AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Win32/Win64 API (native code) Überprüfung einer "Lizenz" möglichst sinnvoll gestalten

Überprüfung einer "Lizenz" möglichst sinnvoll gestalten

Ein Thema von hedie · begonnen am 24. Jan 2016 · letzter Beitrag vom 26. Jan 2016
Antwort Antwort
Seite 1 von 2  1 2   
hedie

Registriert seit: 12. Dez 2005
Ort: Schweiz
1.024 Beiträge
 
Delphi XE6 Starter
 
#1

Überprüfung einer "Lizenz" möglichst sinnvoll gestalten

  Alt 24. Jan 2016, 14:56
Hallo zusammen

Um es mal vorweg zu nehmen, mir ist bewusst, dass JEDE Schutzmasnahme umgangen werden kann.
Es geht mir hier nicht darum den ultimativen Schutz zu bekommen, sondern eine etwas verbesserte version eines simplen IF

Hintergrund:
Ich schreibe aktuell eine Software, welche ich gerne zusammen mit Lizenzen verteilen möchte.
Es geht hierbei auch um einen Lerneffekt und darum sich einmal mit diesen Techniken zu beschäftigen.
Ich habe mir ein Sicherheitskonzept überlegt, welches grundsätzlich sehr gut funktionieren sollte.

Zusammen mit der Software, wird ein Lizenzschlüssel mitgegeben. Dieser wurde zuvor auf einem Server hinterlegt.
Wenn nun die Software gestartet wird, prüft sie ob es eine Lizenzdatei gibt. Wenn nein, startet der Aktivierungsdialog.

1. Nun übermittelt die Software dem Server eine PC Kennung sowie den Lizenzkey.
2. Der Server prüft, ob die Software bereits aktiviert wurde. Wenn nein, erzeugt dieser eine Lizenzdatei.
3. Die Lizenzdatei wird mit dem Lizenzkey und der HWID verschlüsselt.
4. Beim erneuten Starten, findet die Software die Lizenzdatei und versucht diese mit dem Key und der HWID zu entschlüsseln.
5. Wenn dies erfolgreich geschehen ist, und der Inhalt der Datei korrekt ist, gilt die Software als lizenziert.

Mein Problem:
Das ganze Konzept mag noch so gut sein, schlussendlich basiert alles auf einer simplen IF Abfrage innerhalb der App.
Wie könnte man nun, mit geringem Aufwand, die Sicherheit ein wenig erhöhen?
Soll man die Prüfung in einem Timer durchführen, damit man beim Debuggen nicht automatisch an diese Stelle kommt?

Ich möchte lediglich die Hürde ein klein wenig erhöhen und etwas über die Techniken welche es gibt lernen.
Mir ist klar, dass, egal was ich mache, es wird immer knackbar sein.

Und noch so nebenbei, entspricht mein Lizenzierungskonzept dem üblichen Vorgehen?

Danke schonmal.
Claudio
Tu was du nicht lassen kannst
- http://endasmedia.ch
  Mit Zitat antworten Zitat
Darlo

Registriert seit: 28. Jul 2008
Ort: München
1.196 Beiträge
 
Delphi 10.2 Tokyo Enterprise
 
#2

AW: Überprüfung einer "Lizenz" möglichst sinnvoll gestalten

  Alt 24. Jan 2016, 16:00
Ich mach es genauso. Lasse pro Lizenz drei Hwids zu. Stelle mir aber die gleiche Frage wie Du. Aus if ein if not zu machen schaffen ja viele...
Philip

Geändert von Darlo (24. Jan 2016 um 16:02 Uhr)
  Mit Zitat antworten Zitat
hedie

Registriert seit: 12. Dez 2005
Ort: Schweiz
1.024 Beiträge
 
Delphi XE6 Starter
 
#3

AW: Überprüfung einer "Lizenz" möglichst sinnvoll gestalten

  Alt 24. Jan 2016, 16:10
Ich mach es genauso. Lasse pro Lizenz drei Hwids zu. Stelle mir aber die gleiche Frage wie Du. Aus if ein if not zu machen schaffen ja viele...
Hallo Darlo

Freut mich, dass auch andere die gleiche Idee hatten.
Vielleicht findet sich ja jemand hier im Forum, der uns ein wenig Licht ins Dunkle bringt.

Ich vermute mal, das einzige was man machen kann, ist die Überprüfung an verschiedenen Orten zu verankern.
Und möglichst so, dass gewisse Checks zu willkürlichen Zeiten oder Ereignissen stattfinden.

Dadurch ist der Aufwand vermutlich grösser bis man alle Checks gefunden hat.
Claudio
Tu was du nicht lassen kannst
- http://endasmedia.ch
  Mit Zitat antworten Zitat
nahpets
(Gast)

n/a Beiträge
 
#4

AW: Überprüfung einer "Lizenz" möglichst sinnvoll gestalten

  Alt 24. Jan 2016, 16:49
Um meine Programme vor unerwünschten Änderungen zu sichern, schreibe ich per AfterCompile-Experten die MD5-Checksumme in die Exe-Datei.
Beim Starten der Exe-Datei prüft diese zuerst, ob die MD5-Checksumme in der Exe-Datei mit der von ihr selbst errechneten übereinstimmt. Ist dem nicht so, gibt es eine Meldung und sie beendet sich.

Wer also das Programm ändert, um Deine Lizenzüberprüfung zu umgehen, dürfte dann an dieser Prüfung scheitern oder müsste auch noch eine neue MD5-Checksumme ermitteln, diese an die richtige Stelle schreiben und müsste außerdem wissen, von welchem Teil der Exe-Datei eigentlich die MD5-Checksumme gebildet worden ist.

Wer allerdings das Programm zur Laufzeit, wenn es bereits im Speicher ist, dort irgendwie patch, wird diese "Sicherungsmaßnahme" wohl auch umgehen können.
  Mit Zitat antworten Zitat
hedie

Registriert seit: 12. Dez 2005
Ort: Schweiz
1.024 Beiträge
 
Delphi XE6 Starter
 
#5

AW: Überprüfung einer "Lizenz" möglichst sinnvoll gestalten

  Alt 24. Jan 2016, 17:05
Danke für den Input mit der Checksumme.
Dies ist jedoch im Endeffekt auch nur eine simple "IF" Abfrage.

Wobei ich dir recht gebe, dass dies eine zusätzliche, vermutlich mühselige, Hürde ist.
Claudio
Tu was du nicht lassen kannst
- http://endasmedia.ch
  Mit Zitat antworten Zitat
nahpets
(Gast)

n/a Beiträge
 
#6

AW: Überprüfung einer "Lizenz" möglichst sinnvoll gestalten

  Alt 24. Jan 2016, 17:53
Ja, es ist "nur" eine IF-Abfrage.

Aber: Wer daran vorbei will, muss auch erstmal wissen, dass es sie gibt, damit er sie umgehen kann.
Dazu muss er wissen, welche Teilmenge er für irgendeinen Hashwert braucht, von dem er auch noch wissen muss, wo er steht und welcher Algorithmus dahinter steckt.

Damit sind wir bei deutlich mehr, als "nur" einem IF.

Apropo: Viren, die die Exe manipulieren, werden so auch entdeckt, da das Programm eine Selbstprüfung auf Unverändertheit hat.

Und den Virus, der genau Deine Sicherungsmechanismen aushebelt, die sonst kein Mensch auf dieser Erde hat/kennt, wird es so schnell nicht geben.

Davon abgesehen: Was für "hochinteressante" Software vertreibst Du (zu welchen Kosten), dass sich der Aufwand der Umgehung der Lizensierung dafür (mit allen rechtlichen Folgen) "lohnt"?

Und vor allem: Wie hoch ist der bisher (und zukünftig vermutete/erwartete) wirtschaftliche Schaden, so dass sich die Investition in eine hochkomplexe und sichere Lizenzverwaltung für Dich lohnt?

Ist Deine Software hardwaregebunden?
Steht das im Lizenzvertrag?
Oder darf ich sie auf meinem Arbeitplatzrechner und auf meinem Notebook nutzen?
Was ist, wenn ich mal den Rechner austausche?

Abgesehen davon: Meine Firewall läßt kein Programm ins Netz, wenn ich dies nicht ausdrücklich erlaube.

Damit würde Deine Lizensierungart, mit "Wir gucken mal beim Server nach" bei mir scheitern.

Software mit Deinem "Lizensierungsmodell" käme bei mir nicht auf den Rechner.
Aber das ist ein anderes Thema.
  Mit Zitat antworten Zitat
hedie

Registriert seit: 12. Dez 2005
Ort: Schweiz
1.024 Beiträge
 
Delphi XE6 Starter
 
#7

AW: Überprüfung einer "Lizenz" möglichst sinnvoll gestalten

  Alt 24. Jan 2016, 18:35
Ja, es ist "nur" eine IF-Abfrage.

Davon abgesehen: Was für "hochinteressante" Software vertreibst Du (zu welchen Kosten), dass sich der Aufwand der Umgehung der Lizensierung dafür (mit allen rechtlichen Folgen) "lohnt"?
Heutzutage ist dies eine art Sport. Es geht nicht mehr darum dass mann möglichst teure Software knackt. Sondern das man einfach irgendwas knackt.
Einer hier im Forum hat berichtet, dass er seine Software, welche er für 7.50EUR angeboten hat, auf einer Warezsite gefunden hat inkl. Crack.



Und vor allem: Wie hoch ist der bisher (und zukünftig vermutete/erwartete) wirtschaftliche Schaden, so dass sich die Investition in eine hochkomplexe und sichere Lizenzverwaltung für Dich lohnt?
Wie bereits geschrieben, geht es mir nicht wirklich darum den besten Schutz zu erreichen, sondern auch etwas dabei zu Lernen.
Den Aufbau einer solchen Lizenzverwaltung finde ich eine spannende Sache!


Ist Deine Software hardwaregebunden?
Nach der Aktivierung ja. Da HardwareID gelesen wird.

Steht das im Lizenzvertrag?
Bisher gibt es noch keinen.

Oder darf ich sie auf meinem Arbeitplatzrechner und auf meinem Notebook nutzen?
Das ist bisher noch nicht geklärt. Wäre aber denkbar.

Was ist, wenn ich mal den Rechner austausche?
Dann teilt dir die Software während der Aktivierung mit, dass diese bereits aktiviert wurde.
Du kannst die Software dann dennoch aktivieren. Die alte HWID wird einfach deaktiviert.

Abgesehen davon: Meine Firewall läßt kein Programm ins Netz, wenn ich dies nicht ausdrücklich erlaube.
Damit würde Deine Lizensierungart, mit "Wir gucken mal beim Server nach" bei mir scheitern.
Normalerweise lässt der Anwender die Software ja ins Netz wenn es für sowas notwenig ist.
Die Software kommuniziert ja nur bei der aktivierung mit dem NEtz. dannach nicht mehr.
Zudem hast du die Möglichkeit, das Lizenzfile auf einer Webseite zu generieren, ohne mit der Software ins Netz zu müssen.


Software mit Deinem "Lizensierungsmodell" käme bei mir nicht auf den Rechner.
Aber das ist ein anderes Thema.
Bitte mache doch einen alternativen Vorschlag.
Ich nehme an du benutzt Linux. Denn bei Windows läuft die Aktivierung ja genau gleich
Claudio
Tu was du nicht lassen kannst
- http://endasmedia.ch
  Mit Zitat antworten Zitat
Dejan Vu
(Gast)

n/a Beiträge
 
#8

AW: Überprüfung einer "Lizenz" möglichst sinnvoll gestalten

  Alt 24. Jan 2016, 19:31
Abgesehen davon: Meine Firewall läßt kein Programm ins Netz, wenn ich dies nicht ausdrücklich erlaube.
Damit würde Deine Lizensierungart, mit "Wir gucken mal beim Server nach" bei mir scheitern.
Software mit Deinem "Lizensierungsmodell" käme bei mir nicht auf den Rechner.
Aber das ist ein anderes Thema.
Ach, 'ausdrücklich erlauben' käme dann nicht in Frage?
In der Konsequenz wirst Du dann auf immer mehr Software verzichten. Die Softwareindustrie fängt nämlich an, diese Art der Kunden einfach auszuklammern. Und das SaaS-Modell erzwingt es ja gerade, das die SW ab und zu mal mit einem Server redet.
  Mit Zitat antworten Zitat
hedie

Registriert seit: 12. Dez 2005
Ort: Schweiz
1.024 Beiträge
 
Delphi XE6 Starter
 
#9

AW: Überprüfung einer "Lizenz" möglichst sinnvoll gestalten

  Alt 24. Jan 2016, 19:44
Die Softwareindustrie fängt nämlich an, diese Art der Kunden einfach auszuklammern. Und das SaaS-Modell erzwingt es ja gerade, das die SW ab und zu mal mit einem Server redet.

Wobei dies bei meinem Modell nicht notwendig ist.
Der Internetzugang wird nur zu beginn benötigt. Dannach erfolgt die authentifizierung durch das Lizenzfile.
Hat man kein Internet auf dem PC, kann man das Lizenzfile auch über eine Webseite oder per E-Mail beantragen und kopieren.
Claudio
Tu was du nicht lassen kannst
- http://endasmedia.ch
  Mit Zitat antworten Zitat
Benutzerbild von Sir Rufo
Sir Rufo

Registriert seit: 5. Jan 2005
Ort: Stadthagen
9.454 Beiträge
 
Delphi 10 Seattle Enterprise
 
#10

AW: Überprüfung einer "Lizenz" möglichst sinnvoll gestalten

  Alt 24. Jan 2016, 20:14
Bei http://www.delphipraxis.net/187969-e...ierschutz.html wurde so etwas schon angerissen
Kaum macht man's richtig - schon funktioniert's
Zertifikat: Sir Rufo (Fingerprint: ‎ea 0a 4c 14 0d b6 3a a4 c1 c5 b9 dc 90 9d f0 e9 de 13 da 60)
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2   

Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 10:45 Uhr.
Powered by vBulletin® Copyright ©2000 - 2022, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2021 by Daniel R. Wolf