PHP ochrana zdrojových kódů rubrika: Programování: PHP
Jak byste co nejlépe a nejsnáze zabezpečili svou PHP aplikaci - její zdrojové kódy pokud by bylo potřeba ji deploynout na server klienta?
- jde o velkou aplikaci, nette, doctrine, ...
- našel jsem nějaké zend encodery (bojím se, že s tím nemusí aplikace fungovat správně)
- nejradši bych nějakou cestou uzavřít to celé do nějakého kontejneru jako je docker a neřešit to úplně na úrovni souborů/php..
Jak byste to řešili?
Vím že dostanu milion mínusů, ale na tohle bych se upřímně vykašlal. Jako dodavatel aplikace přece dodáváte zdrojové kódy, jinak to není vývoj SW na zakázku, i když smlouvy mohou být všelijaké a technicky nesmyslné. Snažíte se tak vytvořit v podstatě DRM, a stejně jako jde "stáhnout" film který streamujete, je možné nějak dekódovat ten PHP skript, přeci někde běžet musí a získání know-how (jestli vůbec nějaké je) tak jen lehce ztížíte. Navíc doctrine implikuje databázi a nad tou jde postavit libovolná jiná aplikace.
Já bych šel spíš cestou služby, deployoval bych to na svém serveru a nechal bych klienty platit za používání té služby (webového rozhraní, API, různých WS a podobně). Klientská aplikace může být taky velmi jednoduchá a pouze komunikovat s backendem, o který se opět postaráte včetně té klíčové součástky kterou je databáze a kterou tím nikdo neukradne, pokud není v aplikaci jó blbá chyba (a že si chyby v PHP skriptech pohlídáte, to předpokládám, mám z dnešního webového světa pocit džungle plné těžařů založených na chybách v server-side skriptech).
Komentáře
- Karl : Obecně trefný komentář. Ale já právě aplikaci už nabízím jako službu, řekněme že i poměrně úspěšně. Ale velké firmy typu banka mají bezpečnostní politiku takovou, že nemohou využívat aplikaci jako službu a musí být jedině provozovaná u nich. Takže bych rád aplikaci dodal k nim, ale zároveň měl zdrojové kódy ošetřené, pohlídané.. tak aby si to kdokoliv od nich nemohl stáhnout a použít.. — 7.6.2017
- Anonym : Ja bych se toho tolik nebal. Pokud nasazujes do velke firmy typu banka, tak budes mit nejakou licencni smlouvu. A pochybuju ze by nekdy takovou firmu napadlo tu smlouvu byt i jen trosku porusit. Na to maj as moc prisne vnitrni predpisy. Pokud by si najali nekoho jinena na upravu, tak je to vyjde daleko draz nez kdyz si to objednaji u tebe. — 7.6.2017
- mr.fatblunt : Jak píše Radek, řekl bych že velká firma nebude mít problém podepsat NDA. Nakonec když uzavírám smlouvu s velkou firmou, tím spíš je nesmysl snažit se je podrážet něčím takovým jako zaobfuskovaným skriptem (jako že dodání SW na zakázku bez zdrojáku podle mého podraz je už z principu, a to obzvlášť pokud je v tom velká firma a velké peníze). — 7.6.2017
- Karl : Nejde o podraz - stále se bude jednat o dodání služby (ne zdrojových k´dů / SW), ale jen běžící na jejich HW ... — 9.6.2017
Pro zobrazení všech 7 odpovědí se prosím přihlaste:
Nebo se přihlaste jménem a heslem:
Komentáře