Как реализовать исполнение кода на удаленном сервере?

Question

[nezzard]

Добрый день, знаю про существование ioncube и т.д. Интересует немного другой вопрос и по сути бесплатный.
Можно ли сделать защиту, методом обращения домена А к домену (серверу) Б, для исполнения важного кода и для полной работоспособности сайта?
Перечитал кучу статей, про обсуфикацию, zend и так далее. Скрипт сайта простой, но есть смысл его защитить.
Понимаю, что все это дело может рушится путем падения основного сервера, либо ддос атакой на основной сервер.

Думал выдача определенного кода, который где-то сохраняется на стороне клиента, но тут понятное дело, расшифровать сам файл и вписать его в скрипт дело 5 минут.

Может, кто-то может посоветовать, что-то подобное тому, что я описал?

Answer 1

[Александр Аксентьев]

Скрипт сайта простой, но есть смысл его защитить.

если простой, то выпилить проверку и написать свой код еще проще чем взломать ioncube.

SaaS решает все проблемы с защитой кода, если оно вообще того стоит.

Comments

[nezzard]

Мне нужен аналог временной лицензии

[Александр Аксентьев]

nezzard: любая лицензия будет сломана ЕСЛИ НАДО.
Делается это как два пальца на php.

Если у вас есть клиенты которые платят, они не будут ломать, им это не надо.
Если клиенты специалисты/разработчики они МОГУТ сломать если захотят(дорого или еще что-нибудь).

Бесмыссленно часть кода прятать, это уже API, а не раздача части кода.
Достаточно простой проверки для вида и отмена обновления для лицензий кончившихся.

В любом случае есть аудитория хоть сколько-то большая скрипты будут сломаны и в худшем случае слиты в паблик без защиты.
Опять же на клиентов которым проще заплатить это никак не повлияет.

[nezzard]

Александр Аксентьев: Про клиентов которые заплатят, вполне с вами согласен. Про лицензию, тоже согласен, ведь найти кусок кода проще простого. А вот исполнение кода на стороне другого сервера, мне кажется лучшим вариантом, понимаю, что взлом такого варианта тоже возможен, но на мой взгляд это немного сложнее нежели первый вариант.
Я вижу только проблему в падении основного сервера. Думал может, есть вариант обращения к серверу раз в сутки, но тут уже получается что-то на подобии лицензии.
Собственно есть у вас размышления на эту тему?

[Александр Аксентьев]

nezzard: размышления про код я написал.
Нет такой вещи как "исполнение кода на другом сервере".
Это уже будет API которое что-то получает и выдает результат после обработки.
Загружать часть кода и сохранять это на клиентской стороне равнозначно отсутствию защиты.
И в случае падения вашего сервера это не спасет если код хранится какое-то время, а ваш сайт будет лежать чуть дольше или вообще "закроется лавочка" например.
А если код хранится на всякий случай постоянно пока ваш сервер лежит, то можно домен вашего сервера отправить в локалхост и сделать бесконечную лицензию.

В общем обойти миллион способов, нет такой защиты скриптовом языке которую не снять.
Только для видимости слабые проверки чтобы совсем просто так нельзя было раздать код.

[nezzard]

Александр Аксентьев: Zend guard безсмыслен?

[Александр Аксентьев]

nezzard: от школохакеров смысл есть.
восстановить исходники возможно, так же как и ioncube.
вопрос во времени/цене.
Один файл на форумы специализированные можно закинуть и как правило там раскодируют за так.
Куча софта для разных версий и кодировщиков в интернете тоже валяется, только потратить время чтобы подобрать рабочее решение.

+ чтобы обойти лицензию достаточно восстановить один файл с проверкой лецензии, чтобы понять как обойти/подменить его.

[nezzard]

Александр Аксентьев: Благодарю, ну защиты от школьников на данном этапе хватает.

[nezzard]

Александр Аксентьев: ещё интересует один вопрос, если к примеру с удалённого сервера вытаскивать закодированный код, и выполнять его через eval такой метод сработает?

[Александр Аксентьев]

nezzard: сработает, только это во-первых дыра для софта большая.
Во-вторых решается ровно одним запросом и копированием кода = обход защиты полный.

[nezzard]

Александр Аксентьев: Думал в хэш встраивать if(date < currentdate && domain == domain) так ведь копирование уже теряет смысл?

[Александр Аксентьев]

nezzard: в какой хеш?

[nezzard]

Александр Аксентьев: Ну к примеру сделать md5 или base 64 из важного куска кода, и по запросу со стороны клиента отдавать ему этот хэш и обработать его с помощью eval на стороне клиента

[Александр Аксентьев]

nezzard: нифига непонял.
Как это поможет от "получить один раз код и забыть навсегда про обращение к серверу за куском этого кода"?
кусок кода не может быть зашифрован - исполнять его как тогда? Так что проверки любые в нём будут выпилены.
Проверка на клиенте точно так же будет видна и выпилена при надобности.

[nezzard]

Александр Аксентьев: Исполнять к примеру eval(base64_decode("cGhwaW5mbygpOw=="));

[Александр Аксентьев]

nezzard: и что это изменит?
+100500 к магической защите? :D

Получил base64 - раскодировал руками
заменил весь eval на код из base64

[nezzard]

Александр Аксентьев: В коде base64 вшите время жизни, если дата текущая больше указанный код не выполняется

[Александр Аксентьев]

nezzard: Как это помешает мне зайти на base64decode.org
Получить нормальный код и убрать время жизни/проверку на него?

Answer 2

[Максим Тимофеев]

Делаете api, скрипты отдаете бесплатно, а ключи к апи продаете, ключи делаете временными.
А пример того что Вы продаете есть, что б мы про воздух не разговаривали?

Comments

[nezzard]

А как быть, в случае падения сервера?

[Максим Тимофеев]

nezzard: Не допускать падение, а если упал перегружать. Есть другие варианты? Кешировать запросы. И Вы же денежку с людей получаете. Так она должна позволять держать сервер достаточной мощности.