Защита разработок от копирования (Обычная и Управляемая форма)
Вы разработчик, и разработали чудесный алгоритм, но не хотите ни с кем с ним делиться - используйте данную разработку, и тогда предполагаемый злоумышленник, глядя на такой код, просто плюнет и начнет писать свой.
Добавлена в дерево кнопка "Заполнить идентификатор", позволяющая вместо guid использовать свой идентификатор, например представить переменную как набор символов "______"
Оказывается, "для продвижения публикаций", кроме разноцветной рекламы внизу статьи, можно "поднимать" ветку обсуждений сообщениями об обновлениях не редактирую статью...
ЗЫ Что это со мной сегодня? Съел наверно что то...
ЗЫЫ Не проще ли вынести то что не хочешь в модуль с паролем? Трудоемкость поиска "ломалки" для запароленного модуля не намного меньше от "восстановления" исходника ...
(33) AnryMc, и к чему это? по-моему это уже мое личное дело как продвигать публикации, причем это не запрещено правилами инфостарта, в данном случае ссылки разделены по тематике, также я не выставляю все свои работы, а только те, что считаю интересными. Также эти ссылки появляются в поле "см. также".
ЗЫЫ Не проще ли вынести то что не хочешь в модуль с паролем? Трудоемкость поиска "ломалки" для запароленного модуля не намного меньше от "восстановления" исходника ...
(33) AnryMc, для обычной формы конечно можно и в модуль объекта поместить, но если этот не обфусцировать, то его всем известный декомпилятор щелкнет как орешки, но я пришел к шифратору когда стал делать разработку для управляемых форм, много ли вы серверного кода помещаете в модуль объекта? Если делать код оптимизированным, то вообще код не следует использовать директиву "НаСервере", что сразу исключает модуль объекта, поэтому я помещаю такой код на форму, но с директивой "НаСерверебезКонтекста".
(46) AnryMc, если речь идет о внешней обработке, то тут код никак не поместишь в общий модуль
(47) sashs1980, ограничений не должно быть, отправьте в личку пример кода, который не распознался, возможно я чего-то не учел в алгоритме.
Данная разработка является идейным продолжением разработки coder1cv8 [2 in 1] «Обфускация кода 1С» и «RegExp Тестер». В ней исправлены большинство ошибок разработки данного автора: корректно распознаются директивы компиляции, области, инструкции препроцессора, комментарии, корректно заменяются переменные (не знаю, как у вас, но у меня разработка автора просто так не шифровала код, все равно оставались какие-то частично не зашифрованные переменные.)
В свое время скачивал и протопит. Теперь скачал эту.
В обоих одно зло: небольшие процедуры обрабатывает нормально.
А чуть больше, так образуются длинные строки (2700 символов) .
Ставлю "ограничение = 100". Никак не реагирует.
Такие тексты просто не работают в редакторе. Он тормозит и глючит. (платформа 8.3.9)
Вторая проблема: мы программисты грешим, когда используем в именах переменных слова языка 1С. У кого нет такого текста?
Запрос = Новый Запрос;
Хорошо бы их не предлагать на изменение.
Третье предложение: дать опцию преобразовывать текст запроса или нет.
Объясню почему: вот так преобразовалось "КАК ЗарДох"+символы.пс+ "
а в потом в конце стоит значок непечатный символ, похожий на " о". Судя по тексту, им делят строки, но не получилось.
(6) lopatin, да, сам через такое проходил, это в большей степени связано с тем, что в 1С низкий порог вхождения в сферу, но в тоже время полно достойных разработчиков.
(8) rayastar, не считаю, что только русские так шифруются, большинство коммерческих разработок с закрытым исходным кодом, тот же фотошоп, или даже windows,
(13) SGordon1, хм, тогда так:
не считаю, что только русские так "шифруются".
Большинство коммерческих разработок с закрытым исходным кодом, тот же фотошоп, или даже windows,
итет не делиться своими трудами
спасибо что ты есть, гитхаб
а если по другому подумать...у фрилансеров бывают недоборосовестнные заказчики.
Фрилансер сделал заказ, а заказчик пропал и не оплатил.
Зашифровать код, отправить триал версию, после оплаты полную версию предоставить,
Вот для этого можно и заюзать данный инструмент!
(87) По русски, филансер - шабашник, а шабашники по определению делают свою работу спустя рукава. Вы всерьез считаете, что шифрование кода спасет фрилансеров?
(10) SGordon1, закрытый код не шифруется, однако я привел данный пример, как один из вариантов исключения модификации исходного кода программы, в принципе в 1с тоже можно исключить текст модуля из поставки, однако есть всем известный декомпилятор, который обходит такую защиту.
(15) timeforlive, предполагается, что шифроваться будет код, который уже отлажен, в крайнем случае, даже в такой ситуации можно провалиться в отладчик, либо заранее в коде прописать возможные ошибки и их перехватить через попытку.
20.
МимохожийОднако
12930.03.16 07:27 Сейчас в теме
(16) мы всегда предполагаем, что код отлажен. Однако периодически нарываемся на необходимость правки своего кода. Для этого случае есть возможность декодирования или надо держать в архивах копию с читаемым кодом? Сталкивался с ситуацией, когда разработчик перестал поддерживать обработку, а клиенту надо помочь.
(20) МимохожийОднако, конечно должна быть копия программы с читаемым кодом, для этого и нужны "исходники". Такая же проблема может возникнуть, когда обфусцируется байт-код, но что-то не слышал, чтобы разработчики его деобфусцировали, каждый раз когда нужно отлаживать код, для этих целей используются исходники программы.
(20) МимохожийОднако, а по поводу поддержки отвечу вопросом на вопрос: а что если фирма 1С разорится и перестанет поддерживать свои релизы, а в релизе будет ошибка? Разве можно будет поправить эту ошибку?
(23) wolfsoft, с языка сняли :)
(20) МимохожийОднако, смотрите шире. Кроме сотрудников на ставке и всяких франчей еще есть фрилансеры. И иногда их пытаются обмануть с оплатой. Это как раз для случая, когда клиенту нужно показать работающий код для тестирования, который он после кражи не сможет использовать, получить вознаграждение и далее отдать полноценную работу.
(34) Dementor, мне кажется, если продукт уже готов, то клиент конечно же сможет его использовать даже с такой "защитой", однако если в коде есть явная ошибка, то диагностика ее для клиента уже будет серьезной проблемой.
мне кажется, если продукт уже готов, то клиент конечно же сможет его использовать даже с такой "защитой", однако если в коде есть явная ошибка, то диагностика ее для клиента уже будет серьезной проблемой.
ну если в код зашить ограничение по дате и зашифровать - то думаю не сможет ... именно для этих целей мне данная обработка интересна
разобрался, использовал для тестирования notepad++, а там группировки проставляется через слэш, а оказывается в RegExp нужно использовать "$"
54.
МимохожийОднако
12930.03.16 20:08 Сейчас в теме
(34) Dementor, я согласен. Однако я исхожу из личной практики. У меня на 500 случаев только 1-2 раза обманывали. А вот долги возвращали (добровольно) даже через 10 лет. Ворованное или неоплаченное впрок не пойдёт. Карма важнее )) Я ни в коем-случае не против этой обработки. Но встретившись пару-тройку раз с клиентами, которых кинули на поддержке с подобными обработками, я пришёл к тому, что пусть мне будет стыдно, но свой код я скрывать не буду. Кому надо тот поправит.
Сам я долго уже пользуюсь обработкой "Обфускация кода 1С" и она вполне удовлетворяла меня. Правда иногда приходилось код немного подстроить под обработку, чтобы после обфускации без ошибок компилировался. Решил проверить тот самый код на этой обработке, но оказалось что обработка выдала некорректный результат. Методом исключения, ошибку можно увидеть например на таком коде:
(25) причина думаю точно не в имени функции (это я для примера так сделал), а скорей всего в том, что в комментарии такой слэш есть "//". Причем, если оставить только одну функцию, то результат корректный.
(27) Теперь обработка выдала результат:
Функция Процедура1() Экспорт x34f5fdf9d4054708942e4b249b39edc8 = \1\2\3; Возврат x34f5fdf9d4054708942e4b249b39edc8; КонецФункции
который естественно не компилируются, поскольку \1\2\3 это явно не строка. Причем вместо \1\2\3 должно стоять все тот же текст "//" (шифрованием не пользовался).
(28) Mavin, разобрался, использовал для тестирования notepad++, а там группировки проставляется через слэш, а оказывается в RegExp нужно использовать "$"
Серьезно переработан поиск строковых переменных в коде, теперь не должно конфликтовать с комментариями, также убрал при анализе лишние переносы строк. Просьба перескачать обработку.
(55) Agapov_Stas, хм, сейчас посмотрю в чем дело;
(56) а как бы вы хотели, чтобы программа такой код зашифровала? в данном случае шифруется ведь не скомпилированный код, а просо текст, а у вас экспортная процедура, у которой, если поменять наименование может что-то сломаться в программе, так как эта процедура может вызываться в других местах, стандартная функция ТекущаяДата(), а также функция получения Даты, здесь просто нечему шифроваться.
(58) DrAku1a, я думал еще сделать деобфускатор, однако все равно наименование переменных и комментарии никак не восстановишь, и разбираться в таком коде та еще морока, я когда-то пытался разобраться в работе конфигурации Широкоформатная печать, хоть там код и был не шифрованным, однако я успел раз 300 обматерить того "разработчика", который писал его.
(57) Agapov_Stas, для того, что вы хотите нужен шифратор байт-кода, тогда действительно можно зашифровать так, что никто не сможет взломать, хотя точно не знаю, может уже есть какой-то деобфускатор.
Скачал обработку, проверил, и понял что она для меня ничего полезного не сделает.
Я хочу защитить код своей обработки тогда, когда создаю для нового заказчика демоверсию, которая перестанет работать через определенное время. Поэтому прописываю триал период в коде.
Вот что получилось после вашего преобразования:
Процедура ПривязатьОплаты() Экспорт Если ТекущаяДата() > Дата(2016,4,1) Тогда Возврат; КонецЕсли;
Т.е. ничего вообще не изменилось. До этого выкладывали на ИнфоСтарте обфускатор кода, он меня тоже до конца не устроил, но у него лучше получалось.
(56) CyberCerber, да - для таких целей и я скачивал - но то как он шифрует - эту проверку можно отключить очень быстро (а надежда была - не оправдалась)
А если такой код попробовать преобразовать обратно - переименовывая переменные в что-то вида "Парам1, Парам2, Парам3" и восстановив структуру кода (Форматировать). По идее - будет вполне читабельно и общий смысл понятен. Вот такой "Анти-обфускатор" ))
(60) Тогда еще один тест, который также не проходила обработка "Обфускация кода 1С". После обфускации модуля обработки, она становится нерабочей.
Тут речь идет о комментариях в тексте запроса. Сразу отмечу, что удаление комментариев не будет являться решением, поскольку иногда их добавляют с той целью, чтобы потом эти комментарии заменить на что-то нужное с помощью СтрЗаменить.
Процедура Тест() x9cfbec67d813410cbf161778a7400fd8 = Новый Запрос; x9fe556d4a7a84a7e810b99dfb9d9562f = "ВЫБРАТЬ РАЗРЕШЕННЫЕ //Наименование Организации.Наименование КАК Наименование, //Наименование полное Организации.НаименованиеПолное КАК ПолноеНаименование ИЗ Справочник.Организации КАК Организации"; x9cfbec67d813410cbf161778a7400fd8.Текст = x9fe556d4a7a84a7e810b99dfb9d9562f; xbfcc5e2671274175b21383b9fdd8a9f4 = x9cfbec67d813410cbf161778a7400fd8.Выполнить();
x2b50b9ce97754ff396a0ad5206686d38 = xbfcc5e2671274175b21383b9fdd8a9f4.Выбрать();
Если x2b50b9ce97754ff396a0ad5206686d38.Следующий() Тогда Сообщить(x2b50b9ce97754ff396a0ad5206686d38.Наименование);
Сообщить(x2b50b9ce97754ff396a0ad5206686d38.ПолноеНаименование); КонецЕсли; КонецПроцедуры
Вроде нормально строку распознала, с учетом комментариев
Процедура Тест()
Запрос = Новый Запрос;
ТекстЗапроса = "ВЫБРАТЬ РАЗРЕШЕННЫЕ
| Организации.Наименование КАК Наименование,
| Организации.НаименованиеПолное КАК ПолноеНаименование
|ИЗ
| Справочник.Организации КАК Организации";
Запрос.Текст = ТекстЗапроса;
Резальтат = Запрос.Выполнить();
Выборка = Резальтат.Выбрать();
Если Выборка.Следующий() Тогда
Сообщить(Выборка.Наименование);
Сообщить(Выборка.ПолноеНаименование);
КонецЕсли;
КонецПроцедуры
Показать
А в чем сложность то с этим бороться? С тех пор как 1с добавили рефакторинг в конфигуратор заменять имена переменных прям очень не очень защита.
Или оно что то еще может кроме переименования и замены форматирования ?
Удаляет комментарии.
Удаляет области
Заменяет не экспортные функции на guid.
Заменяет не экспортные переменные и параметры на guid.
Если необходимо шифрует с помощью capicom.dll строковые данные, каждый раз ключ разный.
Директивы компиляции и инструкции препроцессора, всегда с новой строки
В принципе пока больше и ничего, Та же нетленка https://netlenka1c.ru/ делает тоже самое.
Конечно можно вручную или с помощью рефакторинга заменять переменные (хотя на встроенный 1с-овский я бы не сильно надеялся, постоянно меня подводил, когда код более менее сложный), вопрос сколько на такую замену уйдет времени и будет ли вам все понятно. Сейчас это конечно довольно простая защита, но буду развивать.
(68) Ну нетленка много чего делает. Фэйковые переходы ложные условия, вообще запутывание цепочки выполнения кода что делает его структурный анализ более сложным.
(69) nSpirit2, https://netlenka1c.ru/Home/Description Обфускация контроля потока - это только 1 пункт, а остальное уже реализовано и в данной обработке, но есть конечно к чему стремиться.
У кого-нибудь есть идеи для поиска двойных кавычек в текстовой строке. Сейчас используется такой шаблон "(\""[^\""\n\r]*)((\""\""){1,})([^\""\n\r]*\"")", и в нем я нахожу двочные кавычки, а затем их выделяю специальными символами, чтобы потом заменить, однако некоторые строки он не обрабатывает.
Обновлено 31.03.2016
Заменил переносы строк на "+Символы.ПС +", теперь корректно обрабатываются запросы. содержащие комментарии
Настроил немного по-другом получения кавычек в строке, надеюсь к ним больше не придется возвращаться.
все слова кроме строк приводятся к нижнему регистру.
(66)
Здравствуйте,
так и не понял как пользоваться(((
Только текст перегоняет - это пожалуйста, но открыл нужную обработку для защиты - увидел только глобальные переменные..., ничего окромя...
скопировал текст из форм - да, с ним отработал, вставил обратно в форму - куча ошибок )))
Поясните может. Может к версии платформы привязан?
Спасибо.
(72) Программулькин, никак=) на такие случаи должны быть исходники, конечно можно позаморачиваться и как сказали в (58) заменить с помощью рефакторинга переменные, и добавить переносы строк, но код все равно будет мало похож на первоначальный. Если бы можно было так легко все вернуть обработно, то такая защита никому и не нужна будет.
75.
Программулькин
28726.04.16 15:57 Сейчас в теме
(74) fzt, не, я просто подумал, было бы интересно иметь как доп функцию, по определённому ключу, вернуть все обратно. Ключ, скажем, набор символов из X разрядов.
я просто подумал, было бы интересно иметь как доп функцию, по определённому ключу, вернуть все обратно.
Система контроля версий типа git, mercurial или bazaar поможет получить желаемое.
Алгоритм примерно такой:
1.1 сделал обработку,
1.2 отладил и закоммитил,
2.1 создал ветку release 1.0,
2.2 в ней выполнил обфускацию и закоммитил
2.3 обработку отдал заказчику/ опубликовал.
Всплыла бага:
1.1 закрыл ветку release 1.0,
1.2 переключился на ветку develope,
1.3 внес исправления и закоммитил,
2.1 добавил ветку release 1.1,
2.2 в ней выполнил обфускацию и закоммитил
2.3 обработку отдал заказчику/ опубликовал.
А добавление какого либо ключа для обратной расшифровки - это дополнительная уязвимость для и так весьма слабой защиты.
(81) наверное бояться конкуренции, либо хотят демо версию обработки и зашить в нее таким образом какие-либо ограничения, или хотят насолить коллеге, который придет на их место=) во всяком случае раз используют значит кому-то это нужно=)
(82) в том-то и дело, что это какой-то иррациональный страх, либо "из вредности". И то и другое - это неконструктивно, не приносит благ, не создает новой ценности. 1С продает типовые конфигурации в открытом виде и не переживает. Почему же 1С-ник Вася обязательно хочет закрыть свое творение от посторонних глаз? Что им движет в этот момент?
(83) наверное даже скорее страх и даже можно сказать, что желание быть лучше других, страх, что твои труды уйдут впустую. Если человек малоизвестный, и немногого достиг, то он сильно держится за свои мало-мальские достижения, а если твой труд скопируют, и уже тот, кто скопировал станет более успешной из-за твоей разработки, то тут будет мне кажется обидно. Хотя в основном копируют идею, или очень сложную функцию, а не разработку целиком. В любом случае, что творится у человека в голове непонятно.
(84) Ну так и я о том. Вы зрите в корень - этому подвержены малоопытные разработчики. "Я сделал что-то, мне оно нравится, я за него переживаю, закрою-ка я его от греха, не знаю зачем, вдруг украдут мегаидею".
Правильный подход (с моей точки зрения):
* Развить мегаидею до уровня, чтобы с ног валила
* Написать про нее на ресурсах уровня инфостарта/хабра, застолбив таким образом авторство
* Выбрать лицензию распространения кода (например, "Все платно, копировать запрещено")
* Еще раз отрекламировать свое решение, чтобы было понятно, где его покупать
Итого получается:
* все знают кто автор, что умеет делать его продукт, как получить этот продукт себе.
* при обнаружении злостного копирования - все ходы записаны, нарушение лицензии, суд, сибирь.
Про защиту идеи:
* благодаря публичности - многие подтвердят, кто застолбил идею
* идеи вообще защищаются патентами, а не обфускацией
* украсть идею, которая воплощена в обфусцированный код - ничего не стоит. Apple придумало телефон без кнопок с тачскрином. Кода никто не видел (закрыт и обфусцирован), но телефонов таких теперь кругом. Идеей воспользовались не имея кода apple в руках, т.е. идею это не защитило от копирования.
(85) Apple зато все запатентовала, и теперь получает с этого очень хороший доход. Ну я не думаю, что у неопытного разработчика хватит "опыта", чтобы понять, что его идея - МЕГА, и тут уж идет скорее на всякий случай, да и бить только в одну цель с малым опытом тоже не хочется ("А вдруг не срастется?"), скорее такая специализация подходит для более опытных разработчиков, который могут проанализировать рынок, и делать то, что пригодится и нужно, и что ты делаешь не колесо, которым все уже пользуются, а действительно стоящую вещь.
(85) пока конкуренты будут вашу идею реализовывать пройдет время, за которое вы сможете заработать и захватить долю рынка... причем вы можете использовать это время еще и для развития идеи, что бы конкуренты всегда отставали на шаг... а если конкуренты получат ваш код сразу, то у вас форы уже нет... поэтому защита кода нужна, если предполагается конкурентная борьба...
Область применение у этого запутывания очень узкая. На уровне конкурентов маленького городка, где в месячные доходы измеряются в 5-значных числах. Вон пример Майнкрафт, написанный на яве, его люди бесплатно декомпилировали, восстановили имена методов после обфускации явы. И создали оболочку forge, что бы все желающие писали моды. Если ни кто не обходит эту защиту, то значит ни кому исходники не нужны.
* Хотелось бы сохранять настройки в файл.
* Для шифрования строк добавить бы ещё один способ, не требующий внешних компонент от конечного пользователя.
* Добавить индивидуальную настройку для процедур функций "не шифровать строки"
* Добавить флаг генерировать ненужный код и какой-нибудь числовой показатель для регулирования его объёма.
А на будущее - полная автоматизация. Выбираем внешнюю обработку-исходник, автоматически по имени подтягиваются настройки, на выходе обработка под ключ - изменены текст модуля и всех форм, добавлен пароль на модуль, пароль генерируется и сохраняется в настройках. Сейчас конфигурация умеет раскладывать обработку в xml и собирать обратно, поэтому можно там брать код и имена реквизитов форм...
Мне бы это сэкономило время при подготовке демо обработок после выхода новой версии основной обработки. ))
(94) пожелания приняты, какие именно настройки хотите сохранять?
Про автоматизацию было бы конечно круто, но тут мне кажется средствами 1С уже не обойтись.
(95) Настройки - Флажки на вкладке Дерево лексического запутывания.
На счет автоматизации, например, в конфигурации КД3 я сделал средствами 1С выгрузку обработки в xml, замена текста модуля в файле и сборка обработки обратно.