Ervaringen licentie library voor .NET software? *

Sardaukar schreef op donderdag 21 juni 2018 @ 15:58:
Lijstje van wat ik zelf al gevonden heb (nog niet geëvalueerd):

Waarom niet? Al eens gedacht aan googlen naar reviews naar de producten uit je lijstje? Ik kan toch vrij gauw e.e.a. al ontdekken. En is Zen License Manager niet voor PHP

[ Voor 30% gewijzigd door RobIII op 21-06-2018 16:24 ]

Sardaukar schreef op donderdag 21 juni 2018 @ 16:24:
Het zijn er echter dermate veel...

..omdat je amper tot geen criteria stelt Als je eens begint met wat criteria opstellen (waaronder een budget) dan valt er gauw genoeg het e.e.a. af

Denk na over vragen als:
Moet het gekoppeld zijn aan hardware?
Moet er een online check deel van uitmaken, of is dat misschien zelfs uitgesloten?
Is een named license voldoende (waarbij de naam van de licentiehouder in de software zichtbaar is)?
Moet de software, zonder hulp van de leverancier, zijn over te zetten naar andere devices?
Mag een licentiehouder überhaupt op meer dan één device installeren?

.NET software is slecht te beveiligen - wanneer het op iemand anders zijn of haar computer draait - omdat het uit intermediate language bestaat.

Een simpele disassembler zoals DotPeek (https://www.jetbrains.com/decompiler/) maakt het mogelijk om elke .NET exe of library te openen en naar een C# project te converteren.

Daarna kun je ermee doen wat je wil.

Op mijn werk is dit ook een issue. Ik heb nog na zitten denken over een obfuscator, maar het grote nadeel is dat je dan ook geen errors meer kunt debuggen op een betekenisvolle manier.

Al met al hebben we er ons maar bij neergelegd dat het tegen iemand die het echt wil hacken, gewoon niet te beveiligen is.

We hebben uiteindelijk iets ingebouwd dat de software aan de hardware koppelt en eens in de zoveel tijd onze licentieserver raadpleegt. Dit houdt de meeste klanten wel tegen om het zomaar overal te gebruiken.

Maar echt veilig is het niet... want even decompilen en de hele controle er uitslopen is niet bepaald rocket science.

PS
We werkten eerst nog met een hardware dongle... maar het kostte mij ongeveer 2 uur om de library daarvoor allemaal SUCCESS codes terug te laten geven en het pakket te laten geloven dat alles koek en ei was

[ Voor 12% gewijzigd door Lethalis op 22-06-2018 23:32 ]

Lethalis schreef op vrijdag 22 juni 2018 @ 23:23:
Op mijn werk is dit ook een issue. Ik heb nog na zitten denken over een obfuscator, maar het grote nadeel is dat je dan ook geen errors meer kunt debuggen op een betekenisvolle manier.

Toen wij dit gebruikte, gebruikte we https://www.preemptive.com/products/dotfuscator/overview deze heeft best goede tools om ook nadat die geobfuscate is de stacktraces leesbaar te maken en te debugging (door middel van maps die gegenereerd worden bij het process). Het werkte iig erg goed toen ik 1,5 jaar geleden dit gebruikte (samen met signing van de assemblies).

ik maak gebruik van http://www.ssware.com/cry...g/cryptolicensing_net.htm

Het kan alles wat je hebt aangegeven en nog veel meer.
De implementatie is ook echt super makkelijk !

Toen ik de commerciele licensing libraries evalueerde (is alweer wat jaren geleden, maar toch) voor .NET, waren ze allemaal te kraken binnen een dag, veelal omdat het gewoon mogelijk is om .NET code te dumpen en er met goede tools naar te kijken. Je ontkomt daar gewoon niet aan. Stoere tools met 'crypto' in de naam, het is allemaal niet zo zinvol, je gaat als cracker nl. niet de library kraken maar gewoon de call er naar toe. In .NET code is die makkelijk te vinden, dus je moet je code dan obfuscaten, met alle narigheid van dien.

Dat gezegd hebbende, kun je natuurlijk voor een commerciele library kiezen, ookal zijn ze te kraken, je hoeft nl. dan niet zelf iets te schrijven. Wil je het zelf schrijven, dan is signed-xml wellicht een optie, maar net als bij de commerciele tools: je gaat echt geen waterdicht systeem maken. Je maakt een xml file met daarin je license data, bv licensee, of de license een tijdelijke is en hoelang deze dan doorloopt en signed deze met een RSA private key. (https://docs.microsoft.co...s-with-digital-signatures) De hash wordt dan in de license file geplaatst en je kunt deze nu verifying door deze te testen met de public key. Dus als iemand de datum verandert in de xml dan is de hash invalid en dus de license.

Ik zou altijd zoveel mogelijk data opnemen in de license die de license koppelt aan de licensee. Dus de naam, bedrijfsnaam etc., zodat ze eerder geneigd zijn om de license te beschermen: ze willen niet dat iedereen via The Pirate Bay hun license loopt de downloaden, hun naam staat er nl. in. Met signed xml ben je vrij in wat je opneemt in de license.

Je kunt ook altijd iets opnemen in je licensing library dat contact maakt met een service. Dat maakt je licensing een stuk moeilijker te kraken: Haal bv een essentieel onderdeel van de software op vanaf de service en alleen wanneer de license klopt/geldig is. Dat essentiele onderdeel bewaar je dan in local storage zodat de user die niet mee kan nemen. Nadeel hiervan is dat je een internetverbinding eist en als dat even niet lukt de gebruiker de software niet kan gebruiken en dat zal je niet in dank worden afgenomen.

Daarmee komen we meteen bij de crux van het verhaal: hoe ver wil je gaan? in 2002-2008 had ik een in C++ geschreven library in de installer die deed alsof het een .NET control library was maar feitelijk alleen bedoelt was om de trial token (waarmee ik checkte hoelang de trial al liep) te checken. Dit was effectief maar had ook nadelen, soms werkte deze niet, en dat was klantonvriendelijk. Eis je een internetverbinding, dan is je beveiliging beter maar mensen die even in een vliegtuig zitten of geen internet verbinding hebben kunnen je software niet gebruiken. Ook dit is klantonvriendelijk.

Verder kost het maken van een licensinglibrary tijd en die tijd kun je ook besteden aan nieuwe features. Immers je software wordt echt toch wel gekraakt. Is het niet met een full license dan via de trial (want dat is vaak het zwakke punt, zeker bij commerciele libraries. Laat maar eens een file/registry monitor meelopen wanneer je je programma installeert/runt).

Dus wil je het zelf doen, dan is signed XML een oplossing: het is simpel, doeltreffend en je kunt het met simpele code genereren en testen. Wil je jezelf die tijd besparen, dan kun je een commerciele library kiezen. Beide hebben wellicht dezelfde kraakkans. Je kunt ook bv een OSS optie kiezen. Bv van Ayende: https://github.com/ayende/rhino-licensing (werkt ook met signed xml files als ik het goed heb)

Ik zie hierboven iemand signed assemblies noemen, maar dat is sinds .net 4 niet meer effectief: assemblies die verandert zijn ookal zijn ze gesigned doen het nog gewoon omdat de CLR by default niet meer de signature checkt. Tja, nooit begrepen waarom deze domme beslissing ooit is genomen, maar het is niet anders.

[ Voor 5% gewijzigd door EfBe op 24-06-2018 09:23 ]

Je kunt eens naar dotnetreactor kijken van Eziriz. Die kan, naast licentiebeheer, een native exe maken, waarna decompilen niet meer meevalt.