шифрование php файла
- Автор темы uadesign
- Дата начала
- Статус
ага, если сильно нужно - функции/классы можно конечно и по своему назвать =)
Блин... Хайд слишком велик. Как поднакоплю сообщений - гляну.
Согласен, это одно из условий защиты, но как показывает практика - этого мало.
Мне конечно хотелось бы сделать привязку к лицензиям и сделать основной код продукта открытым, но не нашел ни одной возможности это сделать....
Интересно. Можешь рассказать про компиляторы по подробнее? У тебя опыт их использования есть?
SoaringHawk
Постоялец
- Регистрация
- 25 Апр 2009
- Сообщения
- 61
- Реакции
- 2
А эти шифровальщики (в частности ionCube) сильно сервер нагружают, когда все это дело расшифровывается?
Понятно, конечно, что от железа зависит. Но те, кто у себя на впс/дедике ставил, как по ощущениям?
Понятно, конечно, что от железа зависит. Но те, кто у себя на впс/дедике ставил, как по ощущениям?
Есть ... Ситуация такова, что самая распространенная веб-платформа (я об PHP, ага) не имеет нормального компилятора в нативный код. И, скорее всего, его уже не будет никогда. Существюущие решения так или иначе транслируют PHP код в конструкции виртуальной машины - либо Scheme (Roadsend php), либо LLVM (raven php, если его допилят когда-нибудь), либо .NET/Mono (Phalanger), либо Java (Quercus).
phpc представляет чисто академический интерес, так как не поддерживает объекты php (по крайней мере, на момент исследования) - что делает его бесполезным в современных условиях .
RoadsendPHP оттранслировал мегабайтный проект в 20 с хреном метров Scheme-кода, после чего все это еще и не компилировалось. После танцев с бубном получился бинарник размером около 50 метров. Работать отказался по причине Segmentation Fault. В общем, не жилец.
Raven PHP пока в процессе написания, пишут его уже больше года. В разумность использования LLVM не очень верится, ибо оно серьезно тормозит.
Phalanger - не смотрел, по причине того что это .Net / Mono. Интуиция и здравый смысл резко против.
Quercus - очень, очень хорошая штука. Но есть два момента - скорость бесплатной версии и отсутствие полноценной предварительной компиляции в про-версии. Т.е. для работы всегда нужно предоставлять сорсы. А все из-за жадности разработчиков
По поводу производительности:
1. Quercus - быстрее чем PHP (до 400% исходя из бенчмарков разработчиков)
2. RoadsendPHP - медленнее PHP
3. Phalanger должен стремиться к уровню ASP.NET
Добавлено через 9 минут
ionCube - где-то в 2 раза медленнее php без eAccelerator-а. Обусловлено тем, что скрипт каждый раз дешифруется. Официальная позиция разрботчиков по поводу отсутствия кеширование байткода ionCube - это плохо повлияет на устойчивость ко взлому. На сайте ionCube есть упоминание специального акселератора, но проект, повидимому заглох и похоронен.
Что касается новостей по взлому ionCube, то, скорее всего, такое сделали. На форуме поддержки ionCube была пара нервных постов на эту тему. На прямое письмо по данному вопросу я получил ответ, который однозначно говорит что ionCube с этим ничего поделать не может. Потому как сам Zend Engine изначально не защищен, и надежно защищен не может быть в принципе.
Резюме - на текущем этапе развития платформа PHP не предоставляет возможность надежной защиты скриптов од декомпиляции. Именно от декомпиляции, то есть восстановления исходных текстов на языке PHP.
... Ситуация такова, что самая распространенная веб-платформа (я об PHP, ага) не имеет нормального компилятора в нативный код. И, скорее всего, его уже не будет никогда. Существюущие решения так или иначе транслируют PHP код в конструкции виртуальной машины - либо Scheme (Roadsend php), либо LLVM (raven php, если его допилят когда-нибудь), либо .NET/Mono (Phalanger), либо Java (Quercus). phpc представляет чисто академический интерес, так как не поддерживает объекты php (по крайней мере, на момент исследования) - что делает его бесполезным в современных условиях .
RoadsendPHP оттранслировал мегабайтный проект в 20 с хреном метров Scheme-кода, после чего все это еще и не компилировалось. После танцев с бубном получился бинарник размером около 50 метров. Работать отказался по причине Segmentation Fault. В общем, не жилец.
Raven PHP пока в процессе написания, пишут его уже больше года. В разумность использования LLVM не очень верится, ибо оно серьезно тормозит.
Phalanger - не смотрел, по причине того что это .Net / Mono. Интуиция и здравый смысл резко против.
Quercus - очень, очень хорошая штука. Но есть два момента - скорость бесплатной версии и отсутствие полноценной предварительной компиляции в про-версии. Т.е. для работы всегда нужно предоставлять сорсы. А все из-за жадности разработчиков
По поводу производительности:
1. Quercus - быстрее чем PHP (до 400% исходя из бенчмарков разработчиков)
2. RoadsendPHP - медленнее PHP
3. Phalanger должен стремиться к уровню ASP.NET
Добавлено через 9 минут
ionCube - где-то в 2 раза медленнее php без eAccelerator-а. Обусловлено тем, что скрипт каждый раз дешифруется. Официальная позиция разрботчиков по поводу отсутствия кеширование байткода ionCube - это плохо повлияет на устойчивость ко взлому. На сайте ionCube есть упоминание специального акселератора, но проект, повидимому заглох и похоронен.
Что касается новостей по взлому ionCube, то, скорее всего, такое сделали. На форуме поддержки ionCube была пара нервных постов на эту тему. На прямое письмо по данному вопросу я получил ответ, который однозначно говорит что ionCube с этим ничего поделать не может. Потому как сам Zend Engine изначально не защищен, и надежно защищен не может быть в принципе.
Резюме - на текущем этапе развития платформа PHP не предоставляет возможность надежной защиты скриптов од декомпиляции. Именно от декомпиляции, то есть восстановления исходных текстов на языке PHP.
Ash1, Спасибо большое за столь развернутый ответ, он многое прояснил в моей голове.
Хотелось бы в таком случае поподробнее узнать о Quercus. Что это такое и с чем его едят. Порывшись в гугле я не нашел ответа. Есть ли программа для работы с Quercus? Я так понимаю что это алгоритм. И еще интересен один вопрос на сколько Quercus защищен? Есть ли декодор для него? Нужно ли что-то устанавливать на сервер для работы защищенного скрипта?
И что бы Вы посоветовали использовать для защиты CMS и как вообще в ней стоит реализовать защиту? Стоит ли использовать лицензии?
Хотелось бы в таком случае поподробнее узнать о Quercus. Что это такое и с чем его едят. Порывшись в гугле я не нашел ответа. Есть ли программа для работы с Quercus? Я так понимаю что это алгоритм. И еще интересен один вопрос на сколько Quercus защищен? Есть ли декодор для него? Нужно ли что-то устанавливать на сервер для работы защищенного скрипта?
И что бы Вы посоветовали использовать для защиты CMS и как вообще в ней стоит реализовать защиту? Стоит ли использовать лицензии?
U r welcome
Quercus - это часть веб-сервера Resin (Для просмотра ссылки Войдиили Зарегистрируйся). Доступен и как самостоятельная приблуда, позволяющая выполнять php-скрипты. Грубо говоря, это PHP реализованый не в C а в Java. Со всеми вытекающими. То есть в результате ваш php-скрипт будет выполняться внутри Java-вебсервера (Apache Tomcat или Resin, например) как у себя дома.
Quercus не защищает PHP. Будучи запущеным в PRO-режиме, компилирует нужную часть php-скриптов в java-байткод для пущей производительности. Так что защита а) да, есть б) очень побочный продукт работы Quercus. Если очень постараться, захачить сам кверкус и потанцевать с бубном, можно (теоретически) заставить его компилировать php-скрипт единожды, а потом говорить что, мол, "ничего не изменилось".
Это совсем не тривиально и заниматься этим пока небыло необходимости. Использование Java порождает другую проблему - декомпиляция самого явовского байткода. Однако, в отличие от PHP, Java-технологии - это "настоящие боевые пидарасы" нашего времени. Есть замечательный продукт Excelsior Jet, который уже по-настоящему компилирует Java в бинарник. На микробенчмарках скорость сравнима с результатами тестов c++ скомпиленых gcc -O2. Это - чуть меньше чем дохера.
PHP -> Quercus -> Excelsior Jet - единственная, на мой взгляд, реальная защита результатов ночных бдений. На текущий момент, разумеется
Здесь есть пара "но":
1. Quercus не бесплатен - 200 (или 100 - не помню) баксов за деплой на одном сервере.
2. Excelsior Jet не бесплатен - 2500 за Professional-редакцию.
Для того что бы реализовать приведенную выше цепочку и интегрировать ее в билд-процесс нужно потратить несколько времени (от одной до трех недель) квалифицированного специалиста. В итоге, все упирается в деньги - если потери превышают $5000 - заниматься стоит однозначно. Если нет - лучше использовать ioncube.
Добавлено через 9 минут
Защита CMS... Ну, есть такой себе CMS - Wordpress. На котором зарабатывают очень серьзеные деньги
Quercus - это часть веб-сервера Resin (Для просмотра ссылки Войди
Quercus не защищает PHP. Будучи запущеным в PRO-режиме, компилирует нужную часть php-скриптов в java-байткод для пущей производительности. Так что защита а) да, есть б) очень побочный продукт работы Quercus. Если очень постараться, захачить сам кверкус и потанцевать с бубном, можно (теоретически) заставить его компилировать php-скрипт единожды, а потом говорить что, мол, "ничего не изменилось".
Это совсем не тривиально и заниматься этим пока небыло необходимости. Использование Java порождает другую проблему - декомпиляция самого явовского байткода. Однако, в отличие от PHP, Java-технологии - это "настоящие боевые пидарасы" нашего времени. Есть замечательный продукт Excelsior Jet, который уже по-настоящему компилирует Java в бинарник. На микробенчмарках скорость сравнима с результатами тестов c++ скомпиленых gcc -O2. Это - чуть меньше чем дохера.
PHP -> Quercus -> Excelsior Jet - единственная, на мой взгляд, реальная защита результатов ночных бдений. На текущий момент, разумеется
Здесь есть пара "но":
1. Quercus не бесплатен - 200 (или 100 - не помню) баксов за деплой на одном сервере.
2. Excelsior Jet не бесплатен - 2500 за Professional-редакцию.
Для того что бы реализовать приведенную выше цепочку и интегрировать ее в билд-процесс нужно потратить несколько времени (от одной до трех недель) квалифицированного специалиста. В итоге, все упирается в деньги - если потери превышают $5000 - заниматься стоит однозначно. Если нет - лучше использовать ioncube.
Добавлено через 9 минут
Защита CMS... Ну, есть такой себе CMS - Wordpress. На котором зарабатывают очень серьзеные деньги
PHP_Master
Хранитель порядка
- Регистрация
- 3 Фев 2008
- Сообщения
- 2.639
- Реакции
- 601
Ерунда это - игрушка, не более:
1. возьня с екстеншенами (не все работают).
2. страдает переносимость
3. скрипт работает медленнее минимум в 1.5 раза.
Вывод: какашка.
Что касается quercus'a - весчь не плохая, но опять же упираемся в переносимость.
Что касается шифрования пыхпыха как такового - как показывает практика, вопли "как же, мать вашу, защититься", в основном раздаются от начинающих, которым кажется, что они создали (а в основном им только кажется, что они в состоянии создать) нечто грандиозное.
Ничего, у большинства вменяемых и трезвомыслящих людей это проходит с опытом.
- Статус