s1temaker 03 апреля 2015 0 13
Клиент хочет продавать сайт, настроенный мной под его требования.
Сайт полностью сделан на обычном MODX Revo.
Задача: ограничить возможности конечного пользователя (покупателя) так, что бы он не мог перенести собственноручно сайт, переданный ему, на другой хостинг.
Не могу найти решения, может есть у кого какие соображения на этот счет, поделитесь пожалуйста.
Я так думаю начать стоит с ограничения прав пользователя в админке, что бы тупо не мог скопировать вручную все настройки, шаблоны, снипеты и т.д.
Но на прямую в базе данных можно ведь подменить пароль на админа? тогда в ограничении прав на админку смысла нет.
13 комментариев
ilyautkin1
ilyautkin 03 апреля 2015г в 11:22 #
Только как-то так: htmlweb.ru/php/php_encode.php
Fi1osof1
Fi1osof 03 апреля 2015г в 16:27 #
ionCube говорят вообще толковый. Ооочень сложно декодировать.
proxyfabio1
proxyfabio 03 апреля 2015г в 12:21 #
в ограничении прав на админку смысла нет.

Да, доступ в админку, при наличии знаний движка, не дает никаких гарантий безопасности.
Fi1osof1
Fi1osof 03 апреля 2015г в 16:29 #
Не, если двиг при этом будет шифрован, то толку будет больше. Если не зашифровать, то практически нет смысла. Либо там в админке вообще ничего нельзя будет делать, либо она будет сломана на раз-два.
proxyfabio1
proxyfabio 03 апреля 2015г в 20:25 #
Ну да. Тут баланс того, что можно и того, что запрещено. Чем больше свобод, тем больше шансов утащить что-либо: )
s
s1temaker 03 апреля 2015г в 16:41 #
Есть такая мысль, хостить данные сайты на своем хостинге и соответственно ограничивать доступ к php по FTP
соответственно к базе данных тоже ограничить, тогда и права в админке настроить только на использование предопределенных функций.
Fi1osof1
Fi1osof 03 апреля 2015г в 16:49 #
Сергей, уверен, что хватит знаний на то, чтобы понять какие функции можно ограничить, а какие нет, и что в итоге повлияет на работу сайта, а что нет? Сказали же: без шифрования движка практически никакой гарантии на защиту нет. Дали доступ в админку — дали доступ ко всему сайту априори.
Есть еще вариант: фигачить еще одну админку с крайне ограниченным функционалом или вообще во фронте сделать личный кабинет партнера. Второй вариант наиболее надежный, так как из контекста web в запросах MODX-тэги вырезаются, и вообще права более ограниченные. Это больше мороки в выполнении, но зато надежность почти полная.
s
s1temaker 03 апреля 2015г в 16:53 #
Ясно, спасибо за совет, думаю из наиболее простых решений будет все же шифрование движка.
M
MisterN 03 апреля 2015г в 17:01 #
Наверно такая шифровка и от кулц-хаккеров спасает?
Fi1osof1
Fi1osof 03 апреля 2015г в 17:05 #
Смотря от каких и что защищать. К примеру, базу данных это точно не защитит. Выполнять Eval-скрипты и т.п. наверняка тоже можно будет.
А
Андрей Незваный 03 апреля 2015г в 18:01 #
Скачает зашшифровванный сайт и будет нормально работать у него. Файлы конфигов только заменит.
Показывать нужно либо записанное видео, либо демонстрация экрана, либо TeamViewer.
Fi1osof1
Fi1osof 03 апреля 2015г в 18:21 #
Скачает зашшифровванный сайт и будет нормально работать у него. Файлы конфигов только заменит.
Все верно. Если пользователь сможет исполнять свой PHP-код, он многое сможет сделать. Поэтому и говорит: пустили в админку — сайт отдали.
a
als1984 04 апреля 2015г в 02:02 #
Как вариант проставить в файлах ядра, сниппетах, компонентах проверку site_name или modx_core_path и где возможно сделать обфуксацию кода. А если по-умному, то в договоре надо отдельным пунктом прописывать что либо продажа является незаконной, либо при продаже клиент должен оплатить n-ую сумму.
Авторизуйтесь или зарегистрируйтесь (можно через соцсети ), чтобы оставлять комментарии.