Как защитить свой код на PHP от стороннего использования?

Question

[SSar]

Данный вопрос актуален не только для PHP, но и для остальных интерпретируемых языков или скриптов, которые лежат на хостинге в открытой форме.

Обращаю ваше внимание на то, что вопрос относится не только к защите кода от хакеров, взломавших хостинг и получивших доступ к исходникам, но и от самого хостера и/или бывших коллег по проекту, которые из него уже выбыли.

К тому же в любом хоть немного уважающем своих клиентов сервисе предусмотрена система бэкапов, SVN и т.п. системы сохраняющие исходники не только в единственном экземпляре в папке вебсервера. И соответственно «нажать F6» тут не вариант.

Статей по данной тематике немало, но в данном вопросе акцент на некомпилируемые программные продукты.

К тому же надо учесть, что банальная вставка своих копирайтов в исходный код в каждой странице в ремарках(к примеру) легко убрать при желании, стиль программирования тоже редактируется. В общем нужно какое то более надежное решение.

Быть может кто-то подскажет более надежный способ или сервис, который выполняет функцию подобную патентной защите, но относящуюся к защите исходников от использования без согласования с автором. Эдакий общедоступный реестр авторских прав разработчиков с указанием прав использования.

Answer 1

[tampere]

Скрывать код от коллег — бесполезное и бессмысленное занятие. Это означает, что вы им не доверяете, или они вам. В крупных компаниях принят принцип внутренней открытости. В яндексе любой разработчик может прочитать и использовать код внутренних серверов, в микрософте можно счекаутить windows (кроме коммерчески значимых участков кода типа bitlocker и алгоритмов ранжирования в рекламе и в поиске).
Защитить право на код очень просто — сделать его открытым. Тогда все точно будут знать, что это ваш проект, а не чей-то ещё.

Comments

[tampere]

Юридические ограничения, конечно, могут быть, но переработанный код — всё-таки не то же самое, что оригинальный.

[SSar]

… не от коллег, от БЫВШИХ коллег/партнеров

[SSar]

«сделать код открытым» — тоже вариант, но где гарантии, что ты не нашел этот код на каком-нить мало известном ресурсе или вообще в оффлайне, а выложил потом от своего имени уже.

[Stalker_RED]

в простейшем случае, кто первый опубликовал — того и тапочки.

[SSar]

Осталось только надеяться, что кто первый опубликовал — того не поленятся найти, а не будут руководствоваться первым найденным по раскрученности ресурса публикации, а не первым по времени ее публикации.

[tampere]

Если идёт работа со свободными разработчиками, имеет смысл каждому выделять лишь необходимый участок кода для работы.

Answer 2

[Всеволод]

По поводу SVN и бывших коллег по работе. В SVN тоже зашифрованный код хранить что ли? И программистов сразу заставлять писать обфускейченый код?

Comments

[SSar]

Во-во, предыдущие как то упустили этот момент про SVN и коллег, а в этом как раз и фишка по большей части.

[Sannis]

А обрубить выбывающим из проекта коллегам доступ не получается? А если вы не хотите в период разработке не давать им полный доступ к коду, то мне жаль ваших программистов. Старайтесь продумывать архитектуру и самостоятельно пишите ядро продукта, а модули разрабатывайте независимо.

[Всеволод]

Даже не представляю, что может помешать обрубить доступ выбывшим коллегам. Мы так и делаем, хотя уходят люди очень редко. У автора топика что, все в SVN сидят на одном аккаунте что ли? Опять же доступ на продакшен обычно выдается одному-двум наиболее ответственным товарищам, потому что иначе это чревато проблемами даже если никто из проекта не уходил.

Answer 3

[zizop]

Код защифрованный через IonCube или Zend Encoder расшифровываются через установку специального php расширения. Как вариант можно обфусцировать код, а потом уже через IonCube зашифровать. Тогда после первичной расшифровки, всё равно будет нечитабельная абракадабра.

Answer 4

[Денис Туренко]

Написать свой кодировщик или делать кусок вашего приложения как SaaS. Какой бы не был кодировщик — это защита от дурака, если кому нужно посмотреть код, то уже ничто не поможет.

Сделайте wiki и phpdoc раздел по коду и если будут трения всегда можно сослаться, что вы раньше разместили свой код и отсудить. Ну а так подумайте хорошо — кому он нужен кроме вас и что в нем такого интересного, что не знают другие. Обычно закрывают код проверки лицензии, остальное все открыто для редактирования. Гляньте в эту сторону.

Comments

[SSar]

пасиб, почитаю обязательно

Answer 5

[Владимир Чернышев]

От коллег, имеющих доступ хотя бы на чтение к центральному репозиторию ничего не спасёт (если как указали выше не выкладывать туда уже зашифрованный код). От хостера, имеющего физический доступ к дискам, тоже. От праздного любопытства сотрудников хостера может помочь использование шифрованных ФС, от целенаправленного уже нет.

В общем, имхо, технические средства защиты кода (тем более для интерпретируемых ЯП) могут использоваться лишь для усложнения нелегального использования, от целенаправленной атаки они не спасут. Основная защита должна быть юридическая — для начала Государственная регистрация программы для ЭВМ или базы данных

Comments

[SSar]

Пасиб за прямую ссылку. Интересно, а менее государственный реестр есть?
Ведь есть же всякие там авторские общества по защите медиа-данных, а разрабов кто защищать будет?
PS Вот бы кто из юристов отписался.

[Владимир Чернышев]

Одной из целей РАО является

управление исключительными правами на обнародованные произведения при их воспроизведении в любой материальной форме, в том числе в форме звуко- или видеозаписи, изготовлении в трёх измерениях экземпляров двухмерного произведения и в двух измерениях — экземпляров трёхмерного произведения, а также путём записи произведения на электронный носитель, в том числе в память ЭВМ, и распространении воспроизведенных таким образом произведений, их публичном исполнении, сообщении в эфир и/или по кабелю (в том числе путём ретрансляции), доведении до всеобщего сведения, публичном показе, включая использование в цифровых сетях (Интернет, сети мобильной сотовой связи и т.п.);

что никак не исключает исключительные права на ПО, в частности «ПОЛОЖЕНИЕ о порядке учета правообладателей, регистрации произведений и прав на них гласит:

«произведения» – обнародованные музыкальные произведения (с текстом или без
текста), музыкально-драматические, литературные, хореографические произведения,
производные и иные произведения, не перешедшие в общественное достояние;

Я не вижу формальных поводов для отказа в регистрации авторских прав на программу для ЭВМ или БД в реестре РАО.

[SSar]

В случае дорогостоящего коммерческого проекта, однозначно ваш вариант рулит.

Answer 6

[Ofigenen]

Я, возможно, буду слишком категоричен, но в вашей ситуации… никак. Код хранится незашифрованным, доступ к нему имеете не только Вы, а это значит, что стопроцентной гарантии не дадут никакие меры предосторожности.
Вообще, от коллег обычно помогает NDA, в которое у нас, например, был включен запрет на личное использование любых совместных разработок. Я не юрист, а потому не знаю, сколь серьезны могут быть (ну, хотя бы теоретически) последствия нарушения этого соглашения, но проверять почему-то не хотел никогда.

Comments

[SSar]

да, именно так

Answer 7

[Jazzist]

1. Работать с теми, кому доверяете. Это относится и к коллегам, и к провайдеру.
2. Пересмотреть подход к работе. Если сложно это сделать сейчас — не переживайте, придет с опытом. Возможно, имеет смысл просто более углубиться в работу — тогда будет меньше риторических вопросов (ответы на которых не имеют смысла), и будет больше практически эффективных решений — действий, которые принесут вам реальную пользу, а не будут только отнимать время.

Comments

[SSar]

1. В целом вы правы. Однако список доверенных лиц имеет обыкновение меняться со временем и чаще всего очень даже быстро.
2. Подход к работе в отношении чего? Какие риторические вопросы могут быть когда тема QA весьма ограничена условиями? Попахивает оффтопиком на мой взгляд.

[Jazzist]

> Попахивает оффтопиком на мой взгляд
Вы действительно считаете, что здесь и сейчас изобретете нечто принципиально новое? Если жалко 800 баксов на Zend, тогда давайте уже пишите свой парсер! :) Обсфуцируете код после компиляции так, что вообще никто не разберется. И обозначенная вами задача будет решена.

Answer 8

[private_tm]

IonCube

Answer 9

[Александр Александрович Подкидышев]

https://xpir.ru/discussions/Deponirovanie-Obektov-...