Hey!

Ik ben aan het bedenken om ionCube aan te schaffen voor het beveiligen van de PHP code die ik lever aan klanten. Het gaat dan hoofdzakelijk eigenlijk om pakketten die meerdere malen verkocht gaan worden en waarvan ik dus de enige programmeur ben en waarvan het niet de bedoeling is dat anderen ermee gaan rommelen.

ionCube trekt momenteel mijn aandacht het meest omdat ZEND nogal prijzig is met zijn pakketten.

Nu zie ik bij ionCube dat er 3 versies zijn, de duurste trekt me sowieso al niet omdat ik niet wil limiteren op MAC Adres. Het enige verschil wat ik bij basic en pro zie is 'Features to generate time expiring and IP/domain name restricted license files'.

Nu kan het aan mij liggen, maar ionCube rekent hier $100,- voor.. maar als je zelf een beetje kunt programmeren, dan bouw je die functie toch zelf in op een paar minuten in je scripting in alvorens je deze codeert met ionCube? Als ionCube daadwerkelijk de code zoals jij deze geprogrammeerd hebt gaat coderen zodat deze niet meer leesbaar is, kun je zelf toch die functie erin bouwen en je die $100,- in je zak steken?

Tijds limit, IP limit of MAC adres limit kun je toch in één (of meerdere) includes gaan plaatsen welke ook gecodeerd worden en waarvan er dus niets meer gemaakt kan worden achteraf? Of bekijk ik het nu gewoon zo scheef..
Aanvullend bericht:
Niemand die dit kan beantwoorden? :o

Ik heb niet heel veel ervaring met ionCube, maar het voordeel lijkt mij dat ionCube met license files werkt.
Als jij in je product een bepaalde code gaat zetten die specifiek voor één klant bepaald wanneer zijn/haar contract afgelopen is betekent dit wel dat je dus voor elke klant een nieuwe build moet doen. Dat lijkt me niet wenselijk.
Het lijkt me logischer om bij een nieuwe release één build te doen van je product, en deze vervolgens uit te rollen naar alle klanten.

Of je moet zelf iets slims verzinnen met licensing :), maar dat was niet helemaal je insteek als ik het zo lees.

Jawel, natuurlijk wil ik wat slims bedenken met licensing haha :) Dat idee staat al en wordt inmiddels al uitgewerkt.

ionCube heeft de mogelijk om files ook 'verbatim' over te kopiëren, dit houd niets meer in dan dat je een heel project codeerd en vervolgens een bepaalde file kopieert zoals hij is (zonder codering). In deze file kan dus bijvoorbeeld je API key en Licentiecode staan.

De afhandeling van deze api key/licentiecode gebeurd verder in enkele bestanden die gecodeerd zijn geworden door ionCube.

Kwestie van 1 file aanpassen met een nieuwe key en het zou moeten werken.

Ik vind de prijs van ionCube's versie met licentie code erbij in elk geval een te groot verschil voor iets wat ik zelf ook kan maken en dan ook nog eens onder eigen beheer alles heb zitten met uitgebreide log mogelijkheden..

Meestal wil je ip/domein restricties niet in je code gaan stoppen en daarbij zijn deze semi beveiligingen lastiger te implementeren dan je wellicht denkt.
- zelf geknutselde ip limitering zul je in elke script/module moeten gaan inbouwen. Doe je die met een include, dan hoeft er uiteraard ook maar 1 bestand aangepast te worden om elke module 'gekraakt' te krijgen.
- ip limiteringen op non-public ipadressen is niet meer mogelijk, hiervoor heb je een check op het MAC adres nodig, die niet in php te maken is. (tenzij je een arp request doet, maar dan moet je een uitstapje maken. In dat geval is je code in 2 minuten gekraakt). M.a.w. niemand kan een testversie op bv een 192.168.x.x adres draaien.
- Een lokale proxy die je gewoon een publiek ipadres geeft maar via NAT op je router omzet, bypast dan ook je controle.

Ioncube laadt een c-module die onder beheer van het apache hoofdprocess draait en daardoor access heeft tot het mac adres en het echte ipadres (NIC eigenlijk) van de machine.

hmm ok, IP/Domein restrictie is niet eens mijn grootste zorg, is leuk voor erbij maar geen noodzaak. Heb toevallig laatst ergens een klein stukje code gezien dat het MAC adres ophaalt vanuit system(‘ipconfig /all’), in hoeverre is dat betrouwbaar?

Origineel gepost door Joshua de Gier

hmm ok, IP/Domein restrictie is niet eens mijn grootste zorg, is leuk voor erbij maar geen noodzaak. Heb toevallig laatst ergens een klein stukje code gezien dat het MAC adres ophaalt vanuit system(‘ipconfig /all’), in hoeverre is dat betrouwbaar?

'ifconfig' voor de *nix, maar je moet er niet op vertrouwen dat je altijd rechten hebt om dit uit te voeren of dat niemand in staat is om een eigen ifconfig vooraan in het pad te stuffen en dan gewoon zelf een bepaald mac adres teruggeeft.

ioncube kun je voor 8 usd per file laten decripten dus dat stel verder ook niets voor.

Alles zal wel breekbaar zijn? Neem aan dat ZEND ook wel te kraken valt? of zit hier toch degelijk wel verschil in. Neemt niet weg dat niemand waarschijnlijk voor 8 usd per file een script gaat laten decrypten van 50 files.

Daarnaast is het gewoon een beveiliging, 100% veilig krijg je het toch nooit.

Er is nog altijd een verschil tussen het daadwerkelijk (laten) decrypten van de code en aanpassen voor eigen gebruikt dan de code draaiend te krijgen zonder kraken ;)

Dat is waar, ach, we komen er wel aan uit! :)