[Alg] Licentie controle via internet

Ik ben bezig met de ontwikkeling van een stuk software voor bedrijven. Nu zou ik het jammer vinden als dit meteen door iedereen wordt gekopieerd, en de kosten die ik eraan heb gehad voor ontwikkeling niet eens kan terugverdienen.

Daarom heb ik een licentie systeem bedacht. Het stuk software is een stukje software dat op servers wordt gedraaid als daemon (voor de windowsfanaten: een service dus). Nu heb ik een redelijk simpel en effectief systeem bedacht:

Service connect iedere 24h naar webserver van mij. Daar krijgt die een licentiecode, afhankelijk van datum/tijd en met bepaalde informatie die door het programma moet worden gebruikt. Het eerste (datum en dingen) is gehashed, het andere is gewoon encrypted.
De server bepaald dit alles aan de hand van het IP adres waarvan de software vandaan connect.

Software krijgt dit terug, maakt zelf ook zo'n hash die dan overeenkomt en encrypt de informatie. Tot zover gaat alles goed.

Maar nu: Dit belet niemand om de software meerdere keren te starten op 1 machine óf om achter een router de software meerdere keren te installeren!

Dit is dus mijn probleem waarvoor ik een oplossing zoek. Ik had zitten denken om om de een of andere manier te bepalen wat de sourceport is waarvandaan een programma connect naar m'n webserver en dan alleen vanaf 1 sourceport alles toe te staan, en de klant zelf zo'n sourceport te kunnen laten instellen op m'n website (sourceport dan dus gelijk aan de port waar het programma zelf op luisterd voor connecties).

Bij Apache/PHP5 kan ik denk ik gebruik maken van de "REMOTE_PORT" variabele. Kan een router niet zelf plots verzinnen wat de sourceport wordt? Dus bijvoorbeeld een NAT "client" zend vanaf port 5000 naar de "NAT router" toe, maar de "NAT router" zend zelf weer vanaf port 78940 de aanvraag door. In dat geval zou mijn hele licentiesysteem niet werken.

Nog even een laatste ding: Codes invullen in de software zelf is geen optie, omdat de software van bepaalde services gebruikt maakt waarvoor het ook uitschakelbaar dient te zijn op afstand bij het niet betalen van de licentiekosten iedere maand. Een connect naar huis is dan ook noodzakelijk.

Om het achterhalen van de hash maak ik mij niet zo'n zorgen, dit is erg lastig vanwege de datum/tijd die veranderen, en enig risico heb je nou eenmaal altijd, je programma kan immers ook gecrackt worden

Ik hoop dat jullie nog leuke ervaringen en ideeen hebben met zo'n implementatie als dit

[ Voor 5% gewijzigd door pierre-oord op 06-11-2005 12:37 ]

Jrz, volgens mij ben je zo'n persoon die kopieëren goed probeert te praten. Ik laat zelf software ontwikkelen, waar een hoop kosten aan gemoeid zijn. Het laatste wat ik wil is dat grote bedrijven mijn software gebruiken om er zelf rijk van te worden, terwijl dat ik mijn kosten er niet uit kan halen.

Als ik wat voor de community wil doen release ik wel software met een GNU licentie. En van deze software komt waarschijnlijk zelf nog een versie uit voor particulieren/kleine bedrijven die het willen gebruiken voor < 5 gebruikers.

edit:
En als je nou gelijk wat nuttigs toevoegt ipv "brakke copy beveiliging" want dan weet jij schijnbaar wel de perfecte manier om iets te beveiligen?

edit2:
Na jou edit: Volgens mij heb je niet gelezen wat ik heb geschreven in m'n startpost, want wat jij nu doet, doe ik precies maar daar zit een klein probleem bij...

[ Voor 29% gewijzigd door pierre-oord op 06-11-2005 12:43 ]

Jrz schreef op zondag 06 november 2005 @ 12:44:
Nee hoor.. maar heb je wel eens met quark gewerkt?

Dat gedoe met meerdere machines kan je met een challenge / response code doen.
Bij installeren een code genereren, en die dan gebruiken om je code te maken (bijv. op je website)
Die gegenereerde code is op elke machine anders, dus copyen zal geen zin hebben

over:
En als je nou gelijk wat nuttigs toevoegt ipv "brakke copy beveiliging" want dan weet jij schijnbaar wel de perfecte manier om iets te beveiligen?

Nou, brakke beveiliging is beveiliging die waardoor niet eens kan werken omdat je zonodig de maker ervan moet bellen voor die licentie. Zit je 1.5 uur aan de lijn naar het buitenland codetjes over te sturen....
Ondertussen kunnen mensen niet werken, alleen omdat er wat geheugen bij een machine moet.

Dat van een code genereren vind ik wel een goed idee. Lastige is alleen: Waar ga je code opslaan? Als je hem in een textfile zet kan iemand die zo meekopieren naar een andere machine. Net als bij windows heb je wel van die proces loggers (deze app draait onder Linux) dat je precies ziet waar het programma wat opslaat.

En over brakke beveiliging weer
Zo'n beveiliging wilde ik al niet maken. Ideeen als "maximaal 1 check per dag" kan dus bijvoorbeeld niet, want als je je software dan een keer herstart op een dag is je licentie gelijk niet goed. Ik wil er geen gedoe mee krijgen, eigenlijk moet niemand doorhebben dat het erin zit

Jrz

Er komen wel goede ideeën

Even ervanuitgaande dat gewoon een "image" wordt gebruikt die alle .ini files etc etc gewoon meekopieren zegmaar.

Nu zit ik alleen dat de beveiliging iets minder sterk is. Nu moet immers de software iets naar het internet gaan sturen (MAC), bijvoorbeeld gewoon in de URL zoals /checklicense.php?code=MACHASH

Je zou dan op een "verkeerde" machine met een beetje program-skillz het wel kunnen faken door op die machine de aanvraag naar mijn server te onderscheppen, de code= daarna aan te passen naar de hash van de andere machine, en daarna de aanvraag te doen en de response van mijn server ook weer relayen. Dus als het ware gewoon een 2e webserver ertussen zetten waar je alles naartoe stuurt via een IPtables regeltje.

Maarja, 100% beveiliging kan natuurlijk nooit hé?

[ Voor 10% gewijzigd door pierre-oord op 06-11-2005 13:00 ]

Gerco schreef op zondag 06 november 2005 @ 13:13:
Houd je ook rekening met heet niet bereikbaar zijn van de server e.d.? Niets is zo irritant als software die niet wil werken wegens een netwerk failure terwijl daar geen goede reden voor is (licentiecontrole is geen goede reden). Daarnaast zou je zelfs nog voor het omzetverlies kunnen opdraaien als jouw software erg belangrijk is.

Voor zover mijn ervaring rijkt, kopieren bedrijven echter geen belangrijke software, zeker niet voor servers. Paketten van 60k per CPU worden gewoon netjes aangeschaft, ook als ze met een simpele produkt key werken en geen call-home hebben. Volgens mij zie je ze vliegen en ga je veel te ver met je beveiliging.

Enigsinds mee eens. Probleem is dat het gaat om vaak kleine internet bedrijven (alsmede grote) maar waar die kleine vaak door mensen worden gerunned die als het even lukt wel gewoon een kopietje draaien. Je weet wel, het soort waarbij je nog moet nakijken of ze in ieder geval wel een KvK nummer hebben en of er iemand werkzaam is die een contract geldig kan tekenen voor naar 2 kanten (dus geen minderjarige).

De beveiliging werkt ongeveer zo:
Controle op licentie. Geen server bereikbaar? Probeer dan over 10 minuten opnieuw. Weer geen server bereikbaar? Probeer dan over 24h opnieuw. Na 24h weer geen server bereikbaar? Programma afsluiten..

Zo zal iedere run worden gedaan. De licentieserver is gemakkelijk te backuppen en te verplaatsen. Langer dan 24 uur down is onmogelijk, het is in de afgelopen 2 jaar nog nooit gebeurd dat netwerk of stroom voor langer dan 15 minutes onbereikbaar waren (server staat in een datacenter, waar ik maar 1x last heb gehad van een grote DDoS).

edit:
Ik denk dat ik inderdaad dan maar ga voor een MAC adres controle, eventueel met SSL. Ik verwacht niet dat er in no-time cracks zullen zijn, tegen die tijd wordt het systeem dan wel iets verbeterd.

Maandelijks gaat omdat de software over het algemeen afhankelijk is van het aantal klanten van een bedrijf. Als dit toeneemt, willen bedrijven een grotere licentie. Daarom per maand, omdat anders steeds nieuwe berekeningen op al vooraf betaalde bedragen moeten worden losgelaten. Ook geeft dit bij de release van het programma mensen makkelijker de kans om een paar maandjes te testen (1e wordt al gratis) waarbij ze het gevoel van vrijblijvendheid hebben

[ Voor 17% gewijzigd door pierre-oord op 06-11-2005 13:23 ]

Gerco schreef op zondag 06 november 2005 @ 13:27:
[...]

Op zich redelijk, ik zou het alleen wat langer dan 48 uur geven voor je afsluit, een week ofzo


[...]

Je hebt niet alleen last van downtime aan jouw kant, ook aan die van de klant. Het soort bedrijven wat je beschrijft zie ik wel vanaf een consumenten ADSL verbinding opereren en die zijn weleens een paar dagen down.

Klant kant maakt niet uit! Het systeem wordt namelijk gebruikt door klanten van het bedrijf. Als het ware een soort "reselling" dus zou je kunnen zeggen, maar dan net even anders.

Dus als de bedrijfslijn plat ligt (of dat ADSL, goedkope colo is of wat dan ook) maakt niet uit, aangezien de klanten er dan immers toch niet op kunnen komen

Bedankt voor al jullie tips iig, ben toch weer wat verder gekomen zo! En misschien heeft iemand nog wel een super idee, iets met zo'n source-port bijvoorbeeld...

edit:
@ Jan Klaasen:

Zo'n idee van een pipe ofzo is inderdaad wel makkelijk voor op 1 PC te checken, maar ik weet niet of dat zo betrouwbaar is. Zou een chroot omgeving voor de applicatie het niet al in de war schoppen? Buiten dat kan de applicatie op meerdere servers worden gedraaid achter een NAT verbinding, zodat het IP adres hetzelfde lijkt, maar er meerdere servers worden gebruikt. En ook niet onbelangrijk: Er mogen best 3 veries van m'n app op 1 machine worden gedraaid, MITS die licentie dan ook is toegevoegd daarom zou zo'n source-port idee wel super zijn, dat ik gewoon zie welk programma de aanvraag doet als het ware.

Inderdaad is dit geen microsoft-product, maar juist omdat veel eenmanszaken en kleine bedrijfjes deze software gebruiken, is het idee van "het is de baas z'n geld" niet zo van toepassing, omdat de baas vaak zelf nog de software installeerd...

Ik denk trouwens dat ik via een SSL verbinding ga werken als dat niet heel veel programmeer werk kost, dat moet ik even navragen. Namelijk, als de hash die het programma terugkrijgt (wijzigd iedere dag) gewoon werkt op ieder programma, zou een bedrijf natuurlijk die hash van m'n webserver kunnen opvragen en doodleuk een 2e webserver neerzetten die die hash steeds weer doorgeeft aan andere clients (en dus geen IP checks uitvoerd). Natuurlijk, als ik erachter kom dat die crack over het internet wordt gebruikt en ik kan erachter komen welk bedrijf m'n keys doorpaast krijgt die wel problemen, daarom denk ik dat dit niet zo snel gebeurd.

Eerst de gelegenheidskopieerders maar uitschakelen.

[ Voor 49% gewijzigd door pierre-oord op 06-11-2005 14:04 ]