Клиент хочет продавать сайт, настроенный мной под его требования.
Сайт полностью сделан на обычном MODX Revo.
Задача: ограничить возможности конечного пользователя (покупателя) так, что бы он не мог перенести собственноручно сайт, переданный ему, на другой хостинг.
Не могу найти решения, может есть у кого какие соображения на этот счет, поделитесь пожалуйста.
Я так думаю начать стоит с ограничения прав пользователя в админке, что бы тупо не мог скопировать вручную все настройки, шаблоны, снипеты и т.д.
Но на прямую в базе данных можно ведь подменить пароль на админа? тогда в ограничении прав на админку смысла нет.
Только как-то так: htmlweb.ru/php/php_encode.php
в ограничении прав на админку смысла нет.
Да, доступ в админку, при наличии знаний движка, не дает никаких гарантий безопасности.
ionCube говорят вообще толковый. Ооочень сложно декодировать.
Не, если двиг при этом будет шифрован, то толку будет больше. Если не зашифровать, то практически нет смысла. Либо там в админке вообще ничего нельзя будет делать, либо она будет сломана на раз-два.
Есть такая мысль, хостить данные сайты на своем хостинге и соответственно ограничивать доступ к php по FTP
соответственно к базе данных тоже ограничить, тогда и права в админке настроить только на использование предопределенных функций.
Сергей, уверен, что хватит знаний на то, чтобы понять какие функции можно ограничить, а какие нет, и что в итоге повлияет на работу сайта, а что нет? Сказали же: без шифрования движка практически никакой гарантии на защиту нет. Дали доступ в админку — дали доступ ко всему сайту априори.
Есть еще вариант: фигачить еще одну админку с крайне ограниченным функционалом или вообще во фронте сделать личный кабинет партнера. Второй вариант наиболее надежный, так как из контекста web в запросах MODX-тэги вырезаются, и вообще права более ограниченные. Это больше мороки в выполнении, но зато надежность почти полная.
Ясно, спасибо за совет, думаю из наиболее простых решений будет все же шифрование движка.
Наверно такая шифровка и от кулц-хаккеров спасает?
Смотря от каких и что защищать. К примеру, базу данных это точно не защитит. Выполнять Eval-скрипты и т.п. наверняка тоже можно будет.
Скачает зашшифровванный сайт и будет нормально работать у него. Файлы конфигов только заменит.
Показывать нужно либо записанное видео, либо демонстрация экрана, либо TeamViewer.
Скачает зашшифровванный сайт и будет нормально работать у него. Файлы конфигов только заменит.
Все верно. Если пользователь сможет исполнять свой PHP-код, он многое сможет сделать. Поэтому и говорит: пустили в админку — сайт отдали.
Ну да. Тут баланс того, что можно и того, что запрещено. Чем больше свобод, тем больше шансов утащить что-либо: )
Как вариант проставить в файлах ядра, сниппетах, компонентах проверку site_name или modx_core_path и где возможно сделать обфуксацию кода. А если по-умному, то в договоре надо отдельным пунктом прописывать что либо продажа является незаконной, либо при продаже клиент должен оплатить n-ую сумму.