PHP ochrana zdrojových kódů rubrika: Programování: PHP

3 Karl
položil/-a 6.6.2017

Jak byste co nejlépe a nejsnáze zabezpečili svou PHP aplikaci - její zdrojové kódy pokud by bylo potřeba ji deploynout na server klienta?

  • jde o velkou aplikaci, nette, doctrine, ...
  • našel jsem nějaké zend encodery (bojím se, že s tím nemusí aplikace fungovat správně)
  • nejradši bych nějakou cestou uzavřít to celé do nějakého kontejneru jako je docker a neřešit to úplně na úrovni souborů/php..

Jak byste to řešili?

Komentáře

  • Kit : Nette a Doctrine se přece používá jen u malých aplikací, kde na výsledku moc nezáleží, ale je důležité, aby to bylo rychle hotové. 6.6.2017
  • Karl : Díky, ale tvůj komentář mě ani nikomu budoucímu asi moc nepomůže :-) 7.6.2017
  • kravcik.pavel : Nekrm trolla Karle. :) 7.6.2017
odkaz
2 mr.fatblunt
odpověděl/-a 6.6.2017
 
upravil/-a 7.11.2017

Vím že dostanu milion mínusů, ale na tohle bych se upřímně vykašlal. Jako dodavatel aplikace přece dodáváte zdrojové kódy, jinak to není vývoj SW na zakázku, i když smlouvy mohou být všelijaké a technicky nesmyslné. Snažíte se tak vytvořit v podstatě DRM, a stejně jako jde "stáhnout" film který streamujete, je možné nějak dekódovat ten PHP skript, přeci někde běžet musí a získání know-how (jestli vůbec nějaké je) tak jen lehce ztížíte. Navíc doctrine implikuje databázi a nad tou jde postavit libovolná jiná aplikace.

Já bych šel spíš cestou služby, deployoval bych to na svém serveru a nechal bych klienty platit za používání té služby (webového rozhraní, API, různých WS a podobně). Klientská aplikace může být taky velmi jednoduchá a pouze komunikovat s backendem, o který se opět postaráte včetně té klíčové součástky kterou je databáze a kterou tím nikdo neukradne, pokud není v aplikaci jó blbá chyba (a že si chyby v PHP skriptech pohlídáte, to předpokládám, mám z dnešního webového světa pocit džungle plné těžařů založených na chybách v server-side skriptech).

Komentáře

  • Karl : Obecně trefný komentář. Ale já právě aplikaci už nabízím jako službu, řekněme že i poměrně úspěšně. Ale velké firmy typu banka mají bezpečnostní politiku takovou, že nemohou využívat aplikaci jako službu a musí být jedině provozovaná u nich. Takže bych rád aplikaci dodal k nim, ale zároveň měl zdrojové kódy ošetřené, pohlídané.. tak aby si to kdokoliv od nich nemohl stáhnout a použít.. 7.6.2017
  • Anonym : Ja bych se toho tolik nebal. Pokud nasazujes do velke firmy typu banka, tak budes mit nejakou licencni smlouvu. A pochybuju ze by nekdy takovou firmu napadlo tu smlouvu byt i jen trosku porusit. Na to maj as moc prisne vnitrni predpisy. Pokud by si najali nekoho jinena na upravu, tak je to vyjde daleko draz nez kdyz si to objednaji u tebe. 7.6.2017
  • mr.fatblunt : Jak píše Radek, řekl bych že velká firma nebude mít problém podepsat NDA. Nakonec když uzavírám smlouvu s velkou firmou, tím spíš je nesmysl snažit se je podrážet něčím takovým jako zaobfuskovaným skriptem (jako že dodání SW na zakázku bez zdrojáku podle mého podraz je už z principu, a to obzvlášť pokud je v tom velká firma a velké peníze). 7.6.2017
  • Karl : Nejde o podraz - stále se bude jednat o dodání služby (ne zdrojových k´dů / SW), ale jen běžící na jejich HW ... 9.6.2017

Pro zobrazení všech 7 odpovědí se prosím přihlaste:

Rychlé přihlášení přes sociální sítě:

Nebo se přihlaste jménem a heslem:

Zadejte prosím svou e-mailovou adresu.
Zadejte své heslo.