Я сделал штуку на PHP. Мне надо продавать ключи лицензии, чтобы ключ привязывался к домену и одна штука работала только на одном домене (проверка ключа через API на моём сервере). Как это упаковать от дурака по-простому, чтобы не любой школьник мог это взломать? Задумка такая - у штуки есть фронт-часть и есть админский раздел с настройками. Я сделаю проверку лицензии только в админской части, так что мне не важно на сколько эта "защита от дурака" будет влиять на производительность.
Да кстати, "штука" это плагин для вордпресса. И я тут нашёл какое-то готовое решение: https://freemius.com/ Но я не хочу его использовать потому что: 1. Я манал платить деньги за то, что можно сделать самому. 2. Если залезть в их исходный код, то там файлы по 25 тыщ строк... Они вообще поехавшие? Уверен, что я уложусь в 300 строк. Спойлер
Мне хватило 30 строк чтобы проверить лицензию. PHP: <?php namespace GachiAddons\Admin; defined( 'ABSPATH' ) || exit; class ControllerPro { // singleton private static $instance = null; public static function instance() { if ( is_null( self::$instance ) ) { self::$instance = new self(); } return self::$instance; } private function __construct() { if (!GACHI_ADDONS_PRO) { return; } $key = 'alsfkl1jrkl1jr2t2jltk2jlkfjlkgt3l4634'; $licence_check = file_get_contents('https://< ссылка на скрипт проверки ключа>/licence.php?key='.$key.'&referer='.$_SERVER["SERVER_NAME"]); $licence_check = json_decode($licence_check); if (!$licence_check) { $licence_check = (object)array('error' => 3); } switch ($licence_check->error) { default: case 0: $error = ''; break; case 1: $error = 'Введён неправильный ключ лицензии.'; break; case 2: $error = 'Планин используется на неправильном домене.'; break; case 3: $error = 'От сервера проверки лицензий не пришёл ответ.'; break; } define('GACHI_ADDONS_ERROR', $error); if (GACHI_SETTINGS['gachi_muchi'] ?? false) { require_once GACHI_ADDONS_PRO_DIR . '/admin/gachi-muchi.php'; // здесь дальше ошибка обрабатывается и премиум-функции блокируются GachiMuchi::instance(); } } } Проверка на стороне сервера тоже уложилась в 30 строк: PHP: <?php $key = trim($_GET['key']); $referer = trim($_GET['referer']); if (!$key) { die; } $data = array( 'alsfkl1jrkl1jr2t2jltk2jlkfjlkgt3l4634' => '< домен сервера >', ); if (!isset($data[$key])) { $output = array('error' => 1); echo json_encode($output); die; } if ($data[$key] != $referer) { $output = array('error' => 2); echo json_encode($output); die; } $output = array('error' => 0); echo json_encode($output); И вот теперь вопрос - как мне сделать обфускацию части плагина так, чтобы в первом скрипте на 45 строчке нельзя было просто присвоить константе ноль, а всё выше из __construct выкинуть? Я попробовал yakpro-po и вот что получилось: PHP: <?php namespace GachiAddons\Admin; defined("\101\x42\123\x50\101\124\x48") || exit; class ControllerPro { private static $instance = null; public static function instance() { if (!is_null(self::$instance)) { goto DGgZz; } self::$instance = new self(); DGgZz: return self::$instance; } private function __construct() { if (GACHI_ADDONS_PRO) { goto E6KjH; } return; E6KjH: $IxQW6 = "\x61\x6c\x73\x66\x6b\x6c\x31\x6a\162\x6b\x6c\61\x6a\x72\x32\x74\x32\x6a\154\x74\x6b\62\x6a\154\x6b\x66\152\154\153\x67\164\63\x6c\x34\66\x33\x34"; $TKXQI = file_get_contents("\150\x74\164\x70\x73\x3a\x2f\x2f\74\40\321\x81\321\201\321\x8b\xd0\273\xd0\272\xd0\xb0\40\xd0\275\320\260\40\xd1\201\xd0\xba\321\x80\xd0\xb8\xd0\277\xd1\x82\40\xd0\277\xd1\200\320\276\320\xb2\320\265\321\x80\320\xba\xd0\xb8\40\xd0\xba\xd0\273\xd1\x8e\321\207\320\260\76\57\x6c\151\143\x65\x6e\143\x65\x2e\160\x68\160\x3f\x6b\145\171\75" . $IxQW6 . "\x26\162\x65\x66\x65\x72\145\162\75" . $_SERVER["\123\x45\x52\126\105\x52\x5f\116\101\x4d\x45"]); $TKXQI = json_decode($TKXQI); if ($TKXQI) { goto iztRe; } $TKXQI = (object) array("\145\162\162\x6f\162" => 3); iztRe: switch ($TKXQI->error) { default: case 0: $uAzzn = ''; goto ViboL; case 1: $uAzzn = "\320\222\xd0\xb2\xd0\xb5\320\264\xd1\221\320\xbd\x20\xd0\275\320\xb5\xd0\xbf\321\200\320\260\xd0\xb2\320\270\320\273\321\214\xd0\275\xd1\213\xd0\271\x20\320\xba\xd0\xbb\321\x8e\321\207\x20\320\273\320\270\321\x86\320\265\xd0\xbd\xd0\xb7\320\xb8\320\xb8\56"; goto ViboL; case 2: $uAzzn = "\xd0\x9f\xd0\273\xd0\260\320\275\xd0\xb8\320\275\x20\xd0\270\321\x81\xd0\277\xd0\xbe\xd0\xbb\xd1\214\320\267\321\x83\xd0\xb5\xd1\202\321\x81\321\x8f\x20\xd0\275\320\xb0\x20\xd0\275\xd0\265\320\xbf\321\x80\320\xb0\xd0\xb2\320\270\xd0\273\xd1\x8c\320\275\320\276\320\274\40\320\xb4\xd0\xbe\xd0\274\xd0\xb5\320\xbd\320\265\56"; goto ViboL; case 3: $uAzzn = "\320\236\321\202\40\321\201\xd0\xb5\xd1\x80\xd0\xb2\320\xb5\xd1\x80\320\260\40\xd0\277\321\200\xd0\276\320\262\320\xb5\xd1\200\xd0\272\320\xb8\x20\320\xbb\320\xb8\xd1\206\320\265\xd0\xbd\xd0\267\xd0\xb8\320\xb9\40\320\xbd\xd0\265\40\xd0\277\xd1\x80\320\xb8\xd1\210\xd1\x91\320\xbb\x20\xd0\276\321\x82\320\262\xd0\xb5\321\x82\x2e"; goto ViboL; } HQ_Bw: ViboL: define("\x47\101\x43\110\111\x5f\101\104\x44\x4f\116\x53\x5f\105\x52\122\x4f\x52", $uAzzn); if (!(GACHI_SETTINGS["\147\141\143\150\151\137\x6d\165\x63\x68\x69"] ?? false)) { goto A8Z9x; } require_once GACHI_ADDONS_PRO_DIR . "\x2f\x61\x64\x6d\151\x6e\x2f\147\141\143\x68\x69\x2d\x6d\x75\143\x68\151\56\x70\x68\160"; GachiMuchi::instance(); A8Z9x: } } Код всё-равно достаточно читабельный и есть возможность обойти проверку лицензии. Есть какие-то варианты надёжней? Я ещё думаю в файле, где проверяется лицензия, брать хэш себя же и отправлять на сервер для сравнения. Но всё-равно этого будет недостаточно, если файл после обфускации не превращается в кашу.
Пару дней поизучал вопрос, вот к чему я пришёл: Обфускация части проекта - это возможно. Я могу превратить в кашу только файлы бэк-энда, где идёт проверка ключа и выдача интерфейса этого самого бэк-энда. Проверять хэш файлов нет смысла. Это очень простая проверка, а если в файл залезут, то эту проверку всё-равно выкинут. Такой проверкой я создам геморрой только самому себе. Личный кабинет пользователя на моём сервере, где покупатель сможет выбрать - к какому домену он привязывает свой ключ и к какому IP (и изменить это в любой момент). Будет двойная проверка ключа - и по домену и по IP. Домен я не могу видеть в переменной $_SERVER, при обращении к API сервера (его я передаю в API $_GET параметром, что не надёжно), а вот IP вроде видеть могу. Проверка ключа на моём сервере при попытке получить обновление. Даже если плагин взломают, то без ключа не получится получать обновления. У себя на сервере я буду вести логи - с какого ключа получают обновления, как часто, с каких IP. Если на каком-то ключе будет происходить подозрительная активность, то я смогу его забанить. В файлах на стороне клиента, отвечающих за бэк, будет главный файл где проверяется лицензия - controller.php. Если проверка прошла, то в нём же подключаются другие части бэка. А чтобы эти части нельзя было подключить из другого места, я запрячу в controller.php ключ - длинную строку в константе. Она будет сравниваться во всех подключаемых файлах бэка, которые тоже пройдут через обфускацию. Защита примитивная, но от школьников должно быть достаточно. Пока вот придумал такие методы защиты... Но, самое главное конечно - найти надёжный обфускатор. Сейчас буду пробовать все отсюда: https://github.com/topics/php-obfuscator Нашёл ещё интересную штуку: http://wb0.ru/phpobf.php - она умеет переименовывать стандартные PHP-функции. Но при этом, ломает неймспейсы - видимо, скрипт старый. Так что, его можно использовать только как дополнительный способ защиты перед основной обфускацией. PHP: // превращает стандартные PHP-функции в кашу $GLOBALS['_832621425_']=Array('d'.'efined','is_null','file_get_'.'c'.'ontents','js'.'on_decode','d'.'e'.'fine'); // file_get_contents $licence_check = $GLOBALS['_832621425_'][2]('https://< ссыка на сервер >/licence.php?key='.$key.'&referer='.$_SERVER["SERVER_NAME"]);
Протестил - да, я могу видеть IP именно сервера, с которого идёт обращение к API. Залил в качестве "тестового API" такой файл на свой сервер: PHP: <?php echo '<pre>'.var_export($_SERVER, true).'</pre>'; // отладка Залил на другой сервер такой файл: PHP: <?php echo file_get_contents('https://< ссылка на сервер с API >/licence.php'); Спойлер: Результат Так что, можно привязывать ключи к IP, вроде тема рабочая.
ip можно и сменить если что... я бы построково проверял бы код php и сравнивал его с оригиналом на предмет изменения и если изменения есть, то обновлений ему не будет!
Построково весь сервак ляжет. Проверять нужно хэш файлов и сравнивать его с таблицей хэшей, если уж на то пошло.
И, как ещё вариант, продавать поддержку кода, если пришёл клиент с купленным ключом и верным доменом, оказываешь поддержку, что-то не так, нет поддержки.
Начал изучать лицензии - засада. Wordpress на GNU General Public License. Когда ты пишешь плагин, то он линкуется с Wordpress, а значит твой код "заражается" GNU GPL. Посмотрел как выпускают крупные плагины - они все под GNU GPL. А там обфускация вообще не приветствуется. Грамотные люди подсказали, что есть один способ обхода - выпустить плагин, как отдельный продукт под GPL, который предоставляет новый способ интеграции плагинов, обёрнутый в API. А под него уже можно выпускать продукты под коммерческой лицензией. Я при этом не понял каким образом этот новый GPL-плагин не будет заражать GPL то, что к нему подключено через API. Но говорят, что они так используют API VST3, который полностью свободный и совместим с коммерческим кодом и с GPL. Короче - дрочево. Придётся выпускать под GNU GPL без всякой обфускации и просто серьёзно отнестись к написанию макаронного кода, чтобы хоть как-то спрятать механизм проверки лицензии от совсем уж безруких.