محافظت از کدها

foranyone · Aug 30, 2009

سلام

من یه CMS نوشتم ولی راستش می ترسم ازش رونمایی کنم !! :sad:

قبلش میخوام بعضی مسائل رو با کمک دوستان بحث کنیم :

1) آیا میشه کدهای php یه وبسایت رو دزدید ؟!

2) مسئول سرور ( سروری که از ایران می خریم و مثلا تو کاناداست ) می تونه دزدی کنه ؟

3) برای محافظت از کدهای AJax چیکار باید کرد ؟

من برا کدهای جاوا اسکریپت اهمیت نمیدادم ولی الان که با Ajax متغیرها رو به سرور میفرستم خیلی نگرانم

در ضمن به راحتی می تونن همه رو ببینین و بدزدن !! :-?

4) چطوری میشه کار رو که zend gaurd انجام میده خودمون دستس انجام بدیم و نیاز به هیچ نرم افزار سمت

سروری مثل zend optimizer نباشه ؟

5) واقعا میشه همه ی کدهای zend شده رو برگردوند ؟

Allahparast · Aug 31, 2009

چند بار در مورد این مسائل بحث شده و نتیجه اش این شده که یا یه سرور درست حسابی بخر که یکی نتونه از اکانت سی پنل خودش پسورد سی پنل شما رو کرک کنه - یا بشین یه دی کدر بنویس ، هکر اول میاد سرور رو میزنه بعد میاد اسکریپت رو دی کد می کنه
خوب این سرور شده مسئله از یه جایی بخر که سابقه هک نداشته باشه و امنیتش بالا باشه :green:

k2-4u · Aug 31, 2009

1) آیا میشه کدهای php یه وبسایت رو دزدید ؟!

اگر هاست شما امنیتش . خوب باشه
خیر . ولی امنیت چیزی نیست که 100% باشه

2) مسئول سرور ( سروری که از ایران می خریم و مثلا تو کاناداست ) می تونه دزدی کنه ؟

صاحب سرور اگه دوست داشته باشه می تونه دزدی کنه
مگر اینکه VPS باشه

کلا کد های سمت کاربر. هیچ راهی برای . جلوگیری از دزدیش نیست

4) چطوری میشه کار رو که zend gaurd انجام میده خودمون دستس انجام بدیم و نیاز به هیچ نرم افزار سمت

سروری مثل zend optimizer نباشه ؟

امکانش نیست . یک راه های
متفاوت هست که قابل برگشته

5) واقعا میشه همه ی کدهای zend شده رو برگردوند ؟

یک سایت روسی هست پول و فایل میگیره
بعد . بر می گردونه .

در آخر توصیه میکنم برنامه رو با جدید ترین ورژن Zend کد گذاری کن
و بعد

یه vps بخر .
حالا فرض کنیم یکی اومد . یک CMS
از شما خرید .
فایل های php مربوط به CMS یک فولدر
بالا تر از folder کاربر بگذار
یعنی وقتی طرف . با FTP یا از داخل
cpanel نگاه کنه فایل های CMS شما رو نمیبینه
بعد با یک Htaccsess تعریف کن
که . فایل index.php مربوط به CMS
به عنوان index صفحه باز بشه

amirkhoshhal · Aug 31, 2009

فایل های php مربوط به CMS یک فولدر
بالا تر از folder کاربر بگذار

سلام . فایده این کار چیه ؟
مگه کسی که به سرور دسترسی پیدا کرده ، نمی تونه به پوشه بالاتر از Public_html دسترسی پیدا کنه ؟
ممنون

k2-4u · Aug 31, 2009

amirkhoshhal گفت:
سلام . فایده این کار چیه ؟
مگه کسی که به سرور دسترسی پیدا کرده ، نمی تونه به پوشه بالاتر از Public_html دسترسی پیدا کنه ؟
ممنون

خب . اگر سرور رو هک کنند آره :green:

ولی اگر سروسیس گیرنده رو هک کنند . و
امنیت سرور خوب باشه . خوب نمی تونن . به فایل ها دسترسی پیدا کنند
چون فایل ها روی سروره!! در آخر هم . اگر سرور رو هک کنند فایل ها zend شده :rose:

amirkhoshhal · Aug 31, 2009

پس نتیجه می گیریم که فایل های اصلی که تو برنامه Include می شن و برنامه بدون اونها کار نمی کنه رو بالاتر از Public_html قرار بدیم تا به برنامه نتونن تجاوز کنن .
دوستان اگه راه حل های دیگه ای هم به ذهنشون می رسه ، خواهشا مطرح کنن .

Allahparast · Sep 1, 2009

فکر نکنم کسی ioncup رو تا حالا دی کد کرده باشه یه تستکی بزن :rose:

foranyone · Sep 1, 2009

amirkhoshhal گفت:
پس نتیجه می گیریم که فایل های اصلی که تو برنامه include می شن و برنامه بدون اونها کار نمی کنه رو بالاتر از public_html قرار بدیم تا به برنامه نتونن تجاوز کنن .
دوستان اگه راه حل های دیگه ای هم به ذهنشون می رسه ، خواهشا مطرح کنن .

خب این در صورتی هست که سرور ماله خودمون هست !

من الان از میهن نیک هاست گرفتم الان چاره ی کار چیه ؟!

در ضمن ما سرور اختصاصی رو از یه شرکت می گیریم !! بازم احتمال دزدی هست !!

من شندیم سرور های اختصاصی واقعا اختصاصی نیستن بلکه یه کامپیوتر رو با نرم افزار خاص به چند تا سرور تبدیل

میکنن حتی میشه همزمان روشون لینوکس و ویندوز داشت ...

k2-4u · Sep 1, 2009

پس نتیجه می گیریم که فایل های اصلی که تو برنامه Include می شن و برنامه بدون اونها کار نمی کنه رو بالاتر از Public_html قرار بدیم تا به برنامه نتونن تجاوز کنن .
دوستان اگه راه حل های دیگه ای هم به ذهنشون می رسه ، خواهشا مطرح کنن .

البته کل اسکریپ در . جای قرار میگیره
که در دست راس نیست .
حتا index.php .
index.php هم در htacsess ای که اونم در دست راس نیست
تعریف میشه که . در فلان دامین اجرا بشه
یعنی . فولدر هاست طرف خالی می مونه
فکر کنم Permission بندیش خیلی مشکل بشه

foranyone گفت:
خب این در صورتی هست که سرور ماله خودمون هست !

من الان از میهن نیک هاست گرفتم الان چاره ی کار چیه ؟!

در ضمن ما سرور اختصاصی رو از یه شرکت می گیریم !! بازم احتمال دزدی هست !!

من شندیم سرور های اختصاصی واقعا اختصاصی نیستن بلکه یه کامپیوتر رو با نرم افزار خاص به چند تا سرور تبدیل

میکنن حتی میشه همزمان روشون لینوکس و ویندوز داشت ...

ساختار VPS و سرور اختصاصی مثل
هاست های shear نیست
که . طرف بیاد تو فولدرت محتوات رو کپی کنه و ببره .
اگر بخواد به فایل های شما دست رسی پیدا کنه .
باید . کل سیستم عامل خودشتو بریزه به هم . اوضا خراب میشه (تیشه به ریشه ) :lol:

اگر راه های بهتری دارند دوستان . منم مشتاقم بدونم :rose:

meysamz · Sep 6, 2009

دوست عزيز
براي كد هاي كلاينتت، فقط مي تواني كاري كني كه طرف سخت تر به كد ها برسه. اما اگه حرفه اي باشه هر كاري كني مي توانه پيداشون كنه. البته مثلا كد جاوا اسكريپت هم مي تواني انكود بكني، البته نه با هر انكودري. اما آن خوباشام مشكلايي دارند. مثلا روي بعضي مروگرا مثل اپرا به مشكل مي خورند و يا بعضي آنتي ويروس ها مثل مك آفي آن را ويروس تشخيص مي دهند.

در مورد دزدي فروشنده هاست، بهتره براي تست هم كد هاي اصليتو را سرور نگذاري. البته معمولا آن هايي كه كارشون اينه آدم هاي امانت داري هستند. البته معمولا...

در مورد انكود كردن كد هاي پي اچ پي، اگر با نسخه هاي قديمي انكود بكني ميشه بازش كرد و اتفاقا خيلي راحت، فقط يه كم وقت گيره
من خودم هم انكودر جديد زند را ندارم و با قديمي زند مي كنم كه خودمم مي توانم دكودش كنم.
اما اگر خيلي حساسي كه بهتره حساسيتتو كم كني بهتره از نسخه بالاي 4 زند استفاده كني كه كركشون گير نمياد و خيلي هم گرونه وگرنه من مي خريدم.
بقيه انكودر ها هم امنيتشون خيلي كمتره يادت نره حتما روي دامين هم قفل كني، موقعه فروختن سي ام است
موفق باشي