Toon posts:

[ASP] Code onleesbaar maken voor klant

Pagina: 1
Acties:

dinsdag 25 november 2003 14:57

Acties:

Verwijderd

Topicstarter
Een klant wilt zijn site extern hosten, en wilt onze code en database meenemen. Voor een gewone HTML site is dit geen probleem, echter, wij hebben een goed content management systeem achter deze site hangen. Natuurlijk willen we die niet kwijt aan deze klant, daar hebben ze niet voor betaald.

Maar ze staan er op dat ze die code krijgen. Nu kunnen we heel erg moeilijk gaan doen dat ze het recht niet hebben of iets dergelijks, maar we willen er eigenlijk van af.

De site is geschreven in ASP 3.0. We kennen VB-Enc wel, natuurlijk, maar ik ken ook de hack die daar al voor beschikbaar is. Aangezien de klant ook niet achterlijk is, wordt de code alsnog leesbaar.

Dus nu wil ik eigenlijk een programma of methode vinden waarmee ik bijvoorbeeld alle commentaar weg kan halen, functie- en variabele namen kan omzetten naar (random?) onzinnige strings, en wie weet wat voor trucjes nog meer.

Dit is geen script request, ik kan zo'n programma zelf wel schrijven, maar ik zou graag willen weten van de Tweakers of er al zoiets bestaat. Ik kan het namelijk niet via Google vinden, niet op GoT zelf, en ook niet op www.aspin.com - waar toch wel veel zooi staat.. ook Download.com laat het afweten :'(

Doelen:
  • code onleesbaar maken
  • onleesbare code encrypten
  • opleveren site met onleesbare code :)
Er een DLL of COM object van maken is helaas geen optie ;(

dinsdag 25 november 2003 15:02

Acties:
  • GrimaceODespair
  • Registratie: December 2002
  • Laatst online: 05:27

GrimaceODespair

eens een tettenman, altijd ...

Is dit niks voor jou? (net ge-Google'd, geen ervaring mee)

[ Voor 24% gewijzigd door GrimaceODespair op 25-11-2003 15:03 ]

Wij onderbreken deze thread voor reclame:
http://kalders.be

dinsdag 25 november 2003 15:02

Acties:
  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 18:08

gorgi_19

Kruimeltjes zijn weer op :9

Die term die je zoekt, was afaik Obfuscation

Echter, nog nooit gezien dat het iemand is gelukt om z'n ASP-bestanden goed te beveiligen.
GrimaceODespair schreef op 25 november 2003 @ 15:02:
Is dit niks voor jou?
Ookdaar is nog wel uit te komen; kost iets meer moeite, maar is wel te doen.

[ Voor 54% gewijzigd door gorgi_19 op 25-11-2003 15:04 ]

Digitaal onderwijsmateriaal, leermateriaal voor hbo

dinsdag 25 november 2003 15:05

Acties:
  • Jaspertje
  • Registratie: September 2001
  • Laatst online: 18-05 15:53

Jaspertje

Max & Milo.. lief

Kan je niet met dll's gaan werken? Lezen jasper lezen 8)7

Zal de klant misschien bij zijn host moeten zeuren dat de dll's geregistreerd moeten worden enzo, maar dat is de beste beveiliging. Niet helemaal wat je vraagt maar je kan ook een gentlemens agreement opstellen met de klant.. als blijkt dat <vul hier iets in> dan <vul hier het gevolg in>..

[ Voor 10% gewijzigd door Jaspertje op 25-11-2003 15:06 ]

dinsdag 25 november 2003 15:07

Acties:
  • OkkE
  • Registratie: Oktober 2000
  • Laatst online: 10-11-2025

OkkE

CSS influencer :+

Het spijt me, maar ik zou gewoon zeggen:
"Niet bij ons hosten? Dan ook geen CMS meer, punt."

Tenzij ze ook voor de bouw van het (opmaat?) CMS hebben betaald..

Maar een optie zou kunnen zijn;
alle variabelen vervangen door 1 of 2 letters ($mijn_eerste_var > $m), en daarnaast alle enters uit de code verwijderen. Het is dan toch wel een heel werk het uit te zoeken.
Dit is inderdaad wel "makkelijk" te hacken.. :{

[ Voor 19% gewijzigd door OkkE op 25-11-2003 15:08 ]

“The best way to get the right answer on the Internet is not to ask a question, it's to post the wrong answer.”
QA Engineer walks into a bar. Orders a beer. Orders 0 beers. Orders 999999999 beers. Orders a lizard. Orders -1 beers.

dinsdag 25 november 2003 15:11

Acties:
  • Jaspertje
  • Registratie: September 2001
  • Laatst online: 18-05 15:53

Jaspertje

Max & Milo.. lief

GrimaceODespair schreef op 25 november 2003 @ 15:02:
Is dit niks voor jou? (net ge-Google'd, geen ervaring mee)
Heb dat van progje van www.softconsortium.com ff gedownload (de demo) en daar komt zulke code uit:

ASP:
1
2
3
4

<% response.write CHR(9)&CHR(9)&CHR(9)&CHR(60)&CHR(116)&CHR(100)&CHR(32)&CHR(99)&CHR(111)&CHR(108)&CHR(115)&CHR(112)&CHR(97)&CHR(110)&CHR(61)&CHR(51)&CHR(62)&writeResponse %>
<% response.write CHR(9)&CHR(9)&CHR(9)&CHR(9)&CHR(66)&CHR(101)&CHR(112)&CHR(97)&CHR(97)&CHR(108)&CR(32)&CHR(87)&CHR(105)&CHR(106)&CHR(122)&CHR(105)&CHR(103)&CHR(105)           </td>
        </tr>
        <tr>


Dit zijn de dingen die het doet:

Map variables with random names
Insert garbage and random comments
Remove original comments
Remove tabs and blank lines
Encode HTML using VbScript
Switch response.redirect and response.write
Load and process entire folders

[ Voor 60% gewijzigd door Jaspertje op 25-11-2003 15:12 ]

dinsdag 25 november 2003 15:13

Acties:

Verwijderd

Topicstarter
"Obfuscation" was inderdaad een woord waaraan ik niet gedacht heb :D

Gentleman Agreement zou opzich wel werken, maar dat werkt ook nog in combinatie met gecodeerde zooi ;)

Verder, ze hebben de site betaald dus ze hebben recht op een site met features waarvoor is betaald. Dat is dus inclusief the functionaliteit van een CMS. Ik neem aan dat mijn werkgever in ieder geval een contract laat opstellen waarin wordt aangegeven dat ze niks aan de ASP code mogen aanpassen, want [gevolg]..

Maar aan mij de taak om de code in de eerste instantie zo moeilijk mogelijk leesbaar te maken. Ik begrijp dat code nooit 100% veilig kan zijn, maar tegen "noobs" kan ik toch wel een paar basis dingetjes uithalen ;)

Heel erg bedankt!!

dinsdag 25 november 2003 15:15

Acties:
  • Jaspertje
  • Registratie: September 2001
  • Laatst online: 18-05 15:53

Jaspertje

Max & Milo.. lief

Je kan er ook een aantal leuke dingen in zetten....

ASP:
1
2
3
4

a = true
if (a) then

end if

dinsdag 25 november 2003 15:17

Acties:

Verwijderd

tja dit soort dingen zijn wel lastig...
zij betalen nu voor een site + beheermodule, wat ontneemt hen het recht om de bestanden later aan te passen? Nu hebben ze iets waar ze geen fuck mee kunnen in de toekomst... vind het niet echt netjes!

Kijk als hun bij jullie een compleet product inclusief support afnemen okee, maar om nu een product wat ze bij jullie gekocht hebben dusdanig te verkrachten dat niemand er meer wat mee kan vind ik nogal ja... uhm van tevoren ondoordacht?!

Is het wel daadwerkelijk jullie "intellectueel eigendom"? Wat waren de voorwaarden voordat jullie begonnen? Is dit ontwikkeld tijdens een stage of andere dienstbetrekking? Dan mag je dit volgens mij niet eens doen!

[edit]
Maar ze staan er op dat ze die code krijgen. Nu kunnen we heel erg moeilijk gaan doen dat ze het recht niet hebben of iets dergelijks, maar we willen er eigenlijk van af.
ow kijk :o
In dat geval is het voor beide een win situatie, de klant is van jullie af en jullie van de klant :) (en jullie product is redelijk onklaar gemaakt :))

maar ik vraag me nog steeds af, als je code maakt in een "dienstbetrekking" mag je deze dan bij een andere werkgever/zelf herbruiken? Of is er dan een juridisch spectacel te verwachten?

[ Voor 31% gewijzigd door Verwijderd op 25-11-2003 15:21 ]

dinsdag 25 november 2003 15:22

Acties:

Verwijderd

a = true
if (a) then

end if
dat zet geen zoden aan de dijk, als iemand ff 5 minuten neemt is hij daar zo doorheen.
die gegenereerde bagger kost veel meer tijd om daar weer iets bewerkbaars van te maken. Dan moet het product wel zo mega whoepy kickass pro 1337 zijn wil iemand daar de tijd voor nemen!

dinsdag 25 november 2003 15:26

Acties:

Verwijderd

waarom is een dll geen optie?

zorg gewoon dat de site bij jullie ook via een dll werkt dan kunnen ze namelijk niets zeggen.

dinsdag 25 november 2003 15:26

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 25 november 2003 @ 15:17:
tja dit soort dingen zijn wel lastig...
zij betalen nu voor een site + beheermodule, wat ontneemt hen het recht om de bestanden later aan te passen? Nu hebben ze iets waar ze geen fuck mee kunnen in de toekomst... vind het niet echt netjes!

Kijk als hun bij jullie een compleet product inclusief support afnemen okee, maar om nu een product wat ze bij jullie gekocht hebben dusdanig te verkrachten dat niemand er meer wat mee kan vind ik nogal ja... uhm van tevoren ondoordacht?!

Is het wel daadwerkelijk jullie "intellectueel eigendom"? Wat waren de voorwaarden voordat jullie begonnen? Is dit ontwikkeld tijdens een stage of andere dienstbetrekking? Dan mag je dit volgens mij niet eens doen!
Ze betalen voor het gebruik van een systeem, niet voor het systeem. Als ze de code willen (enkele honderden manuren) mogen ze daar ook voor betalen. Willen ze exclusieve rechten, betalen ze nog meer.

Het doel is: ervoor zorgen dat ze niet binnen een jaar concurrent zijn :)

dinsdag 25 november 2003 15:27

Acties:
  • Alex
  • Registratie: Juli 2001
  • Laatst online: 28-02 19:26

Alex

Ik ken enkele bedrijven die zo handelen, dat is zeker niet netjes. Of je moet hier bij voorbaad al melding van maken. Ik ga dan ook niet met zulke bedrijven in zee en als het bedrijf me later zoiets flikt zorg ik dat ik gerechtelijk goed sta...(ISP/ASP beginnen pas veel te laat aan warterdichte contracten te denken, hier in Nederland)

Waarom denk je overigens dat de klant de code zelf wil hebben?

Deze post is bestemd voor hen die een tegenwoordige tijd kunnen onderscheiden van een toekomstige halfvoorwaardelijke bepaalde subinverte plagiale aanvoegend intentioneel verleden tijd.
- Giphart

dinsdag 25 november 2003 15:36

Acties:

Verwijderd

Topicstarter
Alex de Groot schreef op 25 november 2003 @ 15:27:
Ik ken enkele bedrijven die zo handelen, dat is zeker niet netjes. Of je moet hier bij voorbaad al melding van maken. Ik ga dan ook niet met zulke bedrijven in zee en als het bedrijf me later zoiets flikt zorg ik dat ik gerechtelijk goed sta...(ISP/ASP beginnen pas veel te laat aan warterdichte contracten te denken, hier in Nederland)

Waarom denk je overigens dat de klant de code zelf wil hebben?
Omdat ze zelf een server hebben staan. Er is (nog) geen reden om aan te nemen dat ze onze source gaan gebruiken, het moet alleen wel voorkomen worden.

En waarom is dit niet netjes? Als je Office koopt, krijg je toch ook niet de source? Zo werkt het gewoon, een CMS is ook een programma. Als we het WEL in een DLL of COM hadden gestopt konden ze er nog niks mee.

Zie het zo: Microsoft wilt jouw graag de Office sourcecode verkopen, mits je genoeg geld (enkele miljoenen/miljarden?) neerlegt :) Niet dat het SLIM is om dat pakket te verkopen, ik gebruik dit voorbeeld om aan te geven dat het normaal is..

Zie ook andere CMS pakketten (Trillion oid) - die leveren volgens mij ook niet standaard hun source code compleet bij het pakket...

In ieder geval, wij niet. Daar hebben ze niet voor betaald.

dinsdag 25 november 2003 15:40

Acties:

Verwijderd

In ieder geval, wij niet. Daar hebben ze niet voor betaald.
wat zijn jullie een stelletje st*kkers zeg >:)

hahaha maar ff zonder dollen, jullie staan 100% in jullie recht!
Voorkomen is beter dan genezen is mijn motto!
Als zij een hoop "garbage" krijgen zullen ze zich wel 2x bedenken voordat ze dat zullen gaan uitpluizen.
Kijk als ze echt willen is er geen houden aan, maar dit verhoogt de drempel toch wel met een factor 10 :)

dinsdag 25 november 2003 15:40

Acties:
  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 18:08

gorgi_19

Kruimeltjes zijn weer op :9

Wat heb jij aan de source van MS Office? Je hebt immers het pakket zelf niet eens in eigendom, alleen een gebruiksrecht. Daarnaast is het niet noodzakelijk om deze code mee te leveren.

Daarnaast ken ik wel andere CMS-pakketten, waarbij de source ook meegeleverd wordt, zonder obfuscation. Dit is met contracten wel redelijk dicht te timmeren.

Digitaal onderwijsmateriaal, leermateriaal voor hbo

dinsdag 25 november 2003 15:40

Acties:

Verwijderd

Mij is altijd verteld dat het bedrijf eigenaar blijft van de code. Zelfs als je het pakket koopt. Je kunt het vergelijken met het kopen van een game. Je krijgt de code dan ook, alleen de source files, daar kun je niet bij.

Als een klant dan ook een CMS oid koopt bij een bedrijf, dan blijft het bedrijf (en niet de werknemer) eigenaar van de source code. Uiteraard kan het bedrijf die rechten verkopen.

dinsdag 25 november 2003 15:41

Acties:
  • Grijze Vos
  • Registratie: December 2002
  • Laatst online: 21-02 23:50

Grijze Vos

Gewoon contractueel vast leggen dat ze de code:

- niet aan derden mogen geven;
- niet mogen wijzigen;
- enkel en alleen voor deze site gebruiken.

Uiteindelijk was het verstandiger geweest om vantevoren al vast te leggen dat ze verplicht bij jullie hosting vast zaten, e.d.

Op zoek naar een nieuwe collega, .NET webdev, voornamelijk productontwikkeling. DM voor meer info

dinsdag 25 november 2003 15:43

Acties:
  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 18:08

gorgi_19

Kruimeltjes zijn weer op :9

Grijze Vos schreef op 25 november 2003 @ 15:41:
Gewoon contractueel vast leggen dat ze de code:

- niet aan derden mogen geven;
- niet mogen wijzigen;
- enkel en alleen voor deze site gebruiken.

Uiteindelijk was het verstandiger geweest om vantevoren al vast te leggen dat ze verplicht bij jullie hosting vast zaten, e.d.
In dat geval ben je in principe een ASP; alleen dat is een beleidswijziging die ze dan moeten overwegen. :)

Digitaal onderwijsmateriaal, leermateriaal voor hbo

dinsdag 25 november 2003 15:45

Acties:
  • davhor
  • Registratie: Mei 2003
  • Laatst online: 02-12-2025

davhor

www.fon.com

Is het niet mogelijk om je CMS zo te herschrijven dat het ten alle tijden een aantal belangrijke asp bestanden nodig heeft vanaf jullie eigen server. Dus invisible ophalen van gegevens en coding vanaf jullie eigen server. Gaat de gebruiker de code aanpassen of hergebruiken, dan komen ze een flink stukje sourcecode tekort.

FON - WiFi for Everyone | Flickr

dinsdag 25 november 2003 15:46

Acties:
  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 18:08

gorgi_19

Kruimeltjes zijn weer op :9

davhor schreef op 25 november 2003 @ 15:45:
Is het niet mogelijk om je CMS zo te herschrijven dat het ten alle tijden een aantal belangrijke asp bestanden nodig heeft vanaf jullie eigen server. Dus invisible ophalen van gegevens en coding vanaf jullie eigen server. Gaat de gebruiker de code aanpassen of hergebruiken, dan komen ze een flink stukje sourcecode tekort.
Nadeel is wel dat het flink wat performance kan kosten. En als je het in application vars stopt, kan je het alsnog uitlezen.

Digitaal onderwijsmateriaal, leermateriaal voor hbo

dinsdag 25 november 2003 15:47

Acties:
  • Grijze Vos
  • Registratie: December 2002
  • Laatst online: 21-02 23:50

Grijze Vos

gorgi_19 schreef op 25 november 2003 @ 15:43:
[...]

In dat geval ben je in principe een ASP; alleen dat is een beleidswijziging die ze dan moeten overwegen. :)
Uiteraard ;) Ikzelf zit met een soortgelijk probleem. Ik schrijf assembly programma's op freelance basis, en mn baas wil nu de source deponeren. Alles wat tot nu toe afgesproken is is op mondelinge basis. En voordat alles schriftelijk vaststaat zoals ik dat wil, krijgt ie mn code niet :) Kwestie van goed aanpakken, lijkt me.

Op zoek naar een nieuwe collega, .NET webdev, voornamelijk productontwikkeling. DM voor meer info

dinsdag 25 november 2003 15:53

Acties:
  • 4of9
  • Registratie: Maart 2000
  • Laatst online: 15-04 15:52

4of9

je kunt ook gewoon een "licentie" toevoegen en de source "verkopen".

Aspirant Got Pappa Lid | De toekomst is niet meer wat het geweest is...

woensdag 26 november 2003 05:08

Acties:
  • GrimaceODespair
  • Registratie: December 2002
  • Laatst online: 05:27

GrimaceODespair

eens een tettenman, altijd ...

Ik weet niet hoe groot je bedrijf is, maar het lijkt mij vrij makkelijk aan te tonen wanneer zij jullie code zouden gaan gebruiken, of zelfs alleen maar hun code erop zouden gaan baseren. Ik bedoel maar: waarom niet gewoon voor het contract gaan? Dan kan je hen daarna nog altijd sue-en >:) Lijkt me iig verdacht als ze over een jaar uitpakken met een gelijkaardig pakket als dat van jullie :)

offtopic:
@Alex de Groot: met zo'n imposante quote van Ronald Giphart, verwacht ik toch op zijn minst feilloos gespelde posts: voorbaad?

Wij onderbreken deze thread voor reclame:
http://kalders.be

woensdag 26 november 2003 05:19

Acties:
  • Vampier
  • Registratie: Februari 2001
  • Laatst online: 20-04-2015

Vampier

poke-1,170

http://msdn.microsoft.com.../seUsingScriptEncoder.asp

nog wel terug te coderen maar voor de doorsnee klant toch voldoende ;)

woensdag 26 november 2003 09:55

Acties:

Verwijderd

Ik weet niet hoe groot je bedrijf is, maar het lijkt mij vrij makkelijk aan te tonen wanneer zij jullie code zouden gaan gebruiken, of zelfs alleen maar hun code erop zouden gaan baseren.
tja dat is natuurlijk lastig, hun gaan variabele namen aanpassen, functies optimaliseren/aanpassen en daar sta je dan....
juridisch getouwtrek, kost een berg geld en dat kan zo redelijk eenvoudig voorkomen worden! Ik zou voor de EN EN situatie gaan, en de code verkrachten en een contract opstellen!

daalt de performance van je scripts eigenlijk niet dramatisch als je het zo gaat "verbaggeren"?

woensdag 26 november 2003 12:45

Acties:

Verwijderd

en als je dan vervolgens een [gevolg] gaat opstellen, schroom niet om daar een flinke boete tegen over te zetten, 250.000 euro zijn hele normale bedragen in dat soort contracten.
Pagina: 1
Reageer