protéger les Applications Java sous licence ou clé

Je veux faire une application de bureau qui ne fonctionne que sur les machines qui ont de la clé ou de la licence.
Comment cela peut être réalisé?

Est une vérification en ligne (par exemple, à chaque démarrage) une option?
De toute façon je pense à elle, votre application est susceptible d'être craqué, puisque chaque chose est sur client.
Compte tenu de l'effort, si, c'est le cas pour n'importe quoi...
Il n'est pas vraiment le cas pour les services de cloud (enfin, sauf si vous le pirater, ce qui peut déclencher des gens à courir après vous).
Oui, je sais, d'acheter, il n'a pas dit si c'est côté client ou basée sur le cloud

OriginalL'auteur Ahmed Aswani | 2012-06-05

  1. 21

    Cela dépend entièrement sécurisé vous souhaitez le faire...

    Le problème avec Java, c'est que vous pouvez inverser le compiler. Donc, si quelqu'un voulait, ils pourraient téléchargement de votre logiciel, le décompiler, puis retirez quelle que soit la sécurité que vous avez mis en place (et puis de le redistribuer si ils voulaient).

    C'est seulement un problème si vous planifiez marché de masse et de le vendre et le piratage serait effectivement un problème.

    Si vous n'êtes pas concerné à ce sujet, vous pouvez soit aller en ligne, ou hors de contrôle.

    L'entreprise pour laquelle je travaille utilise la méthode en ligne; il y a quelques étapes:

    EDIT: depuis, j'ai changé la façon dont cela fonctionne, comme l'ancienne méthode était un entretien cauchemar.

    1. Un fichier de licence
      • (ce qui peut contenir ce que vous voulez dans la réalité, il a juste à être unique pour chaque utilisateur. La plupart des gens vont normalement avec le général habit;
      • name
      • company
      • email
      • et puis un key. c'est à dire la JDU8-AJS9-88DF-SASF-ASF9 genre de chose qu'on voit souvent.
    2. Le programme génère un hash du fichier de licence.
      1. placer toutes les données à partir du fichier de licence dans une chaîne
      2. passer la chaîne à une fonction de hachage cette page peut vous montrer comment faire.
    3. avoir le programme vérifiez en ligne (sur votre serveur). Les données sont codées en HTML demande (post/get/json/tout ce que vous voulez) et soumises à la vérification de la licence de la page, puis vérifie les données. Inclus dans les données est généré de façon aléatoire une chaîne de caractères, qui est utilisé par la page de vérification de générer un nouveau mot de passe. C'est ensuite retourné vers le programme, qui a également utilisé une chaîne de caractères aléatoires pour générer son propre mot de passe. Si les deux correspondent, le programme démarre.

    Pour générer les clés, il suffit d'utiliser la même fonction de hachage, et ensuite télécharger le hash de votre serveur.

    Si vous voulez qu'il soit en mode hors connexion, vous pouvez inclure les valeurs de hachage dans le code je pense et de contre-vérifier.

    Je me dois de souligner, cependant, que je ne suis pas un expert en sécurité par tous les moyens, je viens de développer pour une entreprise comme une partie d'un doctor et ce est juste la façon dont je l'ai fait.

    Edit: cette image pourrait être utile:

    protéger les Applications Java sous licence ou clé

    Deuxième Edit:

    J'ai maintenant compris hors de vérification" dans le processus. Ce n'est pas vraiment hors de vérification, il utilise juste de l'utilisateur comme un proxy pour accéder à internet, d'une autre manière.

    il fonctionne comme ceci:

    1. pas de connexion internet trouvé: fournir à l'utilisateur avec un code à 4 chiffres
    2. utilisateur passe à l'état hors connexion de vérification de la page (optimisé pour une utilisation mobile trop)
    3. utilisateur sélectionne le logiciel qu'ils utilisent dans la liste déroulante
    4. utilisateur saisit son nom d'utilisateur (ce champ se souvient des entrées)
    5. utilisateur entre le code, le programme leur a donné et soumet
    6. page web fournit un code à 4 chiffres, puis l'entrée dans le programme, et il démarre.
    7. programme ajoute certaines données du fichier de licence en ce sens que ce processus n'aura pas besoin d'être répété pour la prochaine semaine/mois/cependant longtemps.

    chaque fois que le programme vérifie en ligne, il ajoute également un accès hors connexion mot de passe pour le fichier de licence, ce qui signifie qu'il est robuste contre les temporaires internet les temps d'arrêt, et ne cesser de travailler si l'internet est en panne depuis plus d'une semaine/mois/le temps qu'il est mis en place pour travailler.

    Je n'ai pas tout à fait le faire, Lorsqu'un utilisateur effectue un achat pensez-vous de leur fournir un fichier de licence contenant hachés licensekey à l'aide des informations qu'ils fournissent au moment de l'achat. ou avez-vous juste de créer une clé et ensuite, l'utilisateur entre ce dernier et les autres informations dans le propgram et il génère un fichier de licence, puis lors de la première exécution.
    quand quelqu'un fait un achat, nous e-mail de leur rembourser les détails de la licence (à confirmer avec eux). Lorsque vous démarrez le programme, il semble pour le fichier de licence. Puis, il enchaîne les données dans le fichier et transmet la chaîne obtenue par une fonction de hachage - si cette empreinte correspond à la valeur de hachage que nous avons pour leur clé de licence sur nos serveurs, alors qu'il démarre, sinon, il vous invite à remplir un formulaire. Il crée ensuite le fichier de licence qui va par le biais de la table de hachage dans l'avenir.
    Si vous en avez un retour juste un booléen, il sera très facile pour les gens à modifier leur fichier d'hôtes (sur windows au minimum) et d'avoir un petit serveur en cours d'exécution qui retourne toujours true. L'avoir de retour d'une sorte de mot de passe spécifique généré à partir d'une clé aléatoire de l'envoyer. I. e. dans les données que vous envoyez, inclure une chaîne de caractères aléatoires, puis de hachage et renvoyer la valeur de hachage. Ensuite, vérifiez les hachages de match.
    ce est juste la façon dont nous le faisons ici. Je sais que ça ne résout pas le problème d'être visible à l'attaquant. Je sais que des méthodes qui créent une sorte de machine fingerprint à l'aide de divers détails du matériel, ce qui est mieux que d'utiliser les adresses MAC (qui peut usurpée). Si nous ignorons inverser la compilation et l'aime, puis, à condition que suffisamment forte algorithme de hachage, je pense que ça devrait être bon.
    je ne dirais pas que c'est facile. Je dirais que les gens qui fissure le plus récent des jeux vidéo dans les jours sont juste très bon. Ils ont aussi probablement de travail dans l'industrie, et ainsi de savoir exactement ce qu'ils font. Allez jeter un coup d'oeil pour les logiciels piratés - je parie que vous trouverez que les trucs les plus populaires est cassé dans le premier jour, puis, le même jour, à chaque fois qu'ils libèrent un correctif de sécurité. Puis faire de même pour certains aléatoires petit programme d'entreprise - vous avez peu de chances de trouver quelque chose pour elle (j'avais pressume), tout simplement parce que il n'y a rien pour ceux qui savent comment le briser.

    OriginalL'auteur will

  2. 1

    Vous pouvez effectuer le suivi de la délivrance de permis d'une machine avec macIP sur en ligne . Même sous windows, vous pouvez écrire dans la base de registre il n'y a pas d'api, mais encore, vous pouvez le faire. Trouver de l'extrait de soufflet de lire le registre

    public static final String readRegistry(String location, String key){
        try {
            //Run reg query, then read output with StreamReader (internal class)
            Process process = Runtime.getRuntime().exec("reg query " + 
                    '"'+ location + "\" /v " + key);

            StreamReader reader = new StreamReader(process.getInputStream());
            reader.start();
            process.waitFor();
            reader.join();
            String output = reader.getResult();

            //Output has the following format:
            //\n<Version information>\n\n<key>\t<registry type>\t<value>
            if( ! output.contains("\t")){
                    return null;
            }

            //Parse out the value
            String[] parsed = output.split("\t");
            return parsed[parsed.length-1];
        }
        catch (Exception e) {
            return null;
        }

    }

    Et dans le niveau de la classe si vous souhaitez dissimuler l'utilisation proGuard .

    Les adresses Mac peuvent être facilement usurpée. Si vous voulez aller dans cette voie, il est plus sûr d'essayer et de créer un unique ordinateur impression du doigt.
    comment vous pouvez générer ordinateur impression du doigt?
    eh bien, c'est à vous vraiment. Une fois, j'ai parlé d'une société qui ne leur licence comme ça, et le gars a dit qu'ils ont utilisé une foule de choses, comme l'adresse mac, les détails du matériel, peut-être adresse ip (mais qui change beaucoup de choses, donc dépend de la façon dont vous voulez que votre permis de travail). Personnellement, je viens de faire le suivi de divers détails, et ont assez unrestricting, mais alors wcheck les détails de chaque maintenant et puis, et si elles semblent être en abuser (ce qui n'est pas encore arrivé), alors je vais les couper.
    ummm assez juste...

    OriginalL'auteur Subhrajyoti Majumder

  3. 0

    il dépend de la façon dont beaucoup de clients que vous envisagez et le mode de distribution aussi. Vous pouvez utiliser un serveur de licences, mais ceci nécessite une connexion internet pour le client. Vous pouvez aussi utiliser une clé USB pour gérer les licences.

    Il n'y a pas de système parfait, vous devez faire un comproise entre la simplicité, de l'effort et de prix.

    OriginalL'auteur jocelyn