Proteger aplicación web contra copias no autorizadas

Saludos,

Este tema se tocó aquí hace mucho tiempo y bueno, considero importante tener este tema al día ya que es vital para los que queremos vender programas y portegerlo contra copias no autorizadas.

Al final publicaré los enlaces que encontré donde hablan del tema. Yo le he estado dando vueltas a cómo podría hacerlo sin tener que encriptar el código ya que supongo que no todos los clientes tendrás el Zend Encoder instalado en su hosting.

Yo, lo que he estado pensando es que la aplicación no se pueda ejecutar sin que el cliente tenga el código de venta correcto. Para ello, se me han ocurrido dos maneras diferentes (sin que sea sencillo modificar el código para saltarse la protección).

1º - Uno, es crear una aplicación de instalación en donde, sí inserta el código de venta NO autorizado, la instalación NO INSTALE el archivo ini necesario para que la aplicación corra correctamente (el archivo ini contendría todos los parámetros necesarios y correctos para que la ap, funcione correctamente).

2º - Qué la apliación, se tenga que poner en contacto con un script externo (en otro servidor) que verifica el código de venta y según si es autorizado o no dar una respuesta u otra para que la aplicación siga corriendo o no (en caso que sea autorizado, este script externo, recibirá los valores entregados por la apliación y entregará otros valores que no solo serviran para comprobar si es una copia autorizada o no, si no que también entregará valores para que la aplicación siga corriendo con normalidad.

3º - Mezclar las dos primeras opciones para incrementar la seguridad.

La pregunta clave es... ¿cuán útil y/o sofisticado sería un sistema así? ¿Sería posible hacer algo así? ¿Cómo de difícil sería saltarse esa seguridad?

Enlaces que encontré en el foro sobre proteger código php:
http://www.forosdelweb.com/f18/encri...go-php-368451/
http://www.forosdelweb.com/f18/codigo-anticopia-372365/

Sumamente sencillo. Tu te conectas con otro servidor haces tus complejas validaciones y demas, pero el usuario tiene acceso a tu codigo fuente.

Por lo que considera este ejemplo:


Saltearse toda esa seguridad es tan simple como hacer:

Como veras da igual que tan complejo sea tu sistema, el usuario tiene acceso al codigo fuente y puede comentar todas las protecciones.

Si lo que quieres es que un programa php se comporte como un programa compilado, es simple, debes compilarlo.
Puedes instalar en el hosting una maquina virtual como http://hhvm.com/ y poner el php compilado a ejecutarse. Ahi si, pones cualquier validacion que se te ocurra y listo.

Si tu aplicacion va a ser de pago, y la restriccion de las licencias es tan importante, tener un VPS no sera mas que un requisito mas.

Creo que no me he explicado bien, mi super complejo sistema de seguridad (siempre que se permita mi programa conectar con el servidor externo) es que, permita, desde el servidor externo continuar con el proceso normal de mi programa (si es copia autorizada) ENVIANDO VALORES que solo se pueden generar en el servidor externo, repito, si es copia autorizada, con lo cual, sin esos valores, sería imposible que el programa siga con su curso normal de ejecución, daría error.

Por poner un ejemplo:

Te vendo un programa en el que tú le pones los 50 últimos números de la lotería y éste te da el resultado ganador de la próxima lotería.

Tu lo compras, tu tienes mi código en tu pc, puedes modificarlo como quieras, quitarle todas las protecciones e incluso añadir otras funciones pero resulta que el algoritmo que calcula la combinación ganadora, está en mi servidor y el prgrama que te he vendido, envia tu código de cliente autorizado y los valores a analizar a mi servidor.

Mi servidor, primero, comprueba que el código de cliente autorizado es válido y te devuelve la combinación ganadora. Obivamente no lo hará si no me has comprado el programa.

¿Me explico?

Según ese ejemplo, repito las preguntas. Sé podría hacer algo así? ¿Cuán difícil sería saltarse esa seguridad?

¿A qué ya no sería tan sumamente sencillo? ;)

Es lo mismo que hace facebook con sus apps, necesita una clave (key) para funcionar (que se almacene en el servidor externo) y una API que genere esas llaves, ademas haga las comprobaciones (cliente/servidor) si la llave es correcta.

Pasos

->Tu cliente debe completar el formulario con la url (a donde va alzar el codigo) eso se almacena en tu misma base de datos con tu la clave generada del mismo..

Modo Planteamiento ->
---------------------------------------------------------
url | key (clave)
www.pepitos.com | 1234567890
---------------------------------------------------------

Modo realidad (encryptadas)->
---------------------------------------------------------
url sha256 | key (clave) sha256
e0c4dc039c1e592af004f199145773f2eac81572c28b1f4d00 f8d9d6e2e78830 | c775e7b757ede630cd0aa1113bd102661ab38829ca52a6422a b782862f268646
---------------------------------------------------------

Tu se lo das la clave, en nuestro caso real seria "c775e7b757ede630cd0aa1113bd102661ab38829ca52a6422 ab782862f268646" y sencillamente para poder funcionar, el programa debe hacer una consulta que devuelva la url (e0c4dc039c1e592af004f199145773f2eac81572c28b1f4d0 0f8d9d6e2e78830)

y compare con la $_SERVER['HTTP_HOST'] encryptada que esta haciendo la solicitud en sha256, si son iguales fija $_SESSION con la clave[que podes encryptarlo aun mas], en caso contrario muestre un mensaje "Su copia no es original"

OJO: Todo lo anterior va incluido en la funcion login, el cliente debe estar siempre online.

Luego para poder (enviar/recibir) datos el cliente a nuestro servidor envia de esta forma..

cliente->

send.php? datos=%datos a enviar%&key=$_SESSION [en caso de que lo hayas encryptado aun mas, haces una funcion extra que compare contra tu base de datos de la misma forma en que encryptaste tu $_SESSION.]

servidor->

responde 0, si no se encontro la llave & no pudo insertar los datos.
responde 1, si se encontro la llave & pudo insertar los datos.

Con todo esto no hace falta que encryptes tu codigo fuente.

Editado:
1->En lo que deberias tener cuidado es en tu API del lado del servidor, que puede ser vulnerable a SqlInjection & Company. Lo solucionas con un filter + un .htacces
2->Y si no quieres alargarte la vida, crea software cliente y vendelo por subdominios, ejemplo. tucompany.com , cliente.tucompany.com, cliente2.tucompany.com ya que siempre debera tener acceso a internet LOL. Ahi tambien puedes aplicar lo anterior que te dije para mayor seguridad.
3->Pero si haces el 2 necesariamente deberas cuidar tu cliente de ataques, para que no entren y modifiquen el codigo con una shell.
4->Fin.

Eso es todo, espero que te sea util :)

Ni. Lo que carece es de sentido. Si el algoritmo de la aplicación esta en el servidor tuyo, y si no puede conectarse a tu servidor no puede ejecutar el script, ¿Que sentido tiene darle al cliente algo? para eso le das un subdominio de tu servidor y un sistema de logueo y listo.

En cualquier caso, si insistes en darle a los clientes la posibilidad de tener algo en su servidor, lo mas facil es registrar la ip de su servidor, de esta forma tu webservice solo responde a peticiones de las ip registradas y habilitadas.

Lo que hacen Facebook (Que fue el que creo la maquina virtual que te mencione), Google, Twitter, Etc de usar esas claves, es porque ellos no saben quienes se van a conectar y desde donde, son aplicaciones gratuitas y abiertas, si tu vas licenciar a tus clientes sabes de antemano donde van a usarlo.

Si insistes por esa via, el algoritmo oauth2 es el mas usado por exelencia, aun asi, ninguna empresa que lo usa confia plenamente en el.

Google por ejemplo, con la venida de la version 3 de sus apis, ya dejo de confiar en este algoritmo (lo usaba en las versiones anteriores como medio de autentificacion), tu tienes un panel dentro de tu cuenta de developer (en la pagina de ellos) donde debes poner la ip del servidor que va a usar un clave que ellos te generan. De esta forma, la clave solo es valida si es usada desde la ip que tu registraste y asi pueden medir cuanto uso haces de sus servicios e imponerte limitaciones segun sus politicas vigentes.

Seee es un lindo tema para hablar , el tema es que muchos no quieren compartir por las simples razones :

Dependiendo del tipo de programa..
->Sabran la estructura de programacion.
->Algoritmo de encryptacion.
->Los tipos de datos que se manejan.

y como siempre pienso es que talvez yo programe una "Aplicacion B" yo no veo los problemas que tiene B, pero una tercera persona sí los podra ver.

Pense hacer un proyecto open de este tipo, pero no podra ser de tipo universal porque va ir orientado a una estructura, tipo y lenguaje

A no ser que sea una especie de plugin que se adapte al programa, o podria ser un framework? (con multiples opciones como un rubik, que cambie de posicion cada 72 dias ajustable (por un sistema de eventos) lol, de manera a que todo el esfuerzo de un blackhat se va reducir a cenizas por el trabajo/tiempo que va costar

Opinen cabros

MMMMMM, No estaba tan informado al respecto
Uno nunca puede confiar 100% en un sistema de seguridad.. Lo unico que uno puede hacer para evitar, es aumentar el tiempo que le lleve a un atacante entrar y de esa manera desanimar. :v

Es todo relativo, la relacion costo/beneficio es lo que importa. Si la recompensa al entrar es grande, habra mucha gente dispuesta a invertir su tiempo en entrar, por lo tanto tu seguridad debe ser mayor, si la recompensa es insignificante, nadie (o casi nadie) tendra interes por entrar, por lo tanto la seguridad puede ser baja.

Recuerdo cuando tenia 16 años hice una web para un comercio local pequeño, tenia un panel donde la gente ponia un usuario y una clave y se descargaban un par de imagenes, el sistema se seguridad estaba hecho en javascript, es decir, tu le dabas a "ver codigo fuente" rebuscabas un poco y encontrabas todas los usuarios y claves sin encriptar por ahi dando vueltas.
La gente que entraba eran personas mayores que apenas si usaban la pc, no estaban ni cerca de saber siquiera que hacian las opciones del menu, la seguridad era para dar la idea de que estaban protegidos no para proteger, nunca tuvimos un problema de seguridad en la web y eso que cualquier novicio de html esta en condiciones de hackearla.

Es solo un ejemplo, pero ese es el analisis que hay que hacer a la hora de optar por una medida de seguridad.

Lo que dice NSD de registrar la ip donde se ejecuta la aplicación es la opción más asequible. Fácil de implementar y difícil de saltarse. Yo la técnica la utilicé hace seis años con un tpv web y a día de hoy sigue siendo seguro. Esto se me ocurrió de aquellas porque en cpanel puedes dejar que un servidor externo acceda a mysql si especificas la ip donde se realizan las peticiones.
Incluso hay plugins javascript que, siendo de lado cliente, mejoraron el sistema minimizando todo el código y con petición Ajax xhr que verifica el dominio autorizado.
El php también se puede minimizar.
Espero te sirva.

Carece de sentido hasta si no se sabe lo que es.

En el ejemplo que he puesto del algoritmo que te adivina una lotería (ojalá se pudiese hacer jejejeje), ese sistema de seguridad que yo quiero montar inclusive no será suficiente para proteger mi algoritmo! Pues la aplicación que yo estoy haciendo pues es más o menos, lo mismo, hace unas tareas que hasta la fecha, ningún programa lo está haciendo.

Si yo tengo dicho algoritmo, ¿tu crees que lo compartiría aquí si mi intención es venderlo?, ser yo el único que lo posee?

¿Qué sentido sería compartirlo aquí y después venderlo? Ya no habría negocio tanto negocio.

Al igual ocurre con las ideas, como una persona va a compartir un idea (que puede ser la mejor idea del año) y la compartes aquí sin que esté terminada ni protegida. Cualquier persona más habilidosa programando la crearía antes, la pondría antes a funcionar y se llevaría la recompensa.

Por muy buena fé que haya en el mundo, los que van en busca de ideas para robar siempre estan entre nosotros y se hacen pasar por buenas personas....

Mi cuñado ha tenido una idea de negocio buenísima para Rep. Dominicana y todavía no ha comentado nada a nadie, está hablando con abogados para registrar la marca comercial, la idea, la empresa, etc... Es como se hacen esas cosas, yo lo sé porque soy el encargado de construirle la web y soy partícipe de la empresa.

No tienes que inventar y patentar un sistema de seguridad. Ya hay cien mil, todos mejorándose diariamente y auténticos hackers de la programación creando nuevos algoritmos seguros y procedimientos infranqueables. Basándote en todo esto, lo mejor es que copies alguno de los métodos ya existentes, los implementes o te bases en ellos. El registrar el servidor donde se ejecuta es la opción más válida. Tendrás una base de datos de servidores relacionados con clientes y ninguna aplicación se podrá conectar fuera de esos servidores. Fin de la historia.

Si quieres rebanarte los sesos, está muy bien, pero encima no digas que no lo vas a compartir!
La seguridad es un negocio, pero tu aplicación no tiene un modelo de negocio en base a seguridad, sino que los que se dedican a la seguridad te venden a tí un procedimiento u algoritmo y tú decides cómo implementarlo, pero es bastante loca la idea de crear un sistema de seguridad súperrevolucionario cuando el código que estás vendiendo NO ESTÁ COMPILADO. La única opción de COMPLICARLO (no de imposibilitarlo) es minimizando el código, como te dije antes.

Espero que si tienes ideas o encuentras una solución distinta a la que te decimos la compartas con nosotros, sino no sé qué cara*j0 hacemos aquí :D

Saludos

Yo no escribí eso.

¿Y tu crees que alguien que sepa como implementar una seguridad como la que tu propones, te va ayudar GRATIS sabiendo que la aplicación final la vas a usar de forma privativa para lucrar?
Si te vas a poner con esa postura (no estoy diciendo que este mal) lo mejor es que ofrezcas dinero a cambio de la ayuda.
Google por ejemplo ofrece generosas sumas de dinero a aquellos que encuentren fallas en sus sistemas de seguridad.

Personalmente no comparto tu postura (por supuesto que la respeto) pero considero que todo lo que sea libre es mejor, y aquel que quiere hacer algo privativo, no debe pretender que una comunidad lo ayude o lo aconseje gratuitamente, es una falta de respeto a la inteligencia de los miembros de la comunidad, por esta razon no participare mas en este tema.

¿No? El soporte técnico oficial es un gran negocio. Pregúntales a los de Zend si les va mal económicamente por que PHP es un proyecto libre, por ejemplo.

El codigo PHP puede ser compilado para correr en una maquina virtual como http://hhvm.com/.

Tengo serias dudas respecto a lo que planteas @Triby2 (por cierto, bonito nombre! )

Vas a tener que programar por partida doble, es decir, un servicio web que correrá desde tu servidor y la aplicación que "venderás" al cliente, además invertirás en un hosting para tu cliente y otro para tu servicio.

Yo, si fuera tu cliente, no aceptaría esas condiciones, porque sería como casarme con tu empresa, nadie podría dar mantenimiento o agregar opciones, solo tú y, así las cosas, el precio debería ser muy bajo para que resulte atractivo.

He realizado algunas webs y proporcionado todo el código fuente al cliente, sin comprimir/ofuscar, totalmente documentado y con guía de programación. Por supuesto, él ha pagado una buena suma y no tengo que preocuparme si realiza copias o no, ya que un cliente satisfecho siempre volverá cuando tenga en mente nuevos proyectos.

Termino con algunas preguntas y no es necesario que las respondas, son solo para reflexionar:

- Crees que tu aplicación será de interés para muchos?

- Será un desarrollo tipo Facebook, Twitter, DeviantArt, Instagram, o similar?

-Será algo que no se pueda hacer con Wordpress, Joomla u otros sistemas CMS/foros/lo que sea?

- Será redituable el esquema Servicio - App web?

- Cuál será la diferencia (tiempo y dinero) entre un desarrollo tradicional y lo que planteas?

Si después de analizar en las respuestas sigues pensando que tu proyecto de seguridad es viable, tengo la certeza de que necesitarás contratar programadores para ayudarte, porque no es algo que cualquiera pueda desarrollar y, a fin de cuentas, vas a obtener beneficios que te permitirán cubrir esos gastos.

Claro, también podrías desarrollar en otro lenguaje que sí te permita proteger tus códigos sin tener que ocultarlos bajo una piedra.

Disculpame, me despisté! por otro lado yo no pretendo que nadie me ayude a hacer el sistema de seguridad, solo he preguntado por las diferentes opciones que hay para escojer el que más se adapte a mi, pues es la primera vez que necesito utilizar algo así. Mal interpretaste mis palabras.

Bueno, no sé si es un gran negocio el soporte técnico, yo sé que Zend se gana la vida vendiendo sus productos, más no sé sobre ellos. En cuanto al soporte técnico de PHP pues si lo tienen, conmigo no hacen negocio sinceramente porque no les consulto nada. Siempre acudo a los foros y hasta ahora siempre he conseguido aclaraciones de los demás compañeros.

uy uy uy yo no he dicho eso... solo he reabierto el tema de la seguridad a la hora de vender un código ya que los que había eran bastante viejos y quería saber que otras formas hay a parte de encriptar código. Yo no pretendo inventar de seguridad, solo encontrar diferentes maneras que existan hoy en día y utilizar la que mejor me convenga según mi caso.

Utilizaré el sistema de recibir la ip y el dominio, me será suficiente.

No voy a tener que programar nada por partida doble, es una simple clase con lo cual el cliente solo tendrá subirla a su web e instalarla para que se integre en su aplicación para que comienze a funcionar (eso es SU servidor) y como dije anteriormente "lo mágico" de mi aplicación solo sucederá en cuando mi servidor reciba el código autorizado para que le devuelva los valores que necesita la aplicación para que siga corriendo con normalidad. Cualquier actualización de mi programa sería gratuito y el cliente no va a tener que hacer modificaciones ya que todo lo que cliente le gustaría que hiciese, ya lo hace. (por eso decidí programarlo, por la carencia que existía en el mercado).

Te respondo a tus preguntas, no hay problema:
- Crees que tu aplicación será de interés para muchos?
Absolutamente, hice una encuesta a 100 vendedores y el 100% quieren tener mi programa.
- Será un desarrollo tipo Facebook, Twitter, DeviantArt, Instagram, o similar?
No tiene nada que ver, es para empresas de ventas.
-Será algo que no se pueda hacer con Wordpress, Joomla u otros sistemas CMS/foros/lo que sea?
Algunos de ellos disponen de un plugin por el estilo, pero nada que ver ya que esos plugins se dedican a realizar un simple registro de añadir y borrar en la base de datos.
- Será redituable el esquema Servicio - App web?
No comprendo 100% tu pregunta. Si preguntas si producirá una renta al cliente, sí, el cliente recibirá una renta por la recomendación de mi programa, si lo que me preguntas es que sí producirá de manera útil mi programa, sí, ahorrará mucho tiempo de trabajo y esfuerzo a todos los vendedores.
- Cuál será la diferencia (tiempo y dinero) entre un desarrollo tradicional y lo que planteas?
Eso es incalculable pero te garantizo que muchisimo tiempo y mucho dinero (ya que el tiempo es dinero).

El programa ya está hecho y funcionando solo tengo que dedicarme a programar el sistema de seguridad.

Un saludo