[PHP] phpshield, omheen te komen? - Softwareontwikkeling

vrijdag 16 juni 2006 20:41

Acties:

There can be only one...

Topicstarter

Hoi

Waarschijnlijk is dit een hele stomme vraag, maar stel (hypothetisch gezien) je gebruikt phpshield, en je raakt je key kwijt... wat doe je dan?

Weet iemand of eromheen te komen is? Of het misschien te brute-forcen is ? (heb er wel tijd voor over)

meer info over phpshield: http://www.phpshield.com/

Lau

vrijdag 16 juni 2006 20:44

Acties:

MAX3400

XBL: OctagonQontrol

Stel dat je je key kwijt bent, dan heb je een client-ID en kan je support vragen bij de fabrikant.

Hoe hypothetisch ook; je vraag komt op me over als niet helemaal voor "jouw key" bedoeld...

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 16 juni 2006 20:45

Acties:

Lau

There can be only one...

Topicstarter

de fabrikant geeft hier geen support op... die zullen zeggen: jammer joh.. maar dat antwoord had ik zelf ook wel kunnen bedenken, dus dank je wel voor je zinloze bijdrage!

Lau

vrijdag 16 juni 2006 20:50

Acties:

mrFoce

Dan geef je jezelf een klap voor je kop

Maar het lijkt mij dat je alleen encrypt voordat je het 'online' zet / distribueerd. Zodoende blijven de ongeencrypte php in de developpers map staan. Maar neem inderdaad zoals Max3400 zegt dan contact op met de makers

vrijdag 16 juni 2006 20:51

Acties:

MAX3400

XBL: OctagonQontrol

Ach, als je erachter komt welk encryptie-protocol ze gebruiken en ook nog kan achterhalen in welke volgorde de code-bytes worden weggeschreven, dan kan je het vast wel reverse engineren. Maar als ik even uitga van 1KB aan code en een 128-bits encryptie, heb je een achterlijke hoeveelheid combinaties, al helemaal als ze code-bytes ook nog eerst opbreken in code-bits... Oftewel; jaar of 2195 decrypten?

Lau schreef op vrijdag 16 juni 2006 @ 20:45:
de fabrikant geeft hier geen support op... die zullen zeggen: jammer joh.. maar dat antwoord had ik zelf ook wel kunnen bedenken, dus dank je wel voor je zinloze bijdrage!

Voor $99.- kan je ze toch wel een vraag stellen?

[ Voor 30% gewijzigd door MAX3400 op 16-06-2006 20:53 ]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 16 juni 2006 20:51

Acties:

kamerplant

Opzich wel een terechte vraag: Hoe veilig is deze encoder?

🌞🍃

vrijdag 16 juni 2006 20:54

Acties:

Lau

There can be only one...

Topicstarter

MAX3400 schreef op vrijdag 16 juni 2006 @ 20:51:
Ach, als je erachter komt welk encryptie-protocol ze gebruiken en ook nog kan achterhalen in welke volgorde de code-bytes worden weggeschreven, dan kan je het vast wel reverse engineren. Maar als ik even uitga van 1KB aan code en een 128-bits encryptie, heb je een achterlijke hoeveelheid combinaties, al helemaal als ze code-bytes ook nog eerst opbreken in code-bits... Oftewel; jaar of 2195 decrypten?

[...]

Voor $99.- kan je ze toch wel een vraag stellen?

true. maar ze gaan me vertellen wat op de website staat: dat het niet te decoden is, hetzelfde als dat microsoft zal zeggen dat ze goede software leveren.

Lau

vrijdag 16 juni 2006 20:55

Acties:

MAX3400

XBL: OctagonQontrol

Lau schreef op vrijdag 16 juni 2006 @ 20:54:
[...]

true. maar ze gaan me vertellen wat op de website staat: dat het niet te decoden is, hetzelfde als dat microsoft zal zeggen dat ze goede software leveren.

Als het op de site staat, waarom dan je vraagstelling?

En de vergelijking met Microsoft is niet te trekken...

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 16 juni 2006 20:55

Acties:

eamelink

Droptikkels

Welke 'key' hebben we het uberhaupt over?

En wat is het probleem? Je hebt toch gewoon plaintext sources die je encrypt voor je ze naar je klant toe stuurt? Je raakt je originele sources toch niet kwijt?

Dus tenzij je een fikse crash hebt gehad en je backups in de fik zijn gevlogen zijn er inderdaad weinig redenen waarom je die dingen zou moeten kunnen decrypten

vrijdag 16 juni 2006 20:58

Acties:

Lau

There can be only one...

Topicstarter

eamelink schreef op vrijdag 16 juni 2006 @ 20:55:
En wat is het probleem? Je hebt toch gewoon plaintext sources die je encrypt voor je ze naar je klant toe stuurt? Je raakt je originele sources toch niet kwijt?

Dus tenzij je een fikse crash hebt gehad en je backups in de fik zijn gevlogen zijn er inderdaad weinig redenen waarom je die dingen zou moeten kunnen decrypten

bekijk het eens andersom, je schrijft een module voor een bedrijf. met dit bedrijf krijg je op een gegeven moment een meningsverschil over bijvoorbeeld het onderhouds contract wat je op deze module hebt afgesloten. dan wil ik wel graag weten of mijn code daar veilig bij hun op de server staat als het door phpshield geencrypt wordt.

Als het op de site staat, waarom dan je vraagstelling?

omdat ik ook wel dingen op internet kan zetten zonder dat ze waar zijn.

[ Voor 3% gewijzigd door Lau op 16-06-2006 20:59 ]

Lau

vrijdag 16 juni 2006 21:00

Acties:

MAX3400

XBL: OctagonQontrol

Lau schreef op vrijdag 16 juni 2006 @ 20:58:
[...]
omdat ik ook wel dingen op internet kan zetten zonder dat ze waar zijn.

Download dan een trial, download ergens een freeware PHP-script, encode de hele zooi en ga lekker decrypten tot je het weer kan editen?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 16 juni 2006 21:02

Acties:

Lau

There can be only one...

Topicstarter

MAX3400 schreef op vrijdag 16 juni 2006 @ 21:00:
[...]

Download dan een trial, download ergens een freeware PHP-script, encode de hele zooi en ga lekker decrypten tot je het weer kan editen?

... terug bij mijn eerste vraag: kan dat, en hoe makkelijk is dat ? en: heeft iemand daar ervaring mee?

phpshield ziet er uit als een programma wat regelrecht uit teletubbie-world komt, en legt helemaal niets uit over hoe het precies werkt. Ik persoonlijk snap dus niet hoe het werkt, misschien anderen wel ?

Lau

vrijdag 16 juni 2006 21:06

Acties:

MAX3400

XBL: OctagonQontrol

Lau schreef op vrijdag 16 juni 2006 @ 21:02:
[...]

... terug bij mijn eerste vraag: kan dat, en hoe makkelijk is dat ? en: heeft iemand daar ervaring mee?

phpshield ziet er uit als een programma wat regelrecht uit teletubbie-world komt, en legt helemaal niets uit over hoe het precies werkt. Ik persoonlijk snap dus niet hoe het werkt, misschien anderen wel ?

Some other PHP encoding systems do not use bytecode and it is very easy to reverse engineer their
protected scripts back to the original source code. With bytecode encryption, it is never possible to do
this as the original sourcecode has been completely removed from the protected file.
Als ik het zo lees, wordt je code omgezet naar een andere taal (zeg, machine-taal) maar nog wel te begrijpen voor een browser.

Om misschien een idee te krijgen (ook voor mezelf); het is volgens mij net als een DLL programmeren, deze compileren en de uitvoerende partij (in dit geval de web-bezoeker) 1 of 2 calls laten toestaan voor het uitvoeren van de DLL?

Ik weet niet al teveel van programmeren maar weet nog wel dat een x aantal "executables" niet via reverse engineering zomaar de source-code opleveren.

*edit*
Ach, in de manual wordt ook gesproken over het feit dat een loader jouw encrypted PHP uitleest, deze real-time uitvoert in memory-space maar op geen enkel moment de source kan laten zien alleen de resultaten (wat eigenlijk altijd gebeurt bij het uitvoeren van een PHP). Oftewel; de loaders zijn de EXE-files, je encrypted PHP zijn data-files en de uitvoer gebeurt via de EXE naar je browser.

[ Voor 22% gewijzigd door MAX3400 op 16-06-2006 21:11 ]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 16 juni 2006 21:15

Acties:

djc

PHP wordt door de interpreter eerst gecompileerd naar bytecode (niet direct te vergelijken met executable "machine" code, eerder met Java .class files of .NET CIL ofzo).

Wat ik afleid uit wat ik hier lees is dat ze niet de source code encrypten, maar direct de daaruit gegenereerde bytecode. Hierdoor is het waarschijnlijk onmogelijk een een-op-een kopie van je source code te genereren, of in ieder geval heel erg moeilijk.

Rustacean

vrijdag 16 juni 2006 21:47

Acties:

Lau

There can be only one...

Topicstarter

Manuzhai schreef op vrijdag 16 juni 2006 @ 21:15:
PHP wordt door de interpreter eerst gecompileerd naar bytecode (niet direct te vergelijken met executable "machine" code, eerder met Java .class files of .NET CIL ofzo).

Wat ik afleid uit wat ik hier lees is dat ze niet de source code encrypten, maar direct de daaruit gegenereerde bytecode. Hierdoor is het waarschijnlijk onmogelijk een een-op-een kopie van je source code te genereren, of in ieder geval heel erg moeilijk.

Ja, dat is inderdaad wat ik eruit op maak.

Het is dus niet het encrypten van php files, het is het omzetten naar een andere (door mij iig) onleesbare taal. En hierdoor redelijk veilig, omdat de orginele code niet in tact blijft.

-edit- thx max3400

[ Voor 3% gewijzigd door Lau op 16-06-2006 21:50 ]

Lau

vrijdag 16 juni 2006 21:50

Acties:

NMe

Quia Ego Sic Dico.

Ik ga dit topic om drie redenen sluiten. Ten eerste gaan we je hier niet helpen bij het kraken van een beveiliging, hoe "hypothetisch" je vraag ook is. Daarnaast mag je best wat vriendelijker zijn tegen mensen die je proberen te helpen, en van ongefundeerde rants tegen bedrijven en/of personen zijn we hier ook niet echt gediend.

Als je nog eens een topic opent, dan kan ik je aanraden wat vriendelijker te zijn en mensen die reageren niet te behandelen alsof ze achterlijk zijn. Op die manier krijg je veel sneller een antwoord. Maar in dit geval dus niet omdat we je niet gaan helpen bij het omzeilen van beveiligingen.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

zaterdag 17 juni 2006 11:30

Acties:

NMe

Quia Ego Sic Dico.

Ik kreeg net een mailtje van Grijze Vos:

Hey NMe,

Zou je in ([rml][ PHP] phpshield, omheen te komen?[/rml]) dit topic nog even willen vermelden dat
waarschijnlijk (http://www.php.net/manual/en/ref.bcompiler.php) deze bytecode compiler gebruikt wordt.

Handig voor mensen die zoeken erop.

Groeten,
Grijze Vos.

Bij deze dus.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.