Segurança de sistema criado

(madxx) #1

Caros mestres!
Algum dos colegas ja implementou ou tem alguma dica de segurança para os sistemas gerados, que vao rodar no localhost do cliente (intranet), para nao ocorrer copias? ou evitar q o mesmo sistema rode simultaneamente em dois PCs.
Obrigado!
att
Fernando

(ronaldofmorais) #2

Olá Fernando

Também estou nesta busca. Vou avaliar algumas ferramentas, entre elas o ionCube. O ideal seria o Zend Guard, mas a forma de licenciamente deixa seu preço muito salgado.

De qualquer forma, tô na busca. Qualquer novidade eu posto aqui.

Abraço,

Ronaldo Morais

(madxx) #3

Ola Ronaldo,
Testei o Zend nao conhecia o programa, ele encriptografa o codigo, para isso tem soluções open Source muito boas. Vou dar uma olhada e ver se encontro novamente a aplicação q encriptograva o codigo todo via browser, nao lembro o nome mesmo, faz tempo q vi. O que estou a procura eh uma maneira de permitir que a minha aplicação nao rode em mais de um terminal sem a minha permissão. pensei em algo do tipo uma 2ª conexao, com um banco de permissões de logins tipo:
login, senha, num_logins = 1;
Se 2 logarem, derruba o outro, ou simplesmente não permite. Seria bem mais facil (ao meu ver) a venda do sistema dentro de um host, o cliente acessa com uma URL e pronto, sem acesso ao FTP, não copia nada, passar a senha para outra pessoa usar simultaneamente não seria bom, pois estaria usando o mesmo sistema, em pouco tempo estarão se confundindo com os dados no sistema. Igual continuarei a fazer pesquisas, caso descubra algo posto aqui…
Obrigado pela sua atenção ao Post.
Abraços
att
Fernando.

(ronaldofmorais) #4

Olá Fernando

Acho que dá para implementar a solução do seu problema no próprio Scriptcase. Basta que, no seu banco de dados, você crie uma tabela que possua um INTEIRO com a quantidade de conexões. Você pode ir incrementando esse campo a cada Login e decrementando através da saída do sistema.

No meu caso, preciso mesmo criptografar os fontes, alguns clientes usarão meu software em Intranet.

Abraço,

Ronaldo Morais

(JPBALUGOLI) #5

Bom dia amigos, procuro a mesma solução que o Ronaldo, vou ter clientes usando via web e também em intranet, portanto preciso me garantir que o sistema não será copiado, então algum tipo de segurança ou validação para verificação de licença e também criptografia dos dados.
O próprio FrameWork ScriptCase, faz essa checagem de licença, seria interessante sermos instruídos em como fazer algo parecido, para saber que o login que foi feito se refere ao cliente X, que tem sua licença até o prazo Y.

Att.
João Paulo

(Cleyton Euler) #6

Pessoal, fazer uma checagem de licença é mamão com açucar.
Na aplicação de menu do projeto vc manda checar em um banco seu se o cliente está em dia por exemplo. Se estiver, ok. Se não, manda para uma tela de cobrança ou um aviso de licença expirada.

Quanto a criptografia do código, eu não me preocupo com os arquivos na intranet do cliente. Faço uma validação pelo IP do cliente nas aplicações. Nenhum programador vai ser louco de pegar um código gerado pelo SC. E para trabalhar com os códigos ele tem que ter os fontes, que vc nao vai deixar na intranet. Pelos arquivos de produção, acredite, ninguém vai querer atualizar ou mudar uma grid editável. O custo não compensaria.

(madxx) #7

[/quote]

Pessoal, fazer uma checagem de licença é mamão com açucar.
Na aplicação de menu do projeto vc manda checar em um banco seu se o cliente está em dia por exemplo. Se estiver, ok. Se não, manda para uma tela de cobrança ou um aviso de licença expirada.

Quanto a criptografia do código, eu não me preocupo com os arquivos na intranet do cliente. Faço uma validação pelo IP do cliente nas aplicações. Nenhum programador vai ser louco de pegar um código gerado pelo SC. E para trabalhar com os códigos ele tem que ter os fontes, que vc nao vai deixar na intranet. Pelos arquivos de produção, acredite, ninguém vai querer atualizar ou mudar uma grid editável. O custo não compensaria.
[/quote]

Pow Cleyton eu adoro mamão com açucar!!!
vou testar essa semana alguma coisa, parecida, mas na verdade o q eu acho q seria legal eh essa checagem ser em um BD diferente. tipo on-line.
Vlw pela sua ajuda!!!
ATT
Fernando

(saulobborges) #8

Bom galera, eu depois de buscar várias soluções e testar as muitas disponíveis cheguei a seguinte conclusão.
Se você quer segurança total (99%) é melhor manter o sistema em um servidor gerenciado por você com acesso restrito, além de implementar uma solução de verificação de licenciamento.
Eu comprei um software que se chama PHP Lockit, é interessante mas é preciso testar muito para dar certo.

Eu desenvolvi um pequeno sistema para controle de licenciamento, como o Cleyton mencionou, ele verifica se o cliente esta em dia, se a licença é do cliente que esta acessando, se o domínio é o correto, etc. Vejam bem, isso eu fiz, mesmo mantendo meu sistema em uma estrutura própria gerenciada por mim.

Se alguém quiser eu posso criptografar uma aplicação de teste de vocês com o PHP LOckit, pra vocês verem o que ele faz, na verdade basicamente ele ofusca o código e criptografa com uma chave randomica ou fornecida por você.

O sistema de controle de licenciamento é simples, eu criei uma biblioteca que conecta e verifica em um banco que mantenho meu sistema de controle de licenciamento se a licença fornecida é autentica.

Bem é isso, espero que ajude a clarear as idéias!

(Cleyton Euler) #9

Pessoal, fazer uma checagem de licença é mamão com açucar.
Na aplicação de menu do projeto vc manda checar em um banco seu se o cliente está em dia por exemplo. Se estiver, ok. Se não, manda para uma tela de cobrança ou um aviso de licença expirada.

Quanto a criptografia do código, eu não me preocupo com os arquivos na intranet do cliente. Faço uma validação pelo IP do cliente nas aplicações. Nenhum programador vai ser louco de pegar um código gerado pelo SC. E para trabalhar com os códigos ele tem que ter os fontes, que vc nao vai deixar na intranet. Pelos arquivos de produção, acredite, ninguém vai querer atualizar ou mudar uma grid editável. O custo não compensaria.
[/quote]

Pow Cleyton eu adoro mamão com açucar!!!
vou testar essa semana alguma coisa, parecida, mas na verdade o q eu acho q seria legal eh essa checagem ser em um BD diferente. tipo on-line.
Vlw pela sua ajuda!!!
ATT
Fernando
[/quote]

Evidentemente o BD para guardar os dados de segurança não deve ser o mesmo BD do projeto. Este banco de segurança deve ficar no seu domínio.