PLicenses - Лицензии для ваших плагинов!

PLicenses - Лицензии для ваших плагинов! [Платно] InDev v0.0.1

Нет прав для приобретения ("1 000.00" ₽)
Обзор История Обсуждение
paingocry

paingocry

Пользователь
Сообщения
45
Решения
1
Веб-сайт
paingocry.tb.ru
paingocry добавил(а) новый ресурс:

You must be logged in to see this link. - Защитите свой плагин от кражи!

Приветствую тебя, дорогой читатель!

Небольшая информацию о моей системе лицензий:
На самом деле все до ужаса просто. После покупки вам нужно будет поменять логин и пароль на свой. Данные можно будет поменять в файле index.php
PHP: 
    if ($_POST["username"] === "root" && $_POST["password"] === "password") {
Где "root" - это имя пользователя
И "password" - пароль.


После танцев с бубном, настройку панели можно считать завершенной, можем логиниться.
[ATTACH type="full"...
Нажмите для раскрытия…

You must be logged in to see this link.
 
Привет, а тут есть какой-нибудь API для интеграции, например, ботов? И есть ли защита от передачи другим людям ключа, например, лимит по IP для активации за N время?

А это я бы крайне советовал переделать:

Вам необходимо зарегистрироваться для просмотра изображений-вложений
 
MrDrag0nXYT написал(а):
Привет, а тут есть какой-нибудь API для интеграции, например, ботов? И есть ли защита от передачи другим людям ключа, например, лимит по IP для активации за N время?

А это я бы крайне советовал переделать:

Вам необходимо зарегистрироваться для просмотра изображений-вложений
Нажмите для раскрытия…
Здравствуйте! Добавить API для ботов я конечно планировал, но по позже, это же самая первая InDev версия, в которой есть минимальный функционал. На счет лимита IP для активации, это может сработать странно, например покупатель запустит плагин на 1 хостинге с 1 айпи, а потом перейдет на другой хостинг, где будет другой айпи, и лицензия перестанет читаться. Данные от панели возможно вынесу либо в отдельный файл, либо куда-то еще.
 
paingocry написал(а):
Здравствуйте! Добавить API для ботов я конечно планировал, но по позже, это же самая первая InDev версия, в которой есть минимальный функционал. На счет лимита IP для активации, это может сработать странно, например покупатель запустит плагин на 1 хостинге с 1 айпи, а потом перейдет на другой хостинг, где будет другой айпи, и лицензия перестанет читаться. Данные от панели возможно вынесу либо в отдельный файл, либо куда-то еще.
Нажмите для раскрытия…
offtop
В данном случае тут можно обойтись БЕЗ сервера вовсе
К-Криптография, стандартный RSA
Дело на 10 минут буквально + Слив ключа активации в открытый доступ будет очень просто и быстро отслеживаться, и можно будет применить юридические санкции

Из java-кода эта "проверка лицензии" вырезается, даже "обуфскацию" снимать не надо - запустить с отладчиком, отследить по стеку вызовов точное место где оно вызывается и точечно подредактировать байткод (тупо вставить goto за место какого-то другого опкода в нужное место)

И да, https запросы так же быстро перехватываются и подделываются - даже копать код плагина не надо
 
Последнее редактирование:
ConderFix написал(а):
Сделай CrackMe
Нажмите для раскрытия…
offtop
Данная тулза не является и не поставляется с системами защиты от реинженеринга
Сам автор прямо заявляет - что вся ответственность об этом на тебе
Так что и смысла в CrackMe нет

В целом - единственная моя претензия - это наличие сайта и при всем при этом не ограничено макс. количество ip-адресов.
В этом случае - сайт нахрен не нужен, обычный RSA, который уже есть в java

Ладно бы там конечный пользователь плагина мог зайти на сайт, и добавить ip адреса своих серверов, на к-ые нужно "включить" лицензию - а на остальных оно не будет работать. Я привел самый простой пример, который будет иметь ряд проблем (которые я не буду здесь озвучивать), но это уже можно будет считать за нормальное решение, чем текущий костыль

Учитывая текущее описание от автора - мой вердикт.
Используй бесплатный RSA который уже является частью java, и не требует ни наличие своего сервера, ни какой-то настройки
 
Последнее редактирование:
paingocry написал(а):
На счет лимита IP для активации, это может сработать странно, например покупатель запустит плагин на 1 хостинге с 1 айпи, а потом перейдет на другой хостинг, где будет другой айпи, и лицензия перестанет читаться.
Нажмите для раскрытия…
Проблема в двух концах. Либо будет как вы описали выше, либо с одной лицензии будут сидеть 100500+ человек. Как вариант - ограничение по регистрации новых IP на определённый выбранный срок.

paingocry написал(а):
это же самая первая InDev версия, в которой есть минимальный функционал
Нажмите для раскрытия…
Возможно, тогда стоит и скидку сделать первым покупателям? 🙂
И уточнить, что вообще люди покупают (исполняемую бинарь с обфускацией и защитой или сразу весь исходный код)

paingocry написал(а):
Данные от панели возможно вынесу либо в отдельный файл, либо куда-то еще.
Нажмите для раскрытия…
Как вариант это сделать регистрацию администратора при первом запуске (например, если таблица с пользователями не создана или пустая) + прикрутить хеширование пароля через условные argon2 или bcrypt. А ещё лучше сделать возможность блокировки входа в админку не с localhost (см. SSH туннели), возможно станет чуть-чуть тяжелее пользователям веб-хостингов, но зато даёт хороший плюс к безопасности
 
MrDrag0nXYT написал(а):
Проблема в двух концах. Либо будет как вы описали выше, либо с одной лицензии будут сидеть 100500+ человек. Как вариант - ограничение по регистрации новых IP на определённый выбранный срок.


Возможно, тогда стоит и скидку сделать первым покупателям? 🙂
И уточнить, что вообще люди покупают (исполняемую бинарь с обфускацией и защитой или сразу весь исходный код)


Как вариант это сделать регистрацию администратора при первом запуске (например, если таблица с пользователями не создана или пустая) + прикрутить хеширование пароля через условные argon2 или bcrypt. А ещё лучше сделать возможность блокировки входа в админку не с localhost (см. SSH туннели), возможно станет чуть-чуть тяжелее пользователям веб-хостингов, но зато даёт хороший плюс к безопасности
Нажмите для раскрытия…
На счет безопасности, я уже думаю как это можно сделать иначе, скорее всего - будет отдельный файл специально для первого запуска, как с тем же XenForo, с установкой пароля, и пользователя + выбор, где будут сохраняться данные, (в файле на хосте или же в БД) ну и конечно завезу хеширование пароля. Скидочку сделать конечно можно). Покупатель получает ПОЛНЫЙ исходный код, как панели, так и самого плагина без обфускации.

На счет обхода лицензии:
Кто-то выше писал, что запрос легко обойти. Но, чтобы получить доступ к файлу с лицензиями, запрос должен содержать определенный символы или слово, а учитывая обфускацию, найти это слово или символы становится нереально. Перейдем к вопросу с обходом, я специально для этого добавил "Сервера", и в последствии добавлю поддержку бота (пока не знаю, в тг или дс) который будет отправлять сообщение, на каком айпи и сервере был запущен плагин. Получается вот так, если 1 плагин запускается от 1 сервера, но на разных IP - можно просто удалить всю лицензию и все) Ну все это конечно зависит от вашей политики
 
Последнее редактирование:
paingocry написал(а):
На счет обхода лицензии:
Кто-то выше писал, что запрос легко обойти. Но, чтобы получить доступ к файлу с лицензиями, запрос должен содержать определенный символы или слово, а учитывая обфускацию, найти это слово или символы становится нереально.
Нажмите для раскрытия…
Тк плагин запускается на произвольном оборудовании - воткнуть посредника, который будет перехватывать запросы - вообще не проблема. Если https - то бонусом так же выпустить поддельные сертефикаты, вот и все. Даж в байткоде копаться не надо
 
HomaPlus написал(а):
Тк плагин запускается на произвольном оборудовании - воткнуть посредника, который будет перехватывать запросы - вообще не проблема. Если https - то бонусом так же выпустить поддельные сертефикаты, вот и все. Даж в байткоде копаться не надо
Нажмите для раскрытия…
Желаю успеха это провернуть.
 
paingocry написал(а):
Желаю успеха это провернуть.
Нажмите для раскрытия…
Уже проворачивали такое для 1-ой игрухи на юнити
Да и я не первый
Подобным образом потрошили на запросы еще задолго до меня, другие люди так же потрошили гигантов с много-миллиардной выручкой
С гораздо более сложной архитектурой
Так же практически на том же принципе работает кряк платной версии среды разработки, к-ю ты используешь
 
Последнее редактирование:
HomaPlus написал(а):
offtop
В данном случае тут можно обойтись БЕЗ сервера вовсе
К-Криптография, стандартный RSA
Дело на 10 минут буквально + Слив ключа активации в открытый доступ будет очень просто и быстро отслеживаться, и можно будет применить юридические санкции

Из java-кода эта "проверка лицензии" вырезается, даже "обуфскацию" снимать не надо - запустить с отладчиком, отследить по стеку вызовов точное место где оно вызывается и точечно подредактировать байткод (тупо вставить goto за место какого-то другого опкода в нужное место)

И да, https запросы так же быстро перехватываются и подделываются - даже копать код плагина не надо
Нажмите для раскрытия…
причём тут джава... любой исполняемый файл так можно модифить
 
HomaPlus написал(а):
Уже проворачивали такое для 1-ой игрухи на юнити
Да и я не первый
Подобным образом потрошили на запросы еще задолго до меня, другие люди так же потрошили гигантов с много-миллиардной выручкой
С гораздо более сложной архитектурой
Так же практически на том же принципе работает кряк платной версии среды разработки, к-ю ты используешь
Нажмите для раскрытия…
А что платного я использую в своем проекте?
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу