net root, ...
Auch das macht i.d.R. keinen Streß.
Meine PHP-Scripts sind in der Regel nur die Userinterfaces (ähnlich wie andere
gerne Access als Frontend verwenden). Die Business Logic hat am Frontend IMHO
eh' nix zu suchen, denn dann mußt sie doppelt warten (Jeden denkbaren
Constraint bau' ich in die DB ein - das erspart viel Streß nachher) - in der
DB und am Frontend. Im Endeffekt findet das ganze "schützenswerte" eh' in den
Stored Procedures in der DB statt - und der Kunde soll sich seine eigenen
Kennwörter ausdenken (die ich net mal wissen will). Wenn es ein Prob gibt,
soll er dir temporär ein Kennwort geben und du dann remote oder lokal
einsteigen. Das "Timeout" für die Testphase hast dann bequem in einer der DO
INSTEAD-Rules verpackt...


hat mit kunden kennwörter die in die datenbank kommen nichts zu tun.  um mit den PHP anfragen in die datenbank zu gelangen musst du deine datenbank benutzernamen und password in einer "config.php.inc" oder dergleichen angeben. diese und die Quellcodes der PHP dateien gehören gesichert...


lg.
Ice-Tea (mit Zitrone)

|-DWunschdomain noch frei?|-D


"Es gibt 3 Stadien der Verblödung. Im ersten merkt man es nur selber, im zweiten merken es auch die anderen und im dritten merken es nur noch die anderen. Dann ist es wieder schön. Bei mir ist es schön."
Antworten PM Alle Chronologisch Zum Vorgänger
 
Melden nicht möglich
...  Re(2): Also ob das das Gelbe vom Ei ist..  (gepeinigter_aon_neukunde am 17.03.2005, 13:28:22)
....  Re(3): Also ob das das Gelbe vom Ei ist..  (Ice-Tea am 17.03.2005, 13:46:11)
.....  Re(4): Also ob das das Gelbe vom Ei ist..  (gepeinigter_aon_neukunde am 17.03.2005, 13:57:31)
......  Re(5): Also ob das das Gelbe vom Ei ist..  (Ice-Tea am 17.03.2005, 14:13:39)
 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung