java - Protección contra la piratería con una solución de hardware basada en USB
authentication protection (9)
A pesar de que mi punto de vista sobre el tema es no utilizar estos esquemas de protección contra la piratería, puedo darle algunos consejos ya que hemos utilizado una solución de este tipo en el pasado. En particular, utilizamos tokens Aladdin también.
Esta solución en términos de seguridad es bastante robusta, ya que es algo que o bien tiene en el sistema, o no. No es algo que pueda anular fácilmente, siempre que su código sea seguro también.
En el lado negativo, nos encontramos con un problema que nos hizo abandonar la solución de token de hardware. Nuestra aplicación es una aplicación web de intranet (es decir, una aplicación web que se ejecuta en la intranet local del cliente, no una solución alojada) y muy a menudo los clientes querían implementar nuestra aplicación en servidores blade o incluso en servidores virtuales, donde no tenían Puertos USB!
Por lo tanto, antes de elegir una solución de este tipo, tenga en cuenta esos factores.
Quiero proteger mi producto Java utilizando una solución de administración de contraseñas y autenticación basada en USB como la que puede comprar aquí: aladdin Esto significa que debe conectar una memoria USB con un software especial antes de poder comenzar su aplicación.
Me gustaría aquí alguna experiencia de usuarios que han usado hardware como este.
- ¿Esto es tan seguro como parece?
- General: ¿Cuánto dinero gastaría para proteger un software que se vendería 100 veces?
Ofuscaré mi código Java y guardaré algunas configuraciones del sistema operativo específicas del usuario en un archivo cifrado que se encuentra en algún lugar del disco duro. No quiero obligar al usuario a realizar un registro en línea, porque Internet no es necesario para la aplicación.
Gracias
Comentario: La compañía para la que trabajo está usando Wibu por más de 5 años.
Al igual que otra opinión ligeramente diferente:
Hay una situación en la que aceptaría con gusto el enfoque de "dongle". MATLAB tiene una estructura de precios donde si instala algo en una sola máquina fija, cuesta $ X. Si desea instalarlo como una licencia concurrente (servidor de licencias en la red) para que una persona lo use a la vez, cuesta $ 4X. Eso no tiene ningún sentido para el software raramente utilizado.
El modelo de negocio para comprar una llave dinamométrica súper precisa no debería importar cuántas personas quieran usarlo, y si la persona A quiere usarlo pero la persona B ya lo está usando, entonces la persona B tiene que terminar de usarlo antes que la persona A puede hacer uso de eso No tengo ningún problema con el software que sigue este modelo mediante el uso de tokens físicos, si se está utilizando en sitios donde varios usuarios lo comparten. Es un modelo de negocio mucho más justo que subir el precio de una licencia concurrente. El enfoque de ficha física puede ser menos atractivo para clientes individuales, pero si tiene un producto que comanda el precio, ¿por qué no?
Si no tiene un producto que esté en demanda hasta ese grado, no me molestaría.
Y será mejor que tengas un mecanismo para lidiar con los tokens perdidos. (desafortunadamente no tengo idea)
He usado tales productos y son un dolor. Personalmente, no gastaría dinero en un esquema de hardware o en un esquema de protección de terceros.
No se deje tentar por un esquema de protección basado en hardware.
Las únicas cosas que son ciertas:
- Cualquier esquema de protección será descifrado.
- Usted molestará a los clientes legítimos
- Perderá tiempo apoyando problemas relacionados con la protección
- Habrá problemas cuando un cliente legítimo no pueda usar su producto debido a la protección.
- Es una mejor inversión utilizar cualquier tiempo y fondos que habría gastado en protección para mejorar el producto o encontrar más clientes.
La regla de oro de la protección es hacerlo sin dolor para sus clientes. Los esquemas de protección de hardware hacen la vida más incómoda para sus clientes y más fácil para aquellos que lo han estafado, lo que claramente no está bien.
Los dongles modernos, usados correctamente, pueden proporcionar niveles muy fuertes de protección contra la copia ilegal. CodeMeter de Wibu-Systems ha sobrevivido a varios concursos de craqueo públicos (¡más recientemente en China!) Sin ganadores.
La razón es una encriptación fuerte: el ejecutable se cifra completamente con encriptación AES de 128 bits, y la generación de claves para el descifrado se produce solo en el dongle. Dado que la vida media de las teclas es corta, incluso el descubrimiento de una tecla (que requeriría un gran esfuerzo) no proporciona una grieta universal.
Las galletas son personas muy inteligentes y no trabajarán más de lo necesario para descifrar software. Es fácil dejar vulnerabilidades en el software si la protección del software no es el foco principal de sus esfuerzos de investigación y desarrollo. Obtener un buen dispositivo de protección y seguir cuidadosamente las sugerencias del fabricante para protegerlo son los mejores seguros contra la copia ilegal.
Algunas preguntas útiles al evaluar un sistema de protección: 1. ¿Es compatible con las versiones del sistema operativo que desea orientar con su ejecutable? 2. ¿Encripta las comunicaciones entre el dongle y el sistema operativo? 3. ¿Puede detectar depuradores y bloquear la licencia si se está ejecutando un depurador? 4. ¿Utiliza un chip de tarjeta inteligente (más difícil de oler con herramientas de hardware)? 5. ¿Utiliza una sola tecla o varias teclas? 6. ¿Es compatible con los modelos de licencia (pago por uso, pago por hora, etc.) que desea? 7. ¿Hay un amplio conjunto de herramientas disponibles para que sea fácil de usar? 8. ¿Puede proteger otros tipos de archivos además de .exe? 9. ¿Qué tan bueno es su soporte de desarrollador? ¿Ha sido subcontratado a otro país? 10. ¿Cuántos clientes de referencia pueden proporcionar?
El costo puede ser de $ 50 a $ 100 por copia (o menos o más, depende de un montón de factores). La mayoría de los proveedores de buena reputación le proporcionarán información sobre precios con una simple llamada telefónica.
Espero que esto ayude.
Para la protección contra la piratería utilizo OM-p Proporcionan: - consultoría de piratería gratuita - monitoreo antipiratería gratuito - y eliminaciones de piratería pagadas.
Por favor no lo hagas Venda su software a un precio que represente su valor, con un esquema básico de claves si debe mantener a la gente honesta honesta , y déjelo así. Los piratas siempre se lo robarán, y una llave de hardware solo causará dolor para sus clientes honestos.
Además, cualquier esquema que construyas será derrotado por ingeniería inversa; si le resulta doloroso usar su software, motivará a personas honestas para que lo derroten o busquen un crack en Internet. Simplemente haga que la protección sea menos dolorosa que buscar una grieta.
Primero, asegúrese de que no sea contraproducente. Tiene un costo no despreciable en desarrollo, prueba, mantenimiento y atención al cliente. Los casos en los que dicha protección es más apropiada es cuando su software es EL software, casi con una máquina dedicada a él.
Sé que los últimos productos wibu tienen una robustez bastante buena y, en la práctica, son a prueba de piratas informáticos. (Otros productos similares probablemente también existen). Básicamente, partes de su código se pueden encriptar en la clave misma, con una clave de cifrado que cambia todo el tiempo. Ejecutó concursos de piratas informáticos en todo el mundo donde nadie podía usar versiones no autorizadas de un software protegido.
Si bien estoy de acuerdo con la mayoría de las otras respuestas, hay un caso donde los dongles de hardware funcionan y eso es para software de bajo volumen y alto valor. El popular software de alto volumen siempre se descifrará, por lo que no tiene sentido molestar a sus clientes con un costoso sistema de hardware.
Sin embargo, es poco probable que alguien se moleste en intentar descifrar software especializado de bajo volumen. Sin embargo, si es fácil instalarlo en otra máquina, es posible que muchos clientes "olviden" comprar otra licencia y pierda ingresos valiosos. Aquí la protección de dongle funciona ya que necesitan volver a usted por otro dongle si quieren ejecutar dos copias simultáneamente.
He usado los dongles Aladdin pero tenga en cuenta que hay emuladores de software disponibles para estos y también debe programar la memoria en el dongle con algo que un emulador no puede saber.
Solo para agregar evidencia a lo que dice SoftDeveloper. En el área del software de bajo valor, la protección es contraproducente. Del mismo modo para un gran volumen.
Sin embargo, nuestra fuente de ingresos es un producto que se vende por £ 10-25K por licencia de usuario. La gran mayoría de nuestra base de consumidores es muy cuidadosa para cumplir, las grandes corporaciones, y para algunos de ellos hemos vendido productos ilimitados sin protección.
Sin embargo, hemos tenido pruebas en el pasado de que cuando las empresas más pequeñas las usan para uso a corto plazo, se han intentado romper la protección. Cuando puede perder £ 100K + por incidente, al menos debe desalentar eso.
En el pasado, hemos usado SuperPro, pero ese producto ahora es débil y obsoleto.
Para nuestro último producto todavía estamos evaluando, pero Sentinel / Aladdin ( http://www.safenet-inc.com/sentinelhasp/ ), SecuTech Unikey ( http://www.esecutech.com/Software-Protection/UniKey-Family) /UniKey-Drive/UniKey-Drive-Overview.html ) y KeyLok Fortress ( http://www.keylok.com ) se encuentran entre los subconjuntos seleccionados.
Una cosa que estamos haciendo es permitir flexibilidad extrema en el modelo. De esa forma, cuando el marketing presente la siguiente idea brillante, estaremos listos. Además, garantizar un control de licencia extremadamente robusto e informativo también es vital. La protección no debe significar una mala experiencia del cliente (¡aunque a menudo puede hacerlo!).