Как лучше\проще реализовать работу с серийными номерами\лицензиями чтобы не особо пиратили?

Question

[beduin01]

Я разработал некий десктопный софт. Хочу продавать его по подписке. Софт крайне нишевый, поэтому (хорошо если) будут десятки покупателей. Но just for fun хочу попробовать хоть какой то доход получить.

Лицензию на приложение планирую выдавать на год. Будет две версии. Standard и Pro.
Вопрос вот в чём. Как максимально просто чтобы не переусложнять реализовать работу с серийными номерами.

Мысли такие. Сделать какой-то кастомный алгоритм генерации серийников. Хоть тот же base64 с чем-то поверх, чтобы каждый первый его не смог взломать.

В сам серийник вшивать дату начала и конца лицензии. Если пользователь докупает Pro лицензию просто выдавать ему новый серийник.

Вопросы - как разумнее всего хранить информацию о регистрации? Просто куда-то сохранять файл лицензии и перечитывать его каждый раз на предмет не протух ли он? Или тут есть какие-то подводные камни?

Как понимаю любые серверные проверки всё слишком усложнят и толку много не принесут (софт то нишевый и особо пиратить не будут).

Какие вообще есть идеи-подходы? Можете поделиться опытом или какие-то статьи порекомендовать где описывают проблемы и подводные камни?

Comments

[Сергей Соколов]

С серверными проверками зато получится собирать статистику использования. Как часто запускают, какими функциями пользуются, а что игнорируют. Что сломалось, почему упало. Какое железо, легко ли тянет.

[Akina]

Да элементарный запрос-ответ (см. ответ d-stream).

Никто не станет заниматься ломанием, даже если алгоритм достаточно прост, ради пары десятков потенциальных потребителей - ну разве что в целях самообучения...

[shurshur]

Чтобы не особо пиратили, прежде всего надо обеспечивать качество и сервис, хорошую поддержку и разумные цены. Чтобы вот пользователи были даже рады заплатить за хорошо работающий продукт, помогающий им в их деятельности. Тем более, что нишевой продукт чаще всего без активной поддержки очень сложно использовать: что-нибудь глючит, чего-то не хватает...

Ну а ключ можно делать на основе криптографии. Например, берём номер лицензии, тип и дату, шифруем секретным ключом, а в проге зашиваем публичный ключ.

Answer 1

[d-stream]

Ну из классики .ini / .xml / .yml / .toml / etc файл с сигнатурой его содержимого

Соответственно генерация файла лицензии и подписание - закрытой частью ключа, верификация - открытой (классика)

Кончилась лицензия - сгененрировать и выслать новый файл.

Литература - любая доступная про ассиметричное шифрование

Comments

[Griboks]

Из классики скопировать файл с другого компьютера и пользоваться одной лицензией на всё село/форум.
Кончилась лицензия - поменяли время на компьютере, лицензия не кончилась.

[d-stream]

Griboks, ага, только за таким файлом надо будет сбегать в соседнее село за 100500 вёрст, опросив заодно 100499 сёл - нет ли там случаем второго пользователя)

Ну и да, точно так же в файле может присутствовать hw_id, идентификатор установки системы и прочие уникализирующие конкретный компьютер фишки. Притом в основных яп для win например LicenseProvider - прям из коробки в наличии.
Уже не говоря о промышленных решениях (тот же хасп, сентинел)
Последний, кстати, совсем незадорого продаёт прям полнофункциональный комплект системы ведения/выписки лицензий в вариациях от хардварного ключа до облака. От встраивания в свой софт до конвертирования готовых исполняемых файлов.

И такая защита вполне бронебойна для не столь тиражных продавцов софта как 1с например.

[Griboks]

d-stream, зачем бегать, когда есть интернет?

Кстати, интересный момент получается с системными вызовами защит из коробки, когда можно просто подменить возвращаемое значение в несколько кликов,потому что вызов то системны и общеизвестный. Наверное, поэтому 1с можно завести с копии флешки-ключа, и только привязка к интернету хоть как-то это предотвращает.

[d-stream]

Griboks, там несколько всё не так работает
флаги "можно"/"нельзя" - это этак годов из 80+
хотя даже тогда в реальном режиме народ уже баловался бегущим по 3 прерыванию декриптом по ключику, считанному с нестандартно вычитанного сектора дискеты (что подразумевало жесткий тайминг сброса fd1793 в нужный момент)

Сейчас всё ещё проще и веселее, включая неизвлекаемые ключи и вложенную виртуализацию. В итоге продраться туда, где исполняется кусок кода, который только что декриптовался аппаратным ключом, каким-либо отладчиком - весёлая и нетривиальная задача. А декомпиляция - тож не так чтобы весело... чай не 1700 байт цельный вирус)

[Griboks]

d-stream, так и не надо копаться в криптоконтейнерах. Лучше их просто подменить. Скажем, сделать пиратский рутокен.

[d-stream]

Griboks, а, ну да, попутного ветра как говорится ))))))))))))

[Griboks]

d-stream, ну, у меня прямо сейчас лежит один такой на столе. А некоторые действительно думают, что ключ защищает от взлома.

Answer 2

[Griboks]

Забудьте все, что вы знали о лицензии. Только бесконечные серверные проверки каждую секунду. Интернет прервался на 5 секунд = приложение превратилось в картошку.

Любые оффлайн методы защиты ломаются за пол дня.

Comments

[Saboteur]

Любые оффлайн методы защиты ломаются за пол дня.
Если это нишевое приложение, которым пользуется 50-100 человек, то некому будет его ломать.
Нет ни выгоды ни интереса. Защита чуть больше чем от дурака, и высокая вероятность что будет нормально работать.

[Griboks]

Saboteur, нишевость означает только одно - автор, возможно, никогда не узнает, что программу взломали и выложили на специализированный форум. Поверьте, взломать нишевую программу выгоднее, чем написать свою, а тем более купить на каждый компьютер. Обычно покупают одну лицензию на офис, чтобы избежать штрафов, но на все компы ставят кряк, потому что так удобнее.

[Saboteur]

не каждый школьник может взломать exe, такое ощущение что все в мире - спрошлые айтишники.
Множество спецов в других областях даже не знает про существование фриланс бирж и с трудом пользуются гуглом. Поэтому зависит от нишевости.
Тем более что человек прямо пишет - ему поиграться, а не прям серьезно все защищать и огорожать.
Всегда можно выпустить новую версию с улучшенной защитой и функционалом

[Griboks]

Saboteur, если в компании начальник каждую неделю капает айтишникам на мозги, то взлом - вопрос времени. Если это охранники на парковке - то да, взломать невозможно.

[freeExec]

Saboteur, Сколько кряков вы уже купили, что утверждать о выгодности?

[Griboks]

freeExec, у вас неправильный вопрос. Сколько я лицензий уже не купил - вот правильный вопрос.
Ну лично я не купил лицензий уже на более чем 100 000 рублей (дальше не считал). При этом я не какой-то злостный хакер, я просто работают на оборудовании, что есть под рукой в данный конкретный момент.

[freeExec]

Griboks, Вопрос то был про то, что взломщику нет разницы от того сколько пользуется программой человек, он не продаёт кряки. Достаточно только одного заказчика.

[Griboks]

freeExec,

В данном случае выгода определяется не сложностью взлома или популярностью программы, а количеством денег, которые потеряет компания при легальном использовании.

Для примера перед конторой встаёт вопрос выбора: покупка/взлом/совместное использование. Если сделать сложную или дорогую лицензию, то будет проще взломать. Если лёгкую, то будет быстрее взломать, чем купить. Если взломать сложно, но покупать не хочется, то можно организовать совместный доступ к одной машине. Иными словами, заставить всех и каждого пользователя купить программу - очень сложная творческая задача.

Если вы мне не верите, то посмотрите на word/excel/windows. Обычно покупают лицензию для бухгалтера, а все остальные пользуются пиратками. Это не от бедности, а просто бизнесу невыгодно тратить на лицензии человеко-часы.

[Inviz Custos]

Любые оффлайн методы защиты ломаются за пол дня.

Сильное заявление конечно)

Answer 3

[Wataru]

Единственный способ запретить нелецинзионное копирование вашей программы - это вынести что-то важное в серверную часть. Там логин/пароль пользователя, плюс проверки на отсутствие параллельных сессий.

Все остальное ломается.

Следующий плохой вариант: делать слепок системной информации, при активации лицензии подписывать его на сервере приватным ключем. Программа открытым ключем проверяет, что файл лицензии корректен (расшифровывает и смотрит, что системная информация совпадает).

Answer 4

[CityCat4]

Нишевый софт не пиратят. Не надо никому. В нишевом софте продают саппорт. Да, он и без саппорта работает, но бывает так, что разраб намеренно закладывает некий косяк, который происходит редко, но случившись, все обращает в тыкву (Nakivo)
Второй вариант (MS, Autodesk) - постоянная серверная проверка. Запускается программа - обращение к серверу лицензий. Нет записи - прости-прощай, не остановишь жизнь (C) (Это, разумеется, отламывается и вариант для тех, кто не боится прилета)

Comments

[Griboks]

Нишевый софт пиратят абсолютно все, кому не лень. Просто потому, что заплатить дяде Ване 5000 рублей за взлом выгоднее, чем заплатить Evel Corporation 5000 $ за лицензию. А когда компьютеров несколько, то, очевидно, несколько лицензий никто не будет покупать и подавно.

[CityCat4]

Griboks, Хе-хе. Дайте ссылочку на кейген/ключедел/пиратку Nakivo Backup & Replication, мыло в профиле :) Нишевый софт, очень нишевый. Энтерпрайзный бэкап - куда нишевее. Дорогой.

[Griboks]

CityCat4, первый раз слышу. Зато есть пиратка 5G базовой станции, которую используют опсосы (а их можно по пальцам пересчитать).

[CityCat4]

Griboks, Немудрено. В РФ не особо популярен. Но работает - пущкабобма :) На винде, на линухе, на полках. Один раз спас нас от шифровальщика, который занесли безмозглые подрядчики. Я даже и не пытался искать - его софтлайн не знал до тех пор, пока мы у него не запросили :)

Answer 5

[maksam07]

Никаких. Все программы взламываются, даже на С++. Даже при работе с лицензией через сервер. Сниффером смотришь какой ответ приходит, в коде программы подменяешь его и вот у тебя фулл лицензия. Конечно, на С++ это может быть сделать затруднительно, но если программа будет иметь свою популярность, то и найдутся люди, которые захотят ее взломать. А если она пишется на .net, то там смысла лицензирования вообще почти 0

Самый профитный вариант должен быть через веб-сайт

Comments

[Griboks]

На сервере должна быть не работа с лицензией, а работа вообще. Тогда это не взломать на коленке. Для примера посмотрите на MS Office, который кроме электронной обёртки вокруг онлайн-офиса 365 уже ничего и не продаёт простым людям.

[maksam07]

Griboks, я об этом и говорю.

[Inviz Custos]

Сниффером смотришь какой ответ приходит, в коде программы подменяешь его и вот у тебя фулл лицензия.

При нормальной реализации работы с сервером лицензий такой трюк не сработает)

[maksam07]

Inviz Custos, это как один из вариантов. Методов взлома куча

Answer 6

[Adamos]

Возможно, стоит сделать две версии программы:
- бесплатную, которая будет постоянно лезть на ваш сервер и без него неминуемо превращаться в тыкву
- и платную, владельцы которой покупают не только чистую совесть, но и независимость от вас и фактора автобуса
А проверки, которые могут лишить купившего лицензию возможности пользоваться продуктом просто потому, что вы куда-то подевались (сменили работу или страну, не заплатили за сервер) - крайне нехорошо с позиции клиента.

Comments

[Griboks]

Звучит как бесплатная и взломанная бесплатная версии.

[Adamos]

Griboks, если про программу знает каждая собака - да.
Если это нишевое решение - вопрос в том, захочет ли купивший делиться платной версией с кем-то другим.

[Griboks]

Adamos, в компании в программе работают 100 человек, лицензия куплена на 1 компьютер. Согласитесь - это выглядит вполне реалистично. Именно так и работают офисные редакторы.

[Griboks]

Adamos, вопрос про техническую защиту предполагает ответ про техническую защиту, а не в духе "подайте на них в суд за нарушение лицензии". Кроме того, если тс ничего не говорил про вид лицензии, то это вовсе не означает, что ему похер и он не хочет продавать лицензии поштучно. А ещё, возможно, автор действительно не хочет полагаться на одно честное слово покупателей или их желание поделиться с другими. Вы вот об этом подумали? Или вам тоже похер?

В любом случае, технически ваша защита примерно чуть менее надёжна, чем обычный пароль.

Answer 7

[mayton2019]

Можно изготовить такой USB-брелок который содержит важный функционал. Без которого приложение - бесполезно.
Типа аппаратное решение задачи в железе. Тогда получается что вы продаете софт + аппаратуру установка которой очень легкая. Но при этом пиратить и копировать такое решение невозможно.

Answer 8

[Владимир]

Самый лучший способ - сделать так, чтобы никому и в голову не пришло пиратить ваш софт. Если это кому-то станет нужно, то спиратят даже с USB-брелоком. Отсюда у вас два выхода: цена должна быть [относительно] копеечная либо нулевая.