Алгоритм защиты от копирования, основанный на использовании Интернет.

Спасибо всем, кто отвечал в теме "Защита программ от копирования на электронных ключах"! Однако все равно не хочется послезавтра увидеть свое детище на торрентах или ему подобных "рапидах"...

И хоть все равно надежды на стопроцентную защиту нет, со средними любителями копирования хочу попробовать посражаться.

Пришла идея организовать такую схему:
------------------------------------------------
1. Вместе с CD, посльзователь получает не оригинальный исполнимый файл, а лишь тот, который называет ему регистрационный код с просьбой отослать мне. Привязка идет, допустим, к серийному номеру винчестера.

2. Получив этот рег. номер, я выкладываю по определенному адресу в сети настоящий, рабочий файл с оригинальным именем и сообщаю пользователю, что можно продолжать работу и серийный код. В этом файле с программой - привязка на работу только с данным номером винчестера.

3. Пользователь снова загружает эту программу, вводит серийнвй код и программа скачивает сама настоящий *.exe-файл, заменяя им себя на диске.

Программа работает, процедура регистрации завершена. Пользователей планируется 10-30, поэтому особого труда ручная работа по перекомпиляции и выкладыванию мне не доставит.

Далее каждые 50 часов работы ИЛИ каждые 50 запусков программа проверяет наличие своего "родного" файла в Интернет, не найдя которого, отказывается запускаться.

Т.е. если пользователь, как он говорит, купил новый компьютер, то я поздравляю его с покупкой, сообщаю новый серийный номер, выкладываю новый *.exe, а старый удаляю.
------------------------------------------

Прошу всех, кто работает с такими проблемами, проверить, оценить и помочь улучшить эту схему, пожалуйста! Может кто-то видит слабые места или предложит обман такой схемы? Кроме того, я вроде не встречал такой схемы нигде, неужели изобретение?

С уважением, Александр Осипов.

 

один пользователь выкладывает такой ехе и в принципе всё) привязку к харду
отломают... если конечно это надо быдет кому то =\ а вообще зачем всё так сложно?
ведь пользователей не так много...

 

Спасибо за ответ!

Но так и любое сломать можно. Я только хочу защитить от простого копирования дисков. Причем если пользователь меняет компьютер, то это тоже должно быть предусострено. А как можно проще тогда?

 

Вы, уважаемый Александр Осипов, немного не так вопрос ставите
предлагайте приз сравнимый по размеру с предполагаемой стоимостью работы по взлому
и Вам сразу объяснят на деле где слабые места и как происходит обман такой схемы

 

To z0mailbox:
Да, но мне пока нечего предложить. Надеялся просто на добрый совет.

 

Я тебе предлагал хороший вариант - делаешь программу распределенной (часть объектов загружается с удаленного сервера, там же можно устроить проверку идентификатора компьютера и в зависимости от результата проверки возвращать объект с разными свойствами, влияющими на поведение программы). Смысл в том, что при неправильном идентификаторе и объект будет возвращаться неправильным. А схема загрузки объектов с сервера реализована в известной игре Eve On-line.

 

To CRYPTO:
Да, в принципе и я то же описал. Но пользователю неудобно какждый раз быть в сети. Здесь суть в том, что Интернет нужен первый раз при установке программы и время от времени.

 

Onix-Studio
Так ты о неудобствах пользователя печешься? Тогда дай ему программу в чистом виде и бесплатно

 

Crypto
Нет, ну это уже крайность конечно.

 

Защита будущего: на основе дактилоскопических данных и другой биометрии (с нейросетью адаптивно подстраиваемой под постоянные изменения этих параметров с возрастом), расшифровка индивидуальных ЕХЕ (пользователей не так много) в реал-тайм.

А если серьезно, то идея с инетом весьма противная для конечного пользователя, я бы на такое не согласился, а незаменимых прог не бывает.

 

_Serega_

А ничего что у некоторых людей с возрастом отпечатки просто стираются? Надо лазером в глаз светить - за одно и профилактика близорукости получается

У некоторых даже инета нет и приходится предусматривать активацию по телефону, через дискету и т.д. В общем, мне тоже идея не нравится.

 

>> Защита будущего
яб даже сказал далёкого будущего, т.к биометрические показатели весч не строго фиксированая, и ВСЕГДА снимаются с погрешностью, поэтому сгенерённый на их основе ключ каждый раз будет разный =(

 

Onix-Studio

Почему бы тогда просто не встроить что-то типа водяных знаков в код и выдавать каждому пользователю свою, уникальную версию? Тогда если программа и всплывет где-то, всегда можно будет отследить происхождение и предъявить претензии конкретному человеку или организации.

 

для регистрации совсем не обязательно весь ехе пересылать по сети. Можно ж просто расшифровывать чего-то заранее записанное на ЦД на рег-ключе.
И не совсем понятно, что в данной схеме проверок мешает прописать в файле hosts этот интернет-адрес на себя и подсовывать каждые 50 часов себе самому свой же взломанный ехе?

 

А не потому ли противная, что просто так обойти не получится? Ведь раз в неделю выход в Интернет на 1 минутку это не такое уж и неудобство.

Незаменимых нет - все верно. Но вот аналоги почти в два-три раза дороже и это за счет USB-ключей и т.п. А тут дешево и сердито!

А кто-нибудь уже делал защиту, основанную на времени работы программы? Например запускать какое-то действие каждые 50 часов. Не поскажете, как лучше всего хранить эту переменную и где?

 

Спасибо, Solo! И правда, не подумал...
Моя защита, конечно, не на знатоков взламывания рассчитана, но тут слишком даже просто получается. Тогда как выход - PHP-запросы и нетривиальная их обработка. Но всё же слабым местом остается проверка на отработку 50 часов (дней).

 

Вопрос наверное в тему. Имеем некоторое приложение, ключевым моментом в защите которого является переодическое соединение с сервером, ипользуется SSL соединение, на сервере СА не подписанный в соответсвующей организации. Является ли это достаточной защитой от создания ложного сервера.

 

если проверяется только сертификат сервера то нет, достаточно выдать свой корневой серт и серт для 127.0.0.1, если проверятеся сертификат клиента тоже, то выдаем еще один для клиента, патчим его (клиента) и см. п.1

 

Абсолютно не потому, тут даже порой проще бывает за счет того, что подсмотреть можно что она отсылает в сеть и что принимает.
Суть в том, что не каждый комп (а особенно в стране где медведи ходят по улицам имеет нормальное соединение с сетью. В крупном городе проще, выбор большой, тут тебе инет через локальные сети, кабельное тв, Ви-Фи, диалап, витая пара через форточку к соседнему офису, и многое чего еще. Там где большей частью живу я, почти единственным способом выхода в сеть - есть ЖПРС (притом без ЭДЖА Радует одно 0,68цента/1Мб, притом качество связи такое что твоя прога сама себя не вытянет , а еще если твоя прога привязывается к серийнику винта, то зарегить в офисе и принести домой уже не получится... в принципе если целевая аудитория имеет мегабитные каналы то можно вообще исполнять ее на сервере, а результаты передавать клиентам, причем это наиболее выгодный способ, т.к. у тебя никто не стырит авторский алгоритм и можешь вообще брать деньги за время использования.

За примерами далеко ходить не надо:
- на гугле ввели он-лайн офис: таблицы, текстовый редактор(*ПДФ,*РТФ, *ДОК, контроль версий, распечатка, сожранение, совместная работа) и кой чего еще.
- также способ мега распространенный на многих предприятиях, ярким примером вроде Азовсталь, тама вообще все пытаются на ПХП делать .

 

самая сложная защита - идея которой неизвестна