Wie sollte man seine PHP-Applikation am besten schützen?

[Vaio82]

Hallo zusammen,

ich benötige mal eure Hilfe. Angenommen man entwickelt eine vollkommen dynamische Applikation, die "mit der Maus" konfigurierbar ist.

/* ich weiss, sowas haben außer mir schon X andere erstellt. */

Fakt ist allerdings, dass ich nun vor einem kleinen Problem stehe. Bei einem der Kunden handelt es sich um eine sehr renomierte Stiftung, die es einsetzen möchte. Nachteil: Diese möchten den vollen Zugriff auf den Quelltext. Da allerdings einige studentische Aushilfen dort ebenfalls root-Rechte besitzen, möchte ich nicht, dass diese meinen Code einfach "mißbrauchen" und damit Geld verdienen gehen.

Wie könnte man sinnvoll einige Datein ggf. von einem externen Server holen? Per WebService, Per include, per XML?

Was haltet ihr davon?


Schöne Grüße,
Claus

 

[vogtländer]

Nachteil: Diese möchten den vollen Zugriff auf den Quelltext.

Wie könnte man sinnvoll einige Datein ggf. von einem externen Server holen? Per WebService, Per include, per XML?

Das beißt sich irgendwie, meinst du nicht? Ich würde sagen: "Vergiss es!"

 

[Vaio82]

Selbstverständlich weiss ich das. Allerdings handelt es sich um eine sehr renomierte Stiftung eines großen Konzerns und es wäre die perfekte Referenz für (m)ein junges Unternehmen.

Tja, ganz ganz blöde Situation

 

[vogtländer]

Dann nimm lieber in Kauf, dass dein Werk nicht so geschützt sein wird, wie du es gern hättest. Wenn du den Studis auf die Schliche kommst, kannst du sie ja verklagen. Mehr wirst du nicht tun können.

 

[Vaio82]

Das befriedigt mich nun aber ganz und gar nicht...

Nur wenn man es mal genau betrachtet, kann ich machen was ich will, der Code wird sowieso eingesehen werden können. Ob ich ihn zur Laufzeit per eval aus einer DB hole (Da sie ja den User und das Pass haben, ob verschlüsselt, oder nicht, spielt in diesem Fall keine Rolle, da es ein "fester" Wert sein würde, der kopiert werden kann) oder irgendwie anders mache...

 

[Andreas Gaisbauer]

Liefere den Quellcode an die Stiftung zur Einsichtnahme ab und lass die Verantwortlich (Projektleiter o.ä.) eine verschwiegenheitsklausel unterschreiben. Die Anwenndung die Produktiv läuft lieferst du verschlüsselt das nicht jeder zugriff hat. Wäre das denkbar?

 

[Vaio82]

Hallo Andreas,

Das mit der Klausel ist natürlich eine sehr gute Idee.

"Die Anwenndung die Produktiv läuft lieferst du verschlüsselt das nicht jeder zugriff hat. Wäre das denkbar?" -> wie soll ich denn meine Dateien so verschlüsseln, dass sie trotz Verschlüsselung - noch immer arbeiten?

 

[vogtländer]

Liefere den Quellcode an die Stiftung zur Einsichtnahme ab und lass die Verantwortlich (Projektleiter o.ä.) eine verschwiegenheitsklausel unterschreiben. Die Anwenndung die Produktiv läuft lieferst du verschlüsselt das nicht jeder zugriff hat. Wäre das denkbar?

Ich kann mir eigentlich nicht vorstellen, dass man sich damit zufrieden geben wird, kurz mal in die quellen reinsehen zu dürfen. Ich denke, man will damit arbeiten und dann wird es schwer, die Quellen wirklich effektiv zu schützen, da helfen leider nur vertragliche Schutzmaßnahmen. Da heißt es verhandeln: Wenn man mit einer Verschwiegenheitsverplichtung einverstanden ist, dann kannst du deinem Anliegen bestimmt auch mit der Androhung empfindlicher Vertragsstrafen Nachdruck verleihen.

 

[Andreas Gaisbauer]

"Die Anwenndung die Produktiv läuft lieferst du verschlüsselt das nicht jeder zugriff hat. Wäre das denkbar?" -> wie soll ich denn meine Dateien so verschlüsseln, dass sie trotz Verschlüsselung - noch immer arbeiten?

Dafür gibts diverse Encoder und Obfusekatoren

Beispiel Encoder:
- IonCube Encoder (http://www.ioncube.com)
- IonCube Online (http://www.ioncube.com)
- SourceGuardian (http://www.sourceguardian.com)
- PHTML Encoder (http://www.rssoft-lab.com)
- Zend Encoder (http://www.zend.com)

Beispiel Obfuskatoren:
- PHP Processor 1.3 (http://www.gridinsoft.com/protect.php)
- Source Cop (http://www.sourcecop.com)
- SourceGuardian (http://www.sourceguardian.com)
- PHP Formatter (http://www.semdesigns.com)

wobei die Encoder denke ich eher in deine Richtung gehen...

 

[Andreas Gaisbauer]

Ich kann mir eigentlich nicht vorstellen, dass man sich damit zufrieden geben wird, kurz mal in die quellen reinsehen zu dürfen. Ich denke, man will damit arbeiten und dann wird es schwer, die Quellen wirklich effektiv zu schützen, da helfen leider nur vertragliche Schutzmaßnahmen. Da heißt es verhandeln: Wenn man mit einer Verschwiegenheitsverplichtung einverstanden ist, dann kannst du deinem Anliegen bestimmt auch mit der Androhung empfindlicher Vertragsstrafen Nachdruck verleihen.

Naja, wenn die mit den Sourcen arbeiten wollen, dann gehts nicht - ist klar, aber wenn die nur grundsätzlich die Quellen sehen wollen kann man's so machen - Microsoft machts so mit teilen des Windowssources...