Broncode bescherming

woensdag 11 februari 2004 17:54

Devver

Pixelated

nee, javascript kan je niet, nooit en te nimmer volledig beveiligen. Je kan het hooguit obfuscaten zodat je in ieder geval alle n00bs al afschrikt. En is wat jij wilt afschermen nou werkelijk zo bijzonder???

PS, ik zou het op prijs stellen als je het forum laat bepalen waar een doorlopende zin wordt afgebroken; dit leest erg onprettig...

[ Voor 25% gewijzigd door crisp op 11-02-2004 17:52 ]

Intentionally left blank

Acties:

Willem

Als het inderdaad zo bijzonder is moet je je sterk afvragen of je het wel met JavaScript wilt beveiligen. En als je op deze site rant hoef je hier wat mij betreft geen feedback te verwachten.

Motor (of auto) onderhoud bijhouden

woensdag 11 februari 2004 17:55

Acties:

deDorus

Meisje, ik ben een C-man...

IE ondersteunt JavaScript encoding. Hiervoor heeft Microsoft een encoder welke gratis is te downloden. Groot nadeel is wel dat het alleen werkt voor IE.

Acties:

Verwijderd

crisp schreef op 11 februari 2004 @ 17:51:
PS, ik zou het op prijs stellen als je het forum laat bepalen waar een doorlopende zin wordt afgebroken; dit leest erg onprettig...

In outlook zit een handige functie: "De extra regeleinden zijn verwijderd in dit bericht" misschien maar eens indienen als Feature Request

Acties:

Devver

Pixelated

willem169 schreef op 11 februari 2004 @ 17:54:
Als het inderdaad zo bijzonder is moet je je sterk afvragen of je het wel met JavaScript wilt beveiligen. En als je op deze site rant hoef je hier wat mij betreft geen feedback te verwachten.

ik hoop toch dat hij met die rant de "code-protection sites" bedoeld....
ik ben ook niet zo dol op

smilies eigenlijk...

Intentionally left blank

Acties:

Verwijderd

deDorus schreef op 11 februari 2004 @ 17:55:
IE ondersteunt JavaScript encoding. Hiervoor heeft Microsoft een encoder welke gratis is te downloden. Groot nadeel is wel dat het alleen werkt voor IE.

en een kleuter van 5 kan het decoderen

Acties:

woensdag 11 februari 2004 18:22

Devver

Pixelated

deDorus schreef op 11 februari 2004 @ 17:55:
IE ondersteunt JavaScript encoding. Hiervoor heeft Microsoft een encoder welke gratis is te downloden. Groot nadeel is wel dat het alleen werkt voor IE.

Groot voordeel is dat de decoder ook niet moeilijk te vinden is

Intentionally left blank

Acties:

coubertin119

Je broncode moet naar de client, en van zodra die daar is aangekomen, valt deze te lezen. Kan je 0,0 aan veranderen. Trouwens, wat is er zo bijzonder aan je applicatie dan?

Je kan ook Flash gebruiken, met een binding langs een server oid. Dan ben je toch al iets veiliger denk ik.

Skat! Skat! Skat!

woensdag 11 februari 2004 18:48

Acties:

Johnny

ondergewaardeerde internetguru

Of een Java-Applet.

Maar hoe dan ook: als je daadwerkelijk een goed idee hebt wordt het toch wel overgenomen, en als men de broncode niet kan zien maakt men het gewoon na.

Aan de inhoud van de bovenstaande tekst kunnen geen rechten worden ontleend, tenzij dit expliciet in dit bericht is verwoord.

woensdag 11 februari 2004 18:51

Acties:

OkkE

CSS influencer :+

Zoals al een aantal maal verteld, kan je client-side code niet beveiligen. Maar zoals ook al eerder gezegd, lijkt me obfuscaten prima. Gewoon bijv. de var gebruikersnaam te vervangen door a en zo verder. Zo maak je het de n00bs ontzettend moeilijk, en de mensen die wel weten waar ze mee bezig zijn kunnen de meeste scripts toch wel zelf schrijven.

“The best way to get the right answer on the Internet is not to ask a question, it's to post the wrong answer.”
QA Engineer walks into a bar. Orders a beer. Orders 0 beers. Orders 999999999 beers. Orders a lizard. Orders -1 beers.

woensdag 11 februari 2004 19:06

Acties:

woensdag 11 februari 2004 19:06

I'd go for the flash part

Acties:

woensdag 11 februari 2004 19:11

Topicstarter

Sorry Tweakers. Was een beetje gefokt en het kwam er wat lullig uit, ik wil niet ranten, maar ik vind het wel belangrijk dat, reacties to the point blijven. Vaak komen er zinnige reacties (zoals die over obscu.. nog iets), maar ik stoor me regelmatig aan bijdehande replies van diegene die oordelen of iets nodig is voor iemand anders. Als ik iets wil beveiligen is dat mijn zaak. Het gaat er volgens mij om, dat er hier uitgewisseld wordt hoe dingen technisch in elkaar zitten, dat is leuk. By the way: Met Java kun je toch ook alles maken wat je met Javascript kan

A friend is one who knows us, but loves us anyway.

Acties:

woensdag 11 februari 2004 19:12

Oysterhoys schreef op 11 februari 2004 @ 19:06:
By the way: Met Java kun je toch ook alles maken wat je met Javascript kan

Nee. JavaScript is een instructietaal voor de browser. Je kunt dus communiceren met de browser en zo interactiviteit en integratie van dingen in je browser verzorgen.

Java is een taal waarmee je applicaties bouwt, die in een java virtual machine draaien. Die komen dus niet 'buiten hun raampje'; ze kunnen (als het goed is) niks buiten hun VM aanpassen.

Acties:

woensdag 11 februari 2004 19:13

Devver

Pixelated

Oysterhoys schreef op 11 februari 2004 @ 19:06:
Sorry Tweakers. Was een beetje gefokt en het kwam er wat lullig uit, ik wil niet ranten, maar ik vind het wel belangrijk dat, reacties to the point blijven. Vaak komen er zinnige reacties (zoals die over obscu.. nog iets), maar ik stoor me regelmatig aan bijdehande replies van diegene die oordelen of iets nodig is voor iemand anders. Als ik iets wil beveiligen is dat mijn zaak. Het gaat er volgens mij om, dat er hier uitgewisseld wordt hoe dingen technisch in elkaar zitten, dat is leuk.

En daarom zijn er ook moderators

By the way: Met Java kun je toch ook alles maken wat je met Javascript kan

Java is een heel andere technologie dan javascript; clientside java in de vorm van applets vereisen bijvoorbeeld de aanwezigheid van een VM (Virtual Machine) op de client (net als flash een plugin vereist); verder is er uiteraard wel interactie mogelijk met het document dat de applet bevat (alles wat binnen dezelfde sandbox valt).
Java applets en ook flash movies bestaan echter uit bytecode die veelal ook eenvoudig te decompilen is.

Intentionally left blank

Acties:

raoulduke

Get in!

Java != JavaScript en je kan niet hetzelfde ermee maken.
JavaScript is per definitie niet te beveiligen op de manier die jij wilt (alleen obfuscaten zoals iemand anders al noemde).

[ Voor 25% gewijzigd door raoulduke op 11-02-2004 19:14 ]

Remember, if you have any trouble you can always send a telegram to the Right People.

woensdag 11 februari 2004 19:31

Acties:

Verwijderd

By the way: Met Java kun je toch ook alles maken wat je met Javascript kan

Mwoh zelf nog wel meer, maar het wordt er wel ongeveer 20x zo langzaam van

woensdag 11 februari 2004 19:40

Acties:

woensdag 11 februari 2004 19:49

Topicstarter

Er zou een term voor het misplaats oordelen van anderen moeten komen. JudgeJudy-ing of zo, Mobben : Minding Otherspeoples Bussiness

A friend is one who knows us, but loves us anyway.

Acties:

woensdag 11 februari 2004 19:52

Oysterhoys schreef op 11 februari 2004 @ 19:40:
Er zou een term voor het misplaats oordelen van anderen moeten komen. JudgeJudy-ing of zo, Mobben : Minding Otherspeoples Bussiness

pardon? we proberen je te helpen, en je gaat een beetje lopen jammeren?

* HunterPro vindt dat een beetje sneu...

en ja, judge that.

Acties:

woensdag 11 februari 2004 19:52

Topicstarter

Misschien alleen een Java elementje, waardoor het geheel niet meer werkt.
Ik ontleedee een keer een mooi Javascript proef-programma om hele mooie dynamische menu's te maken. Quick Menu Pro , helaas reteduur. Dat werkte offline, maar online kon je er niks mee, om mij duistere redenen, ik dacht daarom aan een mogelijk java onderdeel. Inmiddels kan ik die menu's ook wel zelf maken, maar die beveiligingstruc is mij een raadsel. Misschien hadden ze een gelinkt javascript er in geknutseld dat de boel ontregelde als je online ging.

A friend is one who knows us, but loves us anyway.

Acties:

vassago

HunterPro schreef op 11 februari 2004 @ 19:49:
[...]

pardon? we proberen je te helpen, en je gaat een beetje lopen jammeren?

* HunterPro vindt dat een beetje sneu...

en ja, judge that.

En dat voor iemand met maar liefst 15 posts, waarvan minstens 4 topicstarts zijn.

modbreak: hou dat soort opmerkingen liever voor je..

[ Voor 14% gewijzigd door crisp op 11-02-2004 23:12 ]

woensdag 11 februari 2004 19:53

Acties:

woensdag 11 februari 2004 19:54

Oysterhoys schreef op 11 februari 2004 @ 19:52:
Misschien alleen een Java elementje, waardoor het geheel niet meer werkt.
Ik ontleedee een keer een mooi Javascript proef-programma om hele mooie dynamische menu's te maken. Quick Menu Pro , helaas reteduur. Dat werkte offline, maar online kon je er niks mee, om mij duistere redenen, ik dacht daarom aan een mogelijk java onderdeel. Inmiddels kan ik die menu's ook wel zelf maken, maar die beveiligingstruc is mij een raadsel. Misschien hadden ze een gelinkt javascript er in geknutseld dat de boel ontregelde als je online ging.

Laat een stukje flash met je javascript interacten. Denk dat je daar wel mee op weg komt.

Acties:

woensdag 11 februari 2004 20:37

Topicstarter

Jullie hebben ook wat te melden!

Het 'mobbing' wordt juist gedaan door mensen die niks te melden hebben en toch iets willen melden

A friend is one who knows us, but loves us anyway.

Acties:

Verwijderd

Hoe bescherm ik mijn javascript, deel 23

http://www.cheatah.nl/obscuur

Er staat in de source van het script een stukje commentaar, een enkel woord van 7 letters. Probeer die maar te vinden.
Overigens is het niet zo heel moeilijk, maar als je niet _weet_ dat er geklooid wordt, maakt dat het echt enorm lastig om de echte code te vinden.

Maar goed, ik laat het even aan een ander over om uit te zoeken, en uit te leggen, hoe het werkt.

woensdag 11 februari 2004 20:39

Acties:

woensdag 11 februari 2004 20:43

Verwijderd schreef op 11 februari 2004 @ 20:37:
Hoe bescherm ik mijn javascript, deel 23

http://www.cheatah.nl/obscuur

Er staat in de source van het script een stukje commentaar, een enkel woord van 7 letters. Probeer die maar te vinden.
Overigens is het niet zo heel moeilijk, maar als je niet _weet_ dat er geklooid wordt, maakt dat het echt enorm lastig om de echte code te vinden.

Maar goed, ik laat het even aan een ander over om uit te zoeken, en uit te leggen, hoe het werkt.

netjes verstopt cheat, helaas kende ik het geintje ook al

code:

1	// jackpot

[ Voor 3% gewijzigd door HunterPro op 11-02-2004 20:45 ]

Acties:

OkkE

CSS influencer :+

Hmmm de echte alert heb ik wel gevonden, maar het commentaar van 7 tekens..

_{Grr, kan het gewoon niet vinden, zwaar frustrerend.}

[ Voor 31% gewijzigd door OkkE op 11-02-2004 20:52 ]

woensdag 11 februari 2004 20:43

Acties:

André

Analytics dude

Volgens mij heb ik de 7 letters, wie kan er nog meer achter komen? Ik vind het wel een heel mooi trucje.

offtopic:
Did i win the jackpot now?????

[ Voor 19% gewijzigd door André op 11-02-2004 20:44 ]

woensdag 11 februari 2004 20:45

Acties:

Scorpion

not to lame to read BitchX.doc

Verwijderd schreef op 11 februari 2004 @ 20:37:
Hoe bescherm ik mijn javascript, deel 23

http://www.cheatah.nl/obscuur

Er staat in de source van het script een stukje commentaar, een enkel woord van 7 letters. Probeer die maar te vinden.
Overigens is het niet zo heel moeilijk, maar als je niet _weet_ dat er geklooid wordt, maakt dat het echt enorm lastig om de echte code te vinden.

Maar goed, ik laat het even aan een ander over om uit te zoeken, en uit te leggen, hoe het werkt.

erg grappig

je leest er zo overheen

woensdag 11 februari 2004 20:47

Acties:

coubertin119

OkkE: die echte alert is dan ook zooo moeilijk te vinden

.

En dank aan IE6, omdat hij de echte JS niet herkende save'de ik de source en ontdekte ik 'em

Skat! Skat! Skat!

woensdag 11 februari 2004 20:59

Acties:

Ethnocentrix

Rijkserkend prutser

ik heb m

Als je mozilla gebruikt is ie echt lastig, omdat mozilla het gewoon doet zoals het hoort, en internet explorer het bestand wil downloaden.

You know you're an engineer if you have no life & can prove it mathematically.

woensdag 11 februari 2004 21:02

Acties:

Verwijderd

ja ach, je kijkt er misschien snel over heen, maar er is maar 1 plaats waar je moet zoeken en dan heb je t zo gevoeken

woensdag 11 februari 2004 21:04

Acties:

raoulduke

Get in!

D'r was ook eens zo'n hack test pagina in Star Trek stijl, daarop was een beveiliging door een directorynaam zo te noemen dat het een domeinnaam leek. Door er geen http voor te zetten werd de data dus van de originele server afgehaald, terwijl op de 'domein-directory' een nep scriptje stond, wat dus heel verwarrend was. Door met een sniffer te kijken naar de HTTP requests kom je echter altijd achter *wat* er van *waar* geladen wordt.

[ Voor 4% gewijzigd door raoulduke op 11-02-2004 21:05 ]

Remember, if you have any trouble you can always send a telegram to the Right People.

woensdag 11 februari 2004 21:09

Acties:

Verwijderd

alert('en toch klopt er iets niet...');

waar komt die dan weer vandaan?

woensdag 11 februari 2004 21:13

Acties:

Verwijderd

Verwijderd schreef op 11 februari 2004 @ 21:09:
alert('en toch klopt er iets niet...');

waar komt die dan weer vandaan?

JA dat is dat vraag

woensdag 11 februari 2004 21:14

Acties:

woensdag 11 februari 2004 21:15

Verwijderd schreef op 11 februari 2004 @ 21:09:
alert('en toch klopt er iets niet...');

waar komt die dan weer vandaan?

omdat het een script src betreft, wordt code tussen de <script> en </script> niet uitgevoerd.

Een beetje het zelfde effect als een <iframe src="www.tweakers.net">je browser ondersteunt geen iframes</iframe>

In je uiteindelijke code wil je dus tussen die <script> tags code zetten die líjkt alsof ie werkt, maar dat feitelijk niet doet

dan kun je goed fucken met iemands inzicht voor de site

[ Voor 26% gewijzigd door HunterPro op 11-02-2004 21:15 ]

Acties:

Spider.007

* Tetragrammaton

Gaan we niet te ver offtopic over 1 voorbeeld van het beveiligen van code?

Het lijkt me dat de TS iets meer inzicht zal moeten geven wil hij nuttige tips krijgen

Wil je bijvoorbeeld een idee beveiligen of de manier waarop dit idee is geimplementeerd?

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

woensdag 11 februari 2004 21:15

Acties:

OkkE

CSS influencer :+

lamaar..

[ Voor 135% gewijzigd door OkkE op 11-02-2004 21:17 ]

woensdag 11 februari 2004 21:16

Acties:

Verwijderd

TS kan beginnen om alle variabelen om te zetten naar ascii codes, daarna obfuscate je zo nog een beetje, gooi er wat troep door heen, verander de variabele namen naar c01 tmt c99

woensdag 11 februari 2004 21:18

Acties:

Verwijderd

@hunterpro

dat snap ik en die source zie ik ook wel als ik 'm met ie download (incl comment) alleen als ik http://www.cheatah.nl/obscuur/text/javascript in mozilla open krijg ik dat stuk text hierboven. En geen idee waar dat vandaan komt

[ Voor 5% gewijzigd door Verwijderd op 11-02-2004 21:19 ]

woensdag 11 februari 2004 21:19

Acties:

Verwijderd

Ha Ha inderdaad een goeie, je leest er erg snel overheen (//jackpot

)
Het kan best bruikbaar zijn zeker als je hier en daar de code nog eens onleesbaar probeert te maken (zoal hiervoor vermeld is)

[ Voor 48% gewijzigd door Verwijderd op 11-02-2004 21:22 . Reden: was te snel ]

woensdag 11 februari 2004 21:21

Acties:

Verwijderd

Verwijderd schreef op 11 februari 2004 @ 21:18:
@hunterpro

dat snap ik en die source zie ik ook wel als ik 'm met ie download (incl comment) alleen als ik http://www.cheatah.nl/obscuur/text/javascript in mozilla open krijg ik dat stuk text hierboven. En geen idee waar dat vandaan komt

Doe dan eens viewsource

woensdag 11 februari 2004 21:30

Acties:

jonggoud.nl

@>--"--,--{

[verpestmode]
er staat"

HTML:

1
2
3

<script src="text/javascript">
        alert('maar wat er zo vreemd is, is niet helemaal duidelijk...');
      </script>

er wordt dus een bestandje in /text/ geinclude (het bestand heet javascript) ... Je zal denken dat dit een alert is, maar dat is het dus niet, het is een src (source) include van een ander bestandje.

en daar staat dan in:

JavaScript:

1	alert('en toch klopt er iets niet...');

Beetje flauw dus om zo te beschermen. Javascript is dus niet te beschermen. Misschien moet je het in flash maken? (of java... etc. etc.)

[ Voor 29% gewijzigd door jonggoud.nl op 11-02-2004 21:33 ]

Nieuw (groots) project, mail me wat je er van vindt
Tevens in het bezit van een beeldschone vriendin

woensdag 11 februari 2004 21:31

Acties:

André

Analytics dude

Verwijderd schreef op 11 februari 2004 @ 21:18:
@hunterpro

dat snap ik en die source zie ik ook wel als ik 'm met ie download (incl comment) alleen als ik http://www.cheatah.nl/obscuur/text/javascript in mozilla open krijg ik dat stuk text hierboven. En geen idee waar dat vandaan komt

Simpel toch: in de map "text" staat een bestand dat "javascript" heet.

woensdag 11 februari 2004 21:36

Acties:

Verwijderd

ja, en in dat bestand "javascript" staat:
alert('er is hier iets vreemds aan de hand...');// jackpot

en dus niet de text:
alert('en toch klopt er iets niet...');

en waar die vandaan komt heb ik nog niet door

woensdag 11 februari 2004 21:40

Acties:

Verwijderd

Nou eigenlijk is het heel simpel. Als er geen referrer header wordt meegestuurd die begint met de domeinnaam van de server, dan krijg je van een PHP scriptje een verkeerd stuk javascript terug. En dat gebeurt dus als je in mozilla de url in de adresbalk tikt. IE haalt hem blijkbaar uit de cache, anders zou het een security issue zijn.

woensdag 11 februari 2004 21:48

Acties:

Verwijderd

maar cachen kan je tegengaan, misschien is dat wat voor de TS, ipv een .js een .php includen en dan idd checken op die referrer.

Ik vraag me af of je 'm dan nog ergens vandaan kan halen eigenlijk... (ja de referrer faken)

woensdag 11 februari 2004 21:53

Acties:

woensdag 11 februari 2004 21:57

Topicstarter

Deze topic gaat een obscure kant op. Als ik dat als TS mag opmerken. Het blijft irritant als je in een jaar in een programma hebt geinvesteerd en je kan er niks aan verdienen,omdat het zo van het net getrokken kan worden.
Natuurlijk kan alles nagemaakt worden, zo bijzonder ben ik niet, maar laat die persoon er dan ook een tijd mee bezig zijn. Al de tips die nu worden gegeven zijn wel handig, zeg maar een hoop rookgordijnen optrekken. Ik blijf benieuwd naar 'hardere' beveiliging, zoals die encryptie software die op de markt is. Stelt dat nou echt wat voor ? Die bedrijven beloven veel, maar ik kwam er al een tegen met een testpagina die ik met mozilla zo van het net trok, dat beloofde veel. Die bedrijven kunnen zo veel beloven, maar hier hoop ik de waarheid van de insiders te vinden.
Wat is de beste oplossing ?

A friend is one who knows us, but loves us anyway.

Acties:

Spider.007

* Tetragrammaton

Oysterhoys schreef op 11 februari 2004 @ 21:53:
Deze topic gaat een obscure kant op. Als ik dat als TS mag opmerken. Het blijft irritant als je in een jaar in een programma hebt geinvesteerd en je kan er niks aan verdienen,omdat het zo van het net getrokken kan worden.
Natuurlijk kan alles nagemaakt worden, zo bijzonder ben ik niet, maar laat die persoon er dan ook een tijd mee bezig zijn. Al de tips die nu worden gegeven zijn wel handig, zeg maar een hoop rookgordijnen optrekken. Ik blijf benieuwd naar 'hardere' beveiliging, zoals die encryptie software die op de markt is. Stelt dat nou echt wat voor ? Die bedrijven beloven veel, maar ik kwam er al een tegen met een testpagina die ik met mozilla zo van het net trok, dat beloofde veel. Die bedrijven kunnen zo veel beloven, maar hier hoop ik de waarheid van de insiders te vinden.
Wat is de beste oplossing ?

Nogmaals... Wat wil je beschermen (idee / uitwerking) en wat verwacht je van ons behalve technische tips?

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

woensdag 11 februari 2004 22:02

Acties:

Genoil

Oysterhoys schreef op 11 februari 2004 @ 21:53:
Deze topic gaat een obscure kant op. Als ik dat als TS mag opmerken. Het blijft irritant als je in een jaar in een programma hebt geinvesteerd en je kan er niks aan verdienen,omdat het zo van het net getrokken kan worden.
Natuurlijk kan alles nagemaakt worden, zo bijzonder ben ik niet, maar laat die persoon er dan ook een tijd mee bezig zijn. Al de tips die nu worden gegeven zijn wel handig, zeg maar een hoop rookgordijnen optrekken. Ik blijf benieuwd naar 'hardere' beveiliging, zoals die encryptie software die op de markt is. Stelt dat nou echt wat voor ? Die bedrijven beloven veel, maar ik kwam er al een tegen met een testpagina die ik met mozilla zo van het net trok, dat beloofde veel. Die bedrijven kunnen zo veel beloven, maar hier hoop ik de waarheid van de insiders te vinden.
Wat is de beste oplossing ?

Als je een jaar geleden heb besloten een stuk software te gaan schrijven in Javascript waarmee je van plan was nu geld te gaan verdienen, dan heb je naar mijn mening een fout gemaakt die niet zomaar op te lossen is. Porten naar Java, C# of Flash zou ik zeggen

woensdag 11 februari 2004 22:08

Acties:

Anders

Was het niet verstandiger geweest om van tevoren na te gaan of je gekozen techniek te beveiligen is, voordat je er een jaar in investeert? Met JavaScript zal het bij rookgordijnen blijven, dat is nou eenmaal inherent aan JavaScript. Je bent niet de eerste met deze vraag en je zult ook niet de laatste zijn, maar dat verandert er helaas weinig aan.

Ik heb een tijd geleden een geldbedrag uitgeloofd voor degene die clientside broncode (HTML/javascript) dusdanig kon beveiligen dat deze niet meer te reprodurecen (en aan te passen) was. Dit moet ook op GoT nog wel terug te vinden zijn. Resultaat: niks, nakkes, nada. Het kan gewoon niet waterdicht.

De beste oplossing is om tenminste een deel van je techniek niet in JavaScript te ontwikkelen.

Ik spoor veilig of ik spoor niet.

woensdag 11 februari 2004 22:08

Acties:

Verwijderd

Oysterhoys schreef op 11 februari 2004 @ 21:53:
Deze topic gaat een obscure kant op. Als ik dat als TS mag opmerken. Het blijft irritant als je in een jaar in een programma hebt geinvesteerd en je kan er niks aan verdienen,omdat het zo van het net getrokken kan worden.
Natuurlijk kan alles nagemaakt worden, zo bijzonder ben ik niet, maar laat die persoon er dan ook een tijd mee bezig zijn. Al de tips die nu worden gegeven zijn wel handig, zeg maar een hoop rookgordijnen optrekken. Ik blijf benieuwd naar 'hardere' beveiliging, zoals die encryptie software die op de markt is. Stelt dat nou echt wat voor ? Die bedrijven beloven veel, maar ik kwam er al een tegen met een testpagina die ik met mozilla zo van het net trok, dat beloofde veel. Die bedrijven kunnen zo veel beloven, maar hier hoop ik de waarheid van de insiders te vinden.
Wat is de beste oplossing ?

Je hebt een programma geschreven in javascript

Is het mogelijk om jouw javascript op een server uit te laten voeren, zodat de client alleen de kant en klare code krijgt ipv je complete sourcecode.

Het is godsonmogelijk (zoals al 30x verteld) om het helemaal waterdicht te maken, alle code moet namelijk (als plaintext) door de browser worden geinterpreteerd. Dit kun je niet tegenhouden, je kunt de mensen die je script willen kopieeren het alleen een beetje moeilijker maken, maar als het de moeite waard is om te jatten doen ze het toch wel.

woensdag 11 februari 2004 22:19

Acties:

woensdag 11 februari 2004 22:22

Topicstarter

Ik maak een site daar kan een bezoeker iets interessants beleven, Ik ga niet zeggen wat het exact is, Sorry. Maar het gaat om het principe. Voor die dienst moet de gebruiker een gegeven ogenblik voor gaan betalen. Als een slimmerik dat van het net haalt een beetje bijschaaft en onder zijn vrienden verdeelt, die het weer onder hun vrienden verdelen, etc. dan gaat niemand meer naar mijn site toe. Dit lijkt me toch niet zo onduidelijk. Je komt het zo vaak tegen, het geld voor elke software -ontwikkelaar, het is allemaal te makkelijk te copieren. Dat is het voordeel van een online-programma. Tenminste als men niet bij de bron kan komen. Daarom is er o.a. encryptie software op de markt. Maar ik ben benieuwd of iemand weet of die echt werken, en of er eventueel andere wegen zijn om je client-site code op andere wijze werkelijk te beschermen.. Anders heb ik pech gehad en ga ik wel een beetje , hoe heet het obfuscaten of zo, en wat andere trucs , om het in ieder geval moeilijk te maken.
Wat schitterend zou zijn, is het programma wat ik eerder beschreef Quick Menu Pro, van Open Cube. Je kan zo een proefversie downloaden,
http://www.opencube.com/downloads.html
het is gewoon Javascript, voorzover ik het kon overzien, je kan het thuis proberen,
en heel simpel heel moiie drop-down-menu's mee maken. maar online werkt het niet, zoiets dergelijks is voor mij mysterieus, maar perfect. Misschien kende iemand het.

A friend is one who knows us, but loves us anyway.

Acties:

woensdag 11 februari 2004 22:26

Topicstarter

Ik geloof dat iedereen het gehad heeft.
Ik zal niet meer zeuren, bedankt allen voor het meedenken.

A friend is one who knows us, but loves us anyway.

Acties:

disjfa

die dingen van opencube kan je ook gewoon zelf schrijven hoor. het is allemaal niet zo moeilijk. en ga nou niet zeggen dat je een menu van opencube zelf wou gebruiken en je er zelf niet uit komt. want daar begint het nu wel heel erg op te gaan lijken.

javascripts kan je zo gebruiken van alles en iedereen. je moet alleen wel zelf het inzicht hebben wat ze doen en hoe javascript werkt.

als je iets secuurs wilt ga je zelf niet een site bouwen in alleen javascript. dat is niet secuur.

disjfa - disj·fa (meneer)
disjfa.nl

woensdag 11 februari 2004 22:34

Acties:

Verwijderd

Oysterhoys schreef op 11 februari 2004 @ 22:22:
Ik geloof dat iedereen het gehad heeft.
Ik zal niet meer zeuren, bedankt allen voor het meedenken.

Ja dat denk ik ook, iedereen heeft nu ongeveer 30x gezegd dat het niet te beveiligen valt... en jij blijft maar vragen of het wel kan.

Edit: ff naar dat menu gekeken; als je hem locaal bekijkt krijg je geen alert, bekijk ik hem op mijn localhost krijg ik wel een alert:

Error - Unregistered OpenCube DHTML Effect - (www.opencube.com)

Deze foutmelding wordt veroorzaakt door: function q28()

die zich bevindt in tdqm_loader.js

voer de volgende code maar eens uit in een browser:

code:

<script>
alert(String.fromCharCode(69,114,114,111,114,32,45,32,85,110,114,101,
103,105,115,116,101,114,101,100,32,79,112,101,110,67,117,98,101,32,
68,72,84,77,76,32,69,102,102,101,99,116,32,45,32,40,119,119,119,46,
111,112,101,110,99,117,98,101,46,99,111,109,41))
</script>

(wel ff zorgen dat alles op 1 regel staat!!)

Dus die waterdichte beveiliging is al na 5 minuten lek.

(btw ik ga natuurlijk niet vertellen hoe je die beveiliging er uit krijg, want da mag niet van de policy)

[ Voor 53% gewijzigd door Verwijderd op 11-02-2004 22:44 ]

woensdag 11 februari 2004 22:45

Acties:

woensdag 11 februari 2004 22:49

Topicstarter

Disjfa ?!? Niet zo aardig..Zoals de waard is vertrouwt hij zijn gasten. Blijft gewoon mooi hoe ze de beveiliging gedaan hebben, als methode. Die menu's maak ik inmiddels zelf ook wel. Als ik je een menutje vanmezelf moet mailen dan moet je het maar zeggen. Het is gewoon een methode, voor mij raadselachtige , maar interessante methode om een javascript te beschermen en misschien waren er meer. Blijkbaar op dit forum niet bekend.

A friend is one who knows us, but loves us anyway.

Acties:

woensdag 11 februari 2004 22:57

Topicstarter

Sorry Mabit. Ik had jouw reply nog niet gelezen. Dat vind ik werkelijk heel knap van je. Ik hoef het niet te weten, maar ik begrijp dat het zo te kraken is.
Daar heb ik wat aan, al is het een illusie armer. Ik zal er nog eens goed naar kijken, want ik begrijp nog niet 123 wat je bedoelt.

A friend is one who knows us, but loves us anyway.

Acties:

Verwijderd

Oysterhoys schreef op 11 februari 2004 @ 22:49:
Sorry Mabit. Ik had jouw reply nog niet gelezen. Dat vind ik werkelijk heel knap van je. Ik hoef het niet te weten, maar ik begrijp dat het zo te kraken is.
Daar heb ik wat aan, al is het een illusie armer. Ik zal er nog eens goed naar kijken, want ik begrijp nog niet 123 wat je bedoelt.

Er valt ook helemaal niets te kraken, het enige wat er gebeurd is dat je een alrt box voor je neus krijgt met daarin een melding van een error. Deze alert tover je 1,2,3 weg. Probleem opgelost.

woensdag 11 februari 2004 22:57

Acties:

bakakaizoku

ik zat zelf aan een bescherming te denken voor bepaalde jsjes, en heb er vandaag ook even naar gekeken, wat dus niet echt moeilijk was zoals een admin eerder al aangaf..

http://dev.drn3.com/protekt.php en http://dev.drn3.com/test.php (de js)

tenzij je de referer faked, krijg je de js niet te zien...

PHP:

<?
        if ($_SERVER['HTTP_REFERER'] != "http://dev.drn3.com/protekt.php")
                die("don't steal this script bebe");
?>

alert("hoi 8-)");

je kan het wel op meerdere manieren op lossen, door bijvoorbeeld een variable intern met php door te sturen, zodat het wat minder makkelijk te pakken is

[ Voor 55% gewijzigd door bakakaizoku op 11-02-2004 23:00 ]

rm -rf ~/.signature

woensdag 11 februari 2004 23:02

Acties:

woensdag 11 februari 2004 23:03

Devver

Pixelated

Microsoft en vele andere softwarefabrikanten spenderen ook veel tijd en geld aan het beschermen van hun software tegen piracy, en toch wordt het elke keer weer gekraakt. De vraag is: wat wil je precies beschermen? Ik heb de afgelopen jaren vele verschillende manieren gezien om javascript te "beschermen" of dusdanig te obfuscaten dat het erg lastig is te achterhalen wat er nou precies gebeurd. Ik ben er nog geen 1 tegengekomen die niet snel door iemand met inzicht, kennis en ervaring te doorzien was.
Ik heb in de GoT Tracker een easter-egg verstopt; als je weet waar je naar moet kijken vindt je 'm wel; de code die uiteindelijk wordt uitgevoerd is ook heerlijk obfuscated. Waarschijnlijk kan ik nog wel ingenieuzere methoden bedenken: ik ben net lekker bezig geweest met bitwise operators (AND, OR, XOR) voor m'n nieuwe lemmings/pumpkins engine; daar valt vast ook wel wat mee te doen mbt 'beveiliging'. 100% veilig is het nooit; als je merkt dat iemand zonder toesteming jouw code gebruikt zal je er toch zelf achter aan moeten - je hebt wat dat betreft iig het recht aan jouw kant. Zoek dus een middenweg, want de perfecte beveiliging bestaat niet...

Intentionally left blank

Acties:

Verwijderd

tenzij je de referer faked, krijg je de js niet te zien...

Wat is het hele nut er dan van? Zo moeilijk is dat niet te faken hoor

woensdag 11 februari 2004 23:04

Acties:

bakakaizoku

Verwijderd schreef op 11 februari 2004 @ 23:03:
[...]

Wat is het hele nut er dan van? Zo moeilijk is dat niet te faken hoor

och, de gemiddelde code hijacker weet niet eens hoe ze die te jatten code moeten schrijven, laat staat een referer faken?

rm -rf ~/.signature

woensdag 11 februari 2004 23:11

Acties:

bakakaizoku

wat ik me ook bedacht, je kan bijvoorbeeld een timestamp meesturen bij het laden van de js ?

<script type="text/javascript" src="js.php?timestamp=<?=$timestampgeval?>"></script>

welke je later weer controleert in de php, dat de marge niet groter is dan een x aantal ms of seconden?

rm -rf ~/.signature

woensdag 11 februari 2004 23:16

Acties:

drm

f0pc0dert

mabit:
Wat is het hele nut er dan van? Zo moeilijk is dat niet te faken hoor

"Security by obscurity"

Verduister een hoop en het lijkt net beveiligd. "Rookgordijnen" werd het net ook al genoemd

Alleen als je echt heel erg graag erachter wilt komen wat die source is zal je het uiteindelijk wel vinden, maar in eerste instantie zal je dus niet snel in de gaten hebben dat het niet echt beveiligd is.

Maar met JavaScript is er (zoals al vaak gezegd) altijd wel een manier. Zo ook met Java, trouwens, want daar zul je toch ook gewoon de .classes van moeten downloaden. Die kun je decompileren en daar kun je dan ook de nodige informatie uithalen. En het zou mij niks verbazen als iets dergelijks met flash ook prima te doen is.

Music is the pleasure the human mind experiences from counting without being aware that it is counting
~ Gottfried Leibniz

woensdag 11 februari 2004 23:16

Acties:

Verwijderd

mattttt schreef op 11 februari 2004 @ 23:04:
[...]

och, de gemiddelde code hijacker weet niet eens hoe ze die te jatten code moeten schrijven, laat staat een referer faken?

Daar heb je gelijk in, maar dat weet ik wel

woensdag 11 februari 2004 23:17

Acties:

drm

f0pc0dert

mattttt:
wat ik me ook bedacht, je kan bijvoorbeeld een timestamp meesturen bij het laden van de js ?

Nee, dat heeft geen zin. Een timestamp meesturen is nog eenvoudiger dan een referer faken

Plus dat je altijd met je cache zit, daarin kun je het toch altijd weer terugvinden.

Music is the pleasure the human mind experiences from counting without being aware that it is counting
~ Gottfried Leibniz

woensdag 11 februari 2004 23:19

Acties:

disjfa

alles wat clientside is kan je openen. klaar. wat drm zegt. overal is een decompiler voor.

offtopic:
wat zie ik nou in je sig staan btw... firebird... wat is dat?

disjfa - disj·fa (meneer)
disjfa.nl

woensdag 11 februari 2004 23:20

Acties:

woensdag 11 februari 2004 23:27

Topicstarter

Dit gaat boven me pet. Ik haak op deze level af. Is een van jullie eventueel bereid eens rustig naar mijn produkt te kijken en mij tegen betaling !! te adviseren over dit onderwerp en andere die er mee samen hangen. (ik weet niet of ik dit soort aanbiedingen mag doen op dit forum, maar het is niet illegaal bedoeld). Het is ook maar een uit de hand gelopen Javascript, voor jullie wellicht een eitje, maar ik zie commerciele mogelijkheden en kan zeker iemand gebruiken die écht weet waar hij over praat en op onderdelen kan meewerken aan of adviseren over de realisering van het produkt. 100% beveiliging kan dus niet, maar optimaliseren wel.

Er zit ook een server-side kant aan, waar ik helemaal geen kaas van heb gegeten, als diegene dat ook beheerst !?! Dan kan ik me meer op zakelijke organisatie richten. Reageer maar niet meer op dit forum, maar mail me, als je geinteresseerd bent en het werkelijk in huis hebt. liever niet hier, zet het dan maar in je profiel

[ Voor 5% gewijzigd door crisp op 11-02-2004 23:28 ]

A friend is one who knows us, but loves us anyway.

Acties: