Как отследить на каких доменах используется моя CMS?

Question

[diversant123]

Подскажите, как реализовать:

Есть свой движок интернет-магазина, некая платформа для разработки, распространяется платно, по лицензии

Хочу отслеживать ее нелегальное использование, как это лучше сделать?

Пока для себя вижу три пути (хочу использовать все одновременно)
- на стороне php (чтоб какой-то системный файл запрашивал файл с моего сервера)
- на стороне js (чтоб какая-то библиотека js отправляла запрос на мой сервер)
- на стороне css (чтоб подгружалась какая-то маленькая картинка с моего сервера)

Все это сделать как можно наиболее "незаметным".

Вопрос в том, как это реализовать на стороне сервера. Причем чтоб с минимальным использованием ресурсов, т.к. каждый посетитель каждого сайта будет отправлять запрос на сервер.

Буду рад любому совету. Заранее спасибо.

UPD: Немного уточню вопрос, КАК это реализовать на стороне сервера?

Comments

[Руслан Полин]

Кхм. Всё выпилят и никакой защиты не будет от пиратства, тем более выпилить это не составит труда.

[iBird Rose]

"т.к. каждый посетитель каждого сайта будет отправлять запрос на сервер." делай запрос тока от админов. тобишь со страницы админки, а не сайта

[diversant123]

Руслан: если знать, что о но там есть - то да, а если нет - мало кто искать будет

[Руслан Полин]

А вообще, подобный вопрос уже был Как лучше сегодня продавать php скрипты?

[diversant123]

iBird Rose: кстати, да, спасибо

[Руслан Полин]

diversant123: а вы думаете не узнает никто? Любителей нулить сборки столько, что рано или поздно и ваша пойдет бесплатно по рукам.)

[Василий]

Руслан: Согласен. Тут только один вопрос. На сколько популярна CMS. Если она стоит у 10-100 пользователей, то ничего не выпилят, никому это не нужно. Если у нескольких тысяч пользователей, то уже ничего не поможет. Выпилят всё. Разве что полный переход на облачную платформу. Но у такого шага полно совершенно очевидных косяков.

Answer 1

[FanatPHP]

Детский сад, штаны на лямках.
Наивные мечтатели задают этот вопрос уже много лет, но ответ за это время не изменился:

1. Чтобы отсечь нелицензионное использование - никак не отследить. Нулленая версия твоего горе-движка появится в интернете через день после релиза, у которой будет оторваны все проверялки, какие ты только сможешь придумать.
2. Продавать надо не программу а сервис. Размещай свою платформу на своем же сервере и бере помесячную плату за использование. Никаких других вариантов отслеживать использование нет ,и быть не может

Comments

[diversant123]

Это я все прекрасно понимаю, но в любом случае хочу реализовать, хоть это и примитивно...
У меня только возникает трудность, в реализации на стороне сервера, в том случае, когда обратным стуком будет картинка в css.
Т.е. что-то подобное счетчикам без js

[mudatad]

1. Да ты че? В наш век бесплатных движков и копеечный аренд движков???
То есть при наличии альтернатив?

2. Если уж человек ворует движок - то она вряд ли кто способен оплатить достаточно квалифицированного специалиста, чтобы этот движок сломать.

3. Есть исключение, когда будут ломать и свежак - если движок нравится огромному числу людей. Но см. п. 1. Но при большом спросе - будет и много платных инсталляций, то есть будет возможность развития движка, что в свою очередь порождает потом обновлений, что в свою очередь затрудняем взлом.

Короче - не все так плохо.

Но с тем, что гораздо большие деньги можно делать на сервисе, а не на продаже голого движка - согласен.

[diversant123]

mudatad: да блин, я конкретно спросил как такое реализовать, а не зачем мне оно надо и прочую философию разовдить

[mudatad]

diversant123:
Да легко. См. отдельный ответ.

[Дмитрий]

diversant123:
>Детский сад, штаны на лямках.
именно.

>я конкретно спросил как такое реализовать
на стороне сервера ничего "реализовывать" не нужно. тупо смотрим лог доступа апача
Например, так
https://simonecarletti.com/blog/2009/01/logging-ex...

Можно вообще подключить в админку скрипт гугл аналитики или любого другого счетчика.

Но это все лажа. Никому ваша cms не нужна

[mudatad]

diversant123: в том то и дело, что это нет смысла реализовывать для целей слежения за незаконными использованиями вашей CMS. ибо в PHP сие ломается на раз плюнуть.

[alpeg]

никак не отследить.

Ну-ну, скажите это microsoft, с его сливающими инфу о методах взлома закладками, не говоря уже о тысячах разнообразной неотключаемой телеметрии

Answer 2

[Nwton]

Добавь в свою CMS систему автообновлений, что бы у разработчика не возникло подозрений по поводу странных файлов отправляющих запросы на другие домены. В админке дай возможность это автообновление отключить и все равно продолжай отправлять запросы раз в сутки, запрашивая информацию о новой версии.

Comments

[alpeg]

И ещё "случайно" в админке в паре разделов грузить картинки со своего домена. Только чтобы поиском по домену и ключевым словам типа "https://" или "url(//" не найти было.

Answer 3

[Андрей]

Если CMS подразумевает установку, то можно запрос делать разово при установке.
Если подразумевается настройка CMS, то запрос можно делать при выполнении данного действа.
А вообще, если бы меня вот так приперло, я бы сделал установку одним файлом, который подтягивал исходники с моего сервера и разворачивал на сервере клиента. Ну и у себя "галочку" при этом ставил бы.

Answer 4

[Adamos]

1. Купивший движок имеет право поставить только одну копию сайта? А как же сервер для разработки и тестирования, например? А если он не имеет выхода в интернет?
2. Что вы будете делать, если ваши скрипты просигналят о нелицензионном использовании? Это, собственно, лучшее, на что вы можете рассчитывать - всякие там "запрещалки" все равно сломают, а вот "стучалку" могут и пропустить. Ну и?
3. Посмотрите вокруг. Где вы видите людей, торгующих движками? Торгуют возможностью обновления, плагинами и прочим сервисом. Знаете, почему?..

Comments

[alpeg]

1. Да пусть хоть 100 серверов для разработки ставят (и хоть 1000 на серверах без доступа к интернету) - автор просит чтобы они просто "звонили домой". Винда всех версий постоянно "звонит домой" уже неизвестно сколько времени, не говоря уже о последних версиях, где даже поснимав галочки по самым разным уголкам она всё равно будет сливать информацию домой.
2. Скорее всего - просто напишет "Ребят, заплатите, у вас вон сайт с 10к посетителями, рекламы столько, а разово оплатить движок зажали. Не надо так."
3. Торгуют возможностью обновления, плагинами и прочим сервисом лишь потому, что намного выгодней вырезать из движка весь функционал и продавать его втридорога.

[Adamos]

alpeg: Я имел в виду предложение не давать сайту работать, пока он не "позвонил домой". На локальном сервере разработки это может стать проблемой на ровном месте.

[alpeg]

Adamos: Я так и понял.

На локальном сервере разработки это может стать проблемой на ровном месте.

У вас сервер разработки изолирован от интернета? Вон, 1С не работает без хардверного ключа хоть ты десять раз разработчик, и ничего.

[Adamos]

alpeg: у меня лицензия на Битрикс предполагает установку на двух серверах - боевом и тестовом. В результате поднять дома сервер для экспериментов - уже нарушение лицензии. Без всяких на то оснований.
А 1С-у могут простить хоть требование надеть цаки и радоваться - деваться-то некуда.

Answer 5

[Василий]

1. Продумать механизм: Без ввода лицензионного ключа не работает движок. Т.е. требуется, чтобы активация каждой функции требовала наличия некоего ключа, запрашиваемого с сервера каждые несколько минут. Чем сложнее и геморойнее будет взлом, тем меньше шансов, что кто-то будет заморачиваться.
2. Можно организовать запросы поочередно с нескольких внешних IP.
3. Каждая функция должна использовать разные переменные и обращаться напрямую, не через некую единую функцию, иначе просто обойдут её.
4. При установке должна требоваться информация с сервера для подтверждения валидности ключа. Тогда и будешь знать, кто с какого домена.
5. Встроить механизм тихой отправки данных можно, но тогда это должно происходить не сразу, а через какое-то время. И не должна автоматически блокировать домен, иначе быстро раскроют фишку. Лучше втихую отправила данные, ты получил, а потом пишешь владельцам ресурса комм.предложение.

Comments

[Василий]

Ну, как я это вижу.

Answer 6

[mudatad]

да блин, я конкретно спросил как такое реализовать, а не зачем мне оно надо и прочую философию разовдить

Запросто.
Делаем сервер на базе платформы, которая не требует исходников в production.

1. То есть на компилируемой. И желательно не в byte-code, который легко декомпилируется.
2. Да и для упрощения инсталляции - на компилируемой в native code
3. Как вы догадались уже, это не PHP. Годится C/C++, Go, Haskell. Не годится Java, Python.

Взлом такой штуки - слишком трудоемок.

PHP ломается слишком легко.
То есть вы не сможете поднять цену.
Как только чуть-чуть поднимаете цену - становится выгодно ломать.
А написанное на PHP ломается даже без знания самого PHP, - серьезно.

Answer 7

[kstyle]

делайте запрос php - но только по понедельникам с 8 до 9 (день недели и время определяется по домену).