Здравствуйте.

Не так давно перешел на программирование под .Net, а тут мне сказали, что для .Net, есть специальные декомпиляторы.
Которые преобразуют скомпилированную программу обратно в удобочитаемый код. Правда ли это? И как тогда вообще защищать
программы от такого?

Здравствуйте, YaroslavPavlov, Вы писали:

YP>Здравствуйте.

YP>Не так давно перешел на программирование под .Net, а тут мне сказали, что для .Net, есть специальные декомпиляторы.
YP>Которые преобразуют скомпилированную программу обратно в удобочитаемый код. Правда ли это? И как тогда вообще защищать
YP>программы от такого?

Конечно правда. .NET Reflector, ildasm, etc.

Защищать? Ну, во-первых, стоит ли? Во-вторых, обфускаторами.

Декомпиляция http://forum.reverse4you.org/showthread.php?t=792&page=1

Читайте на тему обфускации кода:

http://www.cyberguru.ru/dotnet/net-framework/net-obfuscation.html

и вот

Обфускация

Здравствуйте, YaroslavPavlov, Вы писали:

YP>Не так давно перешел на программирование под .Net, а тут мне сказали, что для .Net, есть специальные декомпиляторы.
YP>Которые преобразуют скомпилированную программу обратно в удобочитаемый код. Правда ли это?

Правда. Такая же как то что твой код и так никому не нужен. Так что просто забей.

Здравствуйте, YaroslavPavlov, Вы писали:

YP>Здравствуйте.

YP>Не так давно перешел на программирование под .Net, а тут мне сказали, что для .Net, есть специальные декомпиляторы.
YP>Которые преобразуют скомпилированную программу обратно в удобочитаемый код. Правда ли это? И как тогда вообще защищать
YP>программы от такого?

У нас на работе мне отказались давать исходники из соседней комнаты. Дали тока dll-ки, вот я сижу и с помощью ILSpy изучаю как их программа работает внутри Оч удобно.

Здравствуйте, VladD2, Вы писали:

VD>Правда. Такая же как то что твой код и так никому не нужен. Так что просто забей.

Причём достаточно часто очень хотят защитить код люди, которые мало что умеют.
Наверное думают по принципу: "Не дам украсть последнее!"

Здравствуйте, Rival, Вы писали:

R>Причём достаточно часто очень хотят защитить код люди, которые мало что умеют.
R>Наверное думают по принципу: "Не дам украсть последнее!"

Я вижу смысл в защите кода только при одном условии, если это код защиты от копирования. В остальных это баловство. Код серьезного объема и сложности, даже при наличии документации, не всегда понять можно. Так что это просто привычки из прошлых времен.

Здравствуйте, VladD2, Вы писали:

VD>Я вижу смысл в защите кода только при одном условии, если это код защиты от копирования. В остальных это баловство.

Да, ну может ещё есть случаи, при каких-то особых нишевых алгоритмах и пр. Когда это в основном связано с математикой. Но это в основном на всяких ЧПУ, на дотнете такого и нет почти.

Здравствуйте, Rival, Вы писали:

R>Да, ну может ещё есть случаи, при каких-то особых нишевых алгоритмах и пр. Когда это в основном связано с математикой. Но это в основном на всяких ЧПУ, на дотнете такого и нет почти.

Ты языки для ЧПУ видел? Не знаю как сейчас, но 15 лет назад это бы тот еще красворд. Там шифровать ничего не надо было .

Здравствуйте, YaroslavPavlov, Вы писали:

YP>Здравствуйте.

YP>Не так давно перешел на программирование под .Net, а тут мне сказали, что для .Net, есть специальные декомпиляторы.
YP>Которые преобразуют скомпилированную программу обратно в удобочитаемый код. Правда ли это? И как тогда вообще защищать
YP>программы от такого?

Пиши говнокод, который и в обычных исходниках страшно смотреть.

> Пиши говнокод, который и в обычных исходниках страшно смотреть.

Что-то в этом есть. Надо будет подыскать тошнотворных примеров кода.

Здравствуйте, YaroslavPavlov, Вы писали:

YP> И как тогда вообще защищать программы от такого?
Видимо главный вопрос — для какой цели? Потому как обход защиты это всего лишь вопрос времени. При этом бывает, что "кошмарно" накрученные защиты, обходятся абсолютно просто со стороны о которой разработчик просто не подумал.

Мне кажется, достаточно какой либо простенькой защиты от "массы" если уж сильно хочется.

Здравствуйте, YaroslavPavlov, Вы писали:

YP>Здравствуйте.

YP>Не так давно перешел на программирование под .Net, а тут мне сказали, что для .Net, есть специальные декомпиляторы.
YP>Которые преобразуют скомпилированную программу обратно в удобочитаемый код. Правда ли это? И как тогда вообще защищать
YP>программы от такого?

Такое впечатление создается. что тут советуют только люди просиживающие в какихто конторках и никогда не писавших коммерческий продукт!
Когда коллектив потратил кучу времени, сил и бабла на разработку, а потом ему предлагают типа нечего там обфусцировать — никому дескать не нужен ваш код! — как же не нужен — ежели за него кучу килобаксов выплачено!!!
Странные однако люди!))

Здравствуйте, Аноним, Вы писали:

А>Здравствуйте, YaroslavPavlov, Вы писали:

YP>>Здравствуйте.

YP>>Не так давно перешел на программирование под .Net, а тут мне сказали, что для .Net, есть специальные декомпиляторы.
YP>>Которые преобразуют скомпилированную программу обратно в удобочитаемый код. Правда ли это? И как тогда вообще защищать
YP>>программы от такого?

А>Такое впечатление создается. что тут советуют только люди просиживающие в какихто конторках и никогда не писавших коммерческий продукт!
А>Когда коллектив потратил кучу времени, сил и бабла на разработку, а потом ему предлагают типа нечего там обфусцировать — никому дескать не нужен ваш код! — как же не нужен — ежели за него кучу килобаксов выплачено!!!
А>Странные однако люди!))

Ну вот декомплировал ты продукт. Получил, я не знаю, 500 тыщ строк кода. Что дальше, гений из коммерческой разработки?

YP>Не так давно перешел на программирование под .Net, а тут мне сказали, что для .Net, есть специальные декомпиляторы.
YP>Которые преобразуют скомпилированную программу обратно в удобочитаемый код. Правда ли это? И как тогда вообще защищать
YP>программы от такого?

Обфусцированый код тоже ломается. Серьезно защищать стоит только серьезный софт, который от 100 килорублей стоит. И это уже хардварная защита, что-то хаспоподобное, где критичные куски кода исполняются на уникальном ключе с памятью write-only, но это сам понимаешь или коробочный продукт, или высылать ключи по почте.

Здравствуйте, Rival, Вы писали:

VD>>Я вижу смысл в защите кода только при одном условии, если это код защиты от копирования. В остальных это баловство.
R>Да, ну может ещё есть случаи, при каких-то особых нишевых алгоритмах и пр. Когда это в основном связано с математикой. Но это в основном на всяких ЧПУ, на дотнете такого и нет почти.

Ну вот к примеру — наша компания делает железки (GPS/глонасс трекеры) и софт. Железки стоят денег, софт бесплатный. Но! Софт работает только с нашим железом. Подключение чужих трекеров не делается из политических соображений. Своеобразный vendor lock. И мы не хотим, чтобы наш софт начал работать с трекерами других производителей или каким-нибудь китайским говном.

Здравствуйте, denisio_mcp, Вы писали:

_>Ну вот к примеру — наша компания делает железки (GPS/глонасс трекеры) и софт. Железки стоят денег, софт бесплатный. Но! Софт работает только с нашим железом. Подключение чужих трекеров не делается из политических соображений. Своеобразный vendor lock. И мы не хотим, чтобы наш софт начал работать с трекерами других производителей или каким-нибудь китайским говном.

Это уже ваш фейл, такую кривую бизнес-модель нужно прекращать, чем раньше — тем меньше убытков в печальном итоге. Понятно, что если вы сделали просто очередной GPS-трекер которых 100500 уже разных, когда даже дядюшка Ляо уже замучился придумывать под каким названием выпустить очередной трекер то это ничего не стоит. Лезете на перегретый рынок и хотите что-то заработать? Мда..

Спасительная соломинка конечно, подумать что именно софт — основная ценная часть, делающая вас уникальными. Которая придает ликвидности железу... Но... Тут ваша бизнес-модель облажались. Придавать ликвидность ничего не стоящим софтом почти ничего не стоящему железу -- это примерно как финансовая модель США — ликвидность новых займов подкрепляется экономическими показателями, которые в свою очередь появились из ликвидности предыдущих займов.
Мюнхаузен сам себя за волосы из озера вытаскивает.

Измненить тенденцию вы сможете только если софт станет платный, но тут вы врядли придумали что-то новое, и, как и в железе, вы врядли сможете конкурировать с дядюшкой Ляо и тысячами других производителей. Вам бы определиться — зарабатываете на железе — сделайте уникальный трекер и продавайте. Зарабатываете на софте — сделайте уникальный софт для трекеров и продавайте. А если каждый из этих компонентов легко подменить и заменить армадой аналогов, то какой тогда смысл в вашем бизнесе?

Обфускация тут ни при чем.

Здравствуйте, VladD2, Вы писали:

VD>Я вижу смысл в защите кода только при одном условии, если это код защиты от копирования. В остальных это баловство.

Не только. Например (и это наиболее частый случай, кстати), прятать нужно реализации всяких проприетарных протоколов. Например, протоколы клиентов всяких MMORPG и прочей дребедени, чтобы читеры их не подделывали. А защита от копирования обычно отрубается вся целиком, и не важно, что там было у нее внутри.

Здравствуйте, Аноним, Вы писали:

А> Не только. Например (и это наиболее частый случай, кстати), прятать нужно реализации всяких проприетарных протоколов. Например, протоколы клиентов всяких MMORPG и прочей дребедени, чтобы читеры их не подделывали.

Вот это полная и кромешная дурь. Для взламывания протоколов даже в дотнете не нужно разбираться. Нужно просто продумывать протокол так, чтобы какие-то привилегии нельзя было получить на клиенте. Клиент должен только слать информацию о действиях пользователя, а уже ее интерпретацией должен заниматься сервер.

А>А защита от копирования обычно отрубается вся целиком, и не важно, что там было у нее внутри.

Защита от копирования тоже не панацея. Но при продаже "коробок" других путей защиты нет. Сделать защиту которая бы была трудна для взлома и часто приводила бы к частичной или полной неработоспособности взломанного софта таки можно. Такой сот как игры собирает 80% бабок в первый месяц продаж. Если защита проживет месяц, а цена невысока, то ее задача будет выполнена.

Так вот в защите от копирования правильным приемом будет разбрасывание генерируемых функций вставляемых во все места софта и изскажающие вычисления в случае нарушений защиты. Тут без обфускации, конечно, никуда.

ЗЫ

Тем кто хочет заниматься защитой стоило бы для начала пучиться ломать программы. Тогда и вопросов было бы по меньше.

Здравствуйте, Аноним, Вы писали:

А> Не только. Например (и это наиболее частый случай, кстати), прятать нужно реализации всяких проприетарных протоколов. Например, протоколы клиентов всяких MMORPG и прочей дребедени, чтобы читеры их не подделывали. А защита от копирования обычно отрубается вся целиком, и не важно, что там было у нее внутри.

При создании подобных приложений надо всегда думать "мне придется опубликовать сетевой протокол игрового клиента на оф.сайте".
Если ты заказчик, ты должен тоже самое сказать девелоперам. И все встанет на свои места.

Бизнес-логику нельзя держать на клиенте! Чем тупее клиент — тем лучше.
Если все сделано грамотно, злоумышленнику не будет никакого толка, что у него есть спецификации клиентского протокола. Он что, свой собственный игровой клиент нарисует? Ну и флаг в руки! если у него получится лучше чем у тебя, то тебе же лучше, денежки-то небось за подключение к серверу берутся?

Во-вторых если ты уже наступил на грабли, не разделил игрового и админского клиента, а проект уже в релизе, т.е. у тебя в коде клиента содержатся методы типа "BanAccount(UUID clientID)", то относительно малой кровью можно обойтись сделав так.. Удаляешь всю эту фигню, и создаешь "AdminSendCommand(string str)". А команду вводишь текстом с консоли, парсит её сервер. Теперь что толку хакеру что он знает что эта команда есть? А дальше с ней ему что делать? Механизм парсинга на сервере он не знает, команды и шаблоны админских текстовых команд в коде игрового клиента не содержатся.
Согласись как просто, гораздо проще, надежнее, и быстрее заморочек с обфускаторами и защитами.
Не нужен тебе обфускатор и защита.

Здравствуйте, enCobalt, Вы писали:

C>Бизнес-логику нельзя держать на клиенте! Чем тупее клиент — тем лучше.

Её и не держут. Написано же русским языком — базар про борьбу с читерами.

C>Он что, свой собственный игровой клиент нарисует?

Нет, он всего лишь сделает прокси, который будет анализировать обмен с сервером, и подшаманивать поток низкоуровневых клиентских событий таким образом, чтобы всегда белку в глаз с двух километров первым выстрелом.

Здравствуйте, drol, Вы писали:

D>Нет, он всего лишь сделает прокси, который будет анализировать обмен с сервером, и подшаманивать поток низкоуровневых клиентских событий таким образом, чтобы всегда белку в глаз с двух километров первым выстрелом.

Это и есть бизнес-логика на клиенте. А если передавать не событие "Попал в белку", а событие "Вектор выстрела", а сервер уже сам разберется была ли там белка? Если это что-то вроде 3D шутера, то на сервере фильтр по акселерометру истинного положения в пространстве (если слишком шустрый, значит не сам прицеливается). Все решаемо.

Здравствуйте, <Аноним>, Вы писали:

А>Такое впечатление создается. что тут советуют только люди просиживающие в какихто конторках и никогда не писавших коммерческий продукт!

Это скорее ты коммерческий продукт никогда не писал. Мы, к примеру, вообще часть исходников наружу отдаем. Нам самим так проще — баги быстрее вылавливаются.

Здравствуйте, <Аноним>, Вы писали:

А>Обфусцированый код тоже ломается. Серьезно защищать стоит только серьезный софт, который от 100 килорублей стоит.

Вот как раз такой софт особого смысла защищать нет — те, кто в принципе способен такие суммы за софт платить, те все равно ворованным софтом пользоваться не будут.
Всякие программные псевдозащиты оправдываются больше всего для мелких шароварок.

Здравствуйте, Аноним, Вы писали:

А>Здравствуйте, VladD2, Вы писали:

VD>>Я вижу смысл в защите кода только при одном условии, если это код защиты от копирования. В остальных это баловство.

А> Не только. Например (и это наиболее частый случай, кстати), прятать нужно реализации всяких проприетарных протоколов. Например, протоколы клиентов всяких MMORPG и прочей дребедени, чтобы читеры их не подделывали. А защита от копирования обычно отрубается вся целиком, и не важно, что там было у нее внутри.

Вы болеете? Зачем это обфусцировать, если весь ваш протокол смотрится сниффером?

Предваряя расспросы: я писал коммерчески успешные ММО.

Здравствуйте, AndrewVK, Вы писали:

А>>Обфусцированый код тоже ломается. Серьезно защищать стоит только серьезный софт, который от 100 килорублей стоит.

AVK>Вот как раз такой софт особого смысла защищать нет — те, кто в принципе способен такие суммы за софт платить, те все равно ворованным софтом пользоваться не будут.
AVK>Всякие программные псевдозащиты оправдываются больше всего для мелких шароварок.

Не скажи. Это как именно тот пример, когда нужна серьезная защита, хвардварная т.е. USB-донгл который имеет процессор и write-only память под код, куда прошиваются критичные участки кода + оригинал обфусцируется тем же ключем.
Представь себе что есть контора, которая пишет немассовый, но нужный софт, конкурентов по пальцам пересчитать. Но это НПО, сами продажами не занимаются, поиск клиентов, переговоры и продажа у дистрибьюторов, их десятки по всему СНГ + случайные "интеграторы" бывают. ПО самодостаточное, коробочное, полный комплект, нужный сервер в комплекте разворачивается у заказчика, а у многих заказчиков сеть по разным соображениям изолирована от интернета наглухо.
Стоимость софта >100 килорублей, из них дистрибьютор получает свои допустим 30к. Вопрос! Как долго дистрибьютор будет честно закупать коробочные комплекты для продажи?
Вот. Это случай когда защита нужна. Случай редкий, скорее исключение.
Навскидку могу придумать еще защиту артворка, когда спрайты и текстуры для игры были заказаны у самого Артемия Лебедева по его расценкам. гыгы.

Здравствуйте, enCobalt, Вы писали:

C> А если передавать не событие "Попал в белку", а событие "Вектор выстрела", а сервер уже сам разберется была ли там белка?

Да без разницы. Читерский прокси с точно таким же успехом подкрутит куда надо и Ваш вектор. Положение игрока\белки ему ведь известно — как иначе движку их рисовать, а Вам стрелять ?

C> Если это что-то вроде 3D шутера, то на сервере фильтр по акселерометру истинного положения в пространстве (если слишком шустрый, значит не сам прицеливается).

Ещё смешнее Какой акселерометр, в час ночи ??? Даже средние игроки умеют такую реакцию выдавать, что имеющий смысл фильтр такого рода не построишь.

C> Все решаемо.

Угу-угу. То-то люди мучаются и всякие PunkBuster'ы ваяют, а всё оказывается так просто... "Ну тупы-ы-ы-е" (c) не мой

Здравствуйте, enCobalt, Вы писали:

C>Представь себе что есть контора, которая пишет немассовый
C> ...
C>продажа у дистрибьюторов, их десятки по всему СНГ + случайные "интеграторы" бывают.

Вы уж определитесь: то ли "немассовый", то ли "десятки дистрибьюторов"...

Здравствуйте, drol, Вы писали:


C>>продажа у дистрибьюторов, их десятки по всему СНГ + случайные "интеграторы" бывают.

D>Вы уж определитесь: то ли "немассовый", то ли "десятки дистрибьюторов"...

А одно другое исключает? Много дистрибьюторов != частые продажи.

Здравствуйте, drol, Вы писали:

D>Здравствуйте, enCobalt, Вы писали:

D>Да без разницы. Читерский прокси с точно таким же успехом подкрутит куда надо и Ваш вектор. Положение игрока\белки ему ведь известно — как иначе движку их рисовать, а Вам стрелять ?
C>> Если это что-то вроде 3D шутера, то на сервере фильтр по акселерометру истинного положения в пространстве (если слишком шустрый, значит не сам прицеливается).
D>Ещё смешнее Какой акселерометр, в час ночи ??? Даже средние игроки умеют такую реакцию выдавать, что имеющий смысл фильтр такого рода не построишь.

Построишь. Тут уже во-первых ваше не знание матчасти за пределами программирования. Во-вторых это спор слепого с глухим — я не знаю ни что у вас за проект ни механику ни даже 3D это или нет и шутер или тетрис. Никто не сможет дать вам универсальный совет в диапазоне сразу от Тетриса до CoD. Мой опыт мне подсказывает что: а) обфускация и защита не нужна для большинства проектов если архитектура правильная. б) если неправильная обфускация и защита все-равно не помогают.
Я предлагаю закончить, или перейти в личку, может смогу что-то посоветовать, если узнаю больше деталей об этом конкретном проекте с проблемой.

Но наверное да, я может немного погорячился по 100 килорублей. У каждый производителя ПО могут быть свои калькуляции целесообразности, исходя из стоимости подобного юсб-ключа около 700-800 рублей + доставка не знамо куда + сроки доставки + какой почтой. Обычная почта у нас (РФ) такая своеобразная...

ADD

И конечно сфера применимости ключа. Если это не какое-то специализированное целевое ПО, но вы заказчику на форме заказа выкатите "Позравляем, вы только что купили Megasoft SuperGame, а теперь подождите 2-3 недели доставки usb-ключа".. то скорее всего все будет плохо.

Здравствуйте, enCobalt, Вы писали:

C>Стоимость софта >100 килорублей, из них дистрибьютор получает свои допустим 30к. Вопрос! Как долго дистрибьютор будет честно закупать коробочные комплекты для продажи?

Ну вот в той компании, в которой я работаю, ситуация примерно такая, т.е. головная корпорация особо продажами не занимается (а по моему продукту даже прикладная разработка почти вся ушла к партнерам). Только никаких спецжелезок для устранения проблемы не нужно. Достаточно просто не отдавать дилерам право генерировать ключи.

Здравствуйте, enCobalt, Вы писали:

C>Это и есть бизнес-логика на клиенте. А если передавать не событие "Попал в белку", а событие "Вектор выстрела", а сервер уже сам разберется была ли там белка? Если это что-то вроде 3D шутера, то на сервере фильтр по акселерометру истинного положения в пространстве (если слишком шустрый, значит не сам прицеливается). Все решаемо.

А сам факт того, что суслик там есть — тоже ведь в протоколе зашит, даже если он сидит под кустиком и его не должно быть хорошо видно. А читерский клиент его высветит. Или на сервере еще и всю графику обсчитывать?

Одно из возможных решений — постоянно мутирующий протокол, с постоянными (даже в рантайме) обновлениями клиентов. Тогда и сниффер не поможет, и декомпиляция клиента.

Здравствуйте, Aen Sidhe, Вы писали:

AS>Вы болеете? Зачем это обфусцировать, если весь ваш протокол смотрится сниффером?

Сравни трудоемкость вскрытия протокола по дампам сниффера и по готовому, чистенькому коду клиента.

Пока со сниффером возиться будут, протокол уже три раза поменяется.

Как я понимаю, главное, чего боятся разработчики ММО — это что к их жирным клиентам напишут альтернативный сервер (как это было со всякими там WOW и Lineage). Делать клиенты менее жирными пропускная способность этих ваших интернетов не позволяет.

Здравствуйте, Аноним, Вы писали:

А>Здравствуйте, Aen Sidhe, Вы писали:

AS>>Вы болеете? Зачем это обфусцировать, если весь ваш протокол смотрится сниффером?

А> Сравни трудоемкость вскрытия протокола по дампам сниффера и по готовому, чистенькому коду клиента.

Да как бы пофиг. Надо будут — вскроют. Можно же инжектнуть код прямо в процесс и смотреть всё оттуда.

А> Пока со сниффером возиться будут, протокол уже три раза поменяется.

Смена протокола — дорогое удовольствие в ММО.

А> Как я понимаю, главное, чего боятся разработчики ММО — это что к их жирным клиентам напишут альтернативный сервер (как это было со всякими там WOW и Lineage). Делать клиенты менее жирными пропускная способность этих ваших интернетов не позволяет.

Ну, сервера — это да. С другой стороны всем в принципе, пофиг. Протокол им в этом не поможет.

Потому что сервер надо поддерживать, обновлять, следить за идиотами. Это не так просто, как кажется. Основная проблема — читерство, да. В платежных системах особенно опасно. Но делается просто — всё считаем на сервере, на клиенте приделываем только команды "выстрелить туда, шаг влево" и т.д.

Здравствуйте, Aen Sidhe, Вы писали:

AS>Да как бы пофиг. Надо будут — вскроют. Можно же инжектнуть код прямо в процесс и смотреть всё оттуда.

Если вскрывать будут дольше, чем живет текущий протокол — то пусть себе вскрывают.

А>> Пока со сниффером возиться будут, протокол уже три раза поменяется.

AS>Смена протокола — дорогое удовольствие в ММО.

С какой такой радости? Абсолютно несовместимые друг с другом и друг на друга не похожие протоколы можно автоматически генерить в неограниченных количествах.

Здравствуйте, Аноним, Вы писали:

А>>> Пока со сниффером возиться будут, протокол уже три раза поменяется.

AS>>Смена протокола — дорогое удовольствие в ММО.

А> С какой такой радости? Абсолютно несовместимые друг с другом и друг на друга не похожие протоколы можно автоматически генерить в неограниченных количествах.

Я вам говорю, что это дорогое удовольствие в разработке обычно, раз.
Два, не всегда можно дропать все старые клиенты.

Здравствуйте, Aen Sidhe, Вы писали:

AS>Я вам говорю, что это дорогое удовольствие в разработке обычно, раз.

Ну, для некоторых гигантов мысли и "Hello, world!" — дорогое удовольствие в разработке. Задача-то тривиальная.

AS>Два, не всегда можно дропать все старые клиенты.

С какой радости? Клиенты (а точнее, реализацию протокола) можно обновнлять вообще не отходя от кассы. Пока не обновится, дальше не поедет.

Здравствуйте, Аноним, Вы писали:

А>Здравствуйте, Aen Sidhe, Вы писали:

AS>>Я вам говорю, что это дорогое удовольствие в разработке обычно, раз.

А> Ну, для некоторых гигантов мысли и "Hello, world!" — дорогое удовольствие в разработке. Задача-то тривиальная.

У вас, я смотрю, богатый опыт в разработке ММО. До свидания :D

Здравствуйте, Aen Sidhe, Вы писали:

AS>У вас, я смотрю, богатый опыт в разработке ММО. До свидания :D

Не хамите, юноша. У меня имеется опыт в разработке протоколов и в разработке самомодифицирующегося кода. Ничего там сложного нет, вообще. А что мало кто это делает, ну так дураков вообще намного больше чем умных.

Если есть что возразить конкретно (например, доказать, что автоматическая генерация реализации протоколов невозможна) — вперед, с песнями. Будет как минимум забавно. А вот понтоваться своим коротеньким "опытом" лучше не надо, это не аргумент в разговоре цивилизованных инженеров.

Здравствуйте, Аноним, Вы писали:

А>Здравствуйте, Aen Sidhe, Вы писали:

AS>>У вас, я смотрю, богатый опыт в разработке ММО. До свидания :D

А> Не хамите, юноша. У меня имеется опыт в разработке протоколов и в разработке самомодифицирующегося кода. Ничего там сложного нет, вообще. А что мало кто это делает, ну так дураков вообще намного больше чем умных.

Никто не хамил. У меня есть опыт разработки ММО, и там на моей памяти такого не делали и не планировали.

А> Если есть что возразить конкретно (например, доказать, что автоматическая генерация реализации протоколов невозможна) — вперед, с песнями. Будет как минимум забавно. А вот понтоваться своим коротеньким "опытом" лучше не надо, это не аргумент в разговоре цивилизованных инженеров.

Есть. Business value этой штуки — ноль. Только когда у нас замаячила возможность создания двух разных клиентов (флеш и не флеш), руководство дало добро на разработку автоматической генерации протоколов. Но потом второй клиент дропнули (во флеше придумали 3д), и опять всё задвинули в задний ящик.

Здравствуйте, YaroslavPavlov, Вы писали:

YP>Не так давно перешел на программирование под .Net, а тут мне сказали, что для .Net, есть специальные декомпиляторы.
YP>Которые преобразуют скомпилированную программу обратно в удобочитаемый код. Правда ли это? И как тогда вообще защищать
YP>программы от такого?

Не слушайте дураков. Защита — больное место дотнета, поэтому фанбои так и возбудились. Пишут, проблемы нет. А проблема есть.

В качестве примера: понадобился нам парсер формул из шаропоинта, чтобы обеспечить обработку формул, 1:1 как в нем (требование заказчика). Ну что — достали рефлектор и посмотрели шаропоинту в кишки, с мыслью, что через час выкусим нужный код, перекомпилим и избавимся от зависимости в виде MOSS. Ага... выкусили. В другом только смысле. Рефлектор показал, что внутри комовские бинари. Пришлось вызывать их код. Так Майкрософт сумел прибить свой сраный шаропоинт гвоздями к нашему продукту, хотя изначально связь виделась семантически-платонической. Потому они и хапают миллиардами, в то время как продукт на букву Н. бесплатно не берут. Ум у них есть.

Самое обидное, что писать на чистом дотнете сплошное удовольствие, в смысле расхода человеко-часов и качества исходников. Боюсь, надежно эта проблема решается только при выполнении вашего кода на изолированном сервере, как в случае с веб-скриптами. Или, вот, как с шаропоинтом.

Здравствуйте, Aen Sidhe, Вы писали:

AS>Никто не хамил. У меня есть опыт разработки ММО, и там на моей памяти такого не делали и не планировали.

Однако, такое делается вне ММО частенько. И ничто не мешает позаимствовать опыт.

AS>Есть. Business value этой штуки — ноль.

Надежная защита от читерства — это не такой уж и "ноль".

AS> Только когда у нас замаячила возможность создания двух разных клиентов (флеш и не флеш), руководство дало добро на разработку автоматической генерации протоколов. Но потом второй клиент дропнули (во флеше придумали 3д), и опять всё задвинули в задний ящик.

Вот уж с флешем генерацию протокола вообще проще простого было бы сделать. Возможно даже и несколько проще, чем статический протокол.

Здравствуйте, Аноним, Вы писали:

А>Здравствуйте, Aen Sidhe, Вы писали:

AS>>Никто не хамил. У меня есть опыт разработки ММО, и там на моей памяти такого не делали и не планировали.

А> Однако, такое делается вне ММО частенько. И ничто не мешает позаимствовать опыт.

Конечно, да.

AS>>Есть. Business value этой штуки — ноль.

А> Надежная защита от читерства — это не такой уж и "ноль".

Надёжная защита от читерства делается другими методами (хранение состояния на сервере и валидация запросов от сервера). И у нас она была. Поэтому ноль.

Частая смена протокола — это скорее защита от ботов или альтернативных клиентов. Как и всякие другие мелкие фишки, типа невидимых вещей в луте и т.д.

AS>> Только когда у нас замаячила возможность создания двух разных клиентов (флеш и не флеш), руководство дало добро на разработку автоматической генерации протоколов. Но потом второй клиент дропнули (во флеше придумали 3д), и опять всё задвинули в задний ящик.

А> Вот уж с флешем генерацию протокола вообще проще простого было бы сделать. Возможно даже и несколько проще, чем статический протокол.

Ну, на флеше-то только клиент =) Всё остальное — дотнет. Ну и всегда следует понимать, что есть уже текущий код, который надо будет адаптировать.

Здравствуйте, enCobalt, Вы писали:

C>Это уже ваш фейл, такую кривую бизнес-модель нужно прекращать, чем раньше — тем меньше убытков в печальном итоге.

Всё, что вы написали — оно теоретически ооочень верно, и про новые бизнес модели и про "уникальный продукт" — ну просто золотые слова из саксесс стори.
Только на практике всё немного не так и привязка софта к железу чисто по политическим причинам — весьма распространённая ситуация.

Здравствуйте, Aen Sidhe, Вы писали:

AS>Надёжная защита от читерства делается другими методами (хранение состояния на сервере и валидация запросов от сервера). И у нас она была. Поэтому ноль.

От ботов оно как поможет? Или вы такими вещами не заморачивались?

Здравствуйте, yoriсk.kiev.ua, Вы писали:

YKU>Здравствуйте, Aen Sidhe, Вы писали:

AS>>Надёжная защита от читерства делается другими методами (хранение состояния на сервере и валидация запросов от сервера). И у нас она была. Поэтому ноль.

YKU>От ботов оно как поможет? Или вы такими вещами не заморачивались?

Защита от ботов классическая — смотрим количество запросов в секунду. В целом — не заморачивались. От ботов как раз надо делать частые смены протокола и всякие другие вещи (типа уже упомянутых невидимых вещей в луте и прочих маркеров, которые игрок не увидит, а бот поймается).

Здравствуйте, Aen Sidhe, Вы писали:

AS>>>Надёжная защита от читерства делается другими методами (хранение состояния на сервере и валидация запросов от сервера). И у нас она была. Поэтому ноль.
YKU>>От ботов оно как поможет? Или вы такими вещами не заморачивались?
AS>Защита от ботов классическая — смотрим количество запросов в секунду.

Смешно.

AS>В целом — не заморачивались.

Т.е. никакой заявленой "надёжной защиты от читерства" и не пахнет.

AS>От ботов как раз надо делать частые смены протокола и всякие другие вещи

Ну слава богу, таки договорились, что иногда всё-таки протокол желательно иметь позакрытие, клиент — тоже и т.д.

Здравствуйте, yoriсk.kiev.ua, Вы писали:

YKU>Здравствуйте, Aen Sidhe, Вы писали:

AS>>>>Надёжная защита от читерства делается другими методами (хранение состояния на сервере и валидация запросов от сервера). И у нас она была. Поэтому ноль.
YKU>>>От ботов оно как поможет? Или вы такими вещами не заморачивались?
AS>>Защита от ботов классическая — смотрим количество запросов в секунду.

YKU>Смешно.

Да. 99% ботов отсекались. Было ещё более смешно. Серьёзно

AS>>В целом — не заморачивались.

YKU>Т.е. никакой заявленой "надёжной защиты от читерства" и не пахнет.

Читерство и ботоводство — две ортогональные, никак не связанные друг с другом вещи.

AS>>От ботов как раз надо делать частые смены протокола и всякие другие вещи

YKU>Ну слава богу, таки договорились, что иногда всё-таки протокол желательно иметь позакрытие, клиент — тоже и т.д.

Нет, не договорились. Защита от ботов тоже не всегда важна. Плюс, частая смена и закрытие — две разные вещи.

Здравствуйте, Аноним, Вы писали:

А> А сам факт того, что суслик там есть — тоже ведь в протоколе зашит, даже если он сидит под кустиком и его не должно быть хорошо видно. А читерский клиент его высветит. Или на сервере еще и всю графику обсчитывать?

Кстати, есть такая штука в штатах, там была история про игровой сервис с мощным и серваками и тонким клиентом. Вроде уже запустили, но боюсь название даже забыл.

А насчет белки в кустах.. тут тупик. Вроде запуска под отладочной версией Direct3D. Но, как говорится, не можешь победить врага — возглавь его! Пойду дедспейс ломать, ато задолбали внезапно выскакивать

P.S. это я намекаю на читы, которые выпускает сам производитель игр, но которые работают криво и глючно, зато они в разных вариантах заполонили все интернеты — попробуй найди настоящий
.

Здравствуйте, Aen Sidhe, Вы писали:

YKU>>Смешно.
AS>Да. 99% ботов отсекались. Было ещё более смешно. Серьёзно

Да с такими методами "надёжной защиты" боты у вас цвели и пахли, просто вы о них не догадывались. Отсеивались-то ну совсем уж школьники.

YKU>>Т.е. никакой заявленой "надёжной защиты от читерства" и не пахнет.
AS>Читерство и ботоводство — две ортогональные, никак не связанные друг с другом вещи.

Ботоводство — разновидность читерства. Вы с ММОРПГ имели дело когда-нибуть?

YKU>>Ну слава богу, таки договорились, что иногда всё-таки протокол желательно иметь позакрытие, клиент — тоже и т.д.
AS>Нет, не договорились. Защита от ботов тоже не всегда важна.

Именно это я и написал, вообще-то.
Спор ради спора?

AS>Плюс, частая смена и закрытие — две разные вещи.

На кой чёрт чего-то менять, если по открытым исходникам(как тут предполагалось) все изменения будут внесены злоумышленником в ботфермы в течении часов?

Здравствуйте, yoriсk.kiev.ua, Вы писали:

YKU>Здравствуйте, Aen Sidhe, Вы писали:

YKU>>>Смешно.
AS>>Да. 99% ботов отсекались. Было ещё более смешно. Серьёзно

YKU>Да с такими методами "надёжной защиты" боты у вас цвели и пахли, просто вы о них не догадывались. Отсеивались-то ну совсем уж школьники.

Да как и бы и всё равно. Бизнесу не мешало. Боты не всегда плохо.

YKU>>>Т.е. никакой заявленой "надёжной защиты от читерства" и не пахнет.
AS>>Читерство и ботоводство — две ортогональные, никак не связанные друг с другом вещи.

YKU>Ботоводство — разновидность читерства. Вы с ММОРПГ имели дело когда-нибуть?

http://en.wikipedia.org/wiki/Cheating_in_video_games

Здравствуйте, Аноним, Вы писали:

А>Не слушайте дураков. Защита — больное место дотнета, поэтому фанбои так и возбудились. Пишут, проблемы нет. А проблема есть.

Как будто native намного сложнее реверсить.

А>Самое обидное, что писать на чистом дотнете сплошное удовольствие, в смысле расхода человеко-часов и качества исходников. Боюсь, надежно эта проблема решается только при выполнении вашего кода на изолированном сервере, как в случае с веб-скриптами. Или, вот, как с шаропоинтом.

А на скриптовых языках еще большее удовольствие писать. Но там код вообще не проблема реверсить.

Здравствуйте, AndrewVK, Вы писали:

AVK>Ну вот в той компании, в которой я работаю, ситуация примерно такая, т.е. головная корпорация особо продажами не занимается (а по моему продукту даже прикладная разработка почти вся ушла к партнерам). Только никаких спецжелезок для устранения проблемы не нужно. Достаточно просто не отдавать дилерам право генерировать ключи.

А как вы решили проблему с хьюман инжиниринг? Вот допустим вы ключ к железу привязываете, а вам звонит один из интеграторов "тут у клиента сервак сгорел, мы поменяли, сгенерируйте нам новый ключ". Откуда вы знаете старый это клиент или новый. Я имею ввиду автономное ПО в сети без интернета.

Здравствуйте, Аноним, Вы писали:

А> Как будто native намного сложнее реверсить.

Не сложнее, а труднее.

А>>Самое обидное, что писать на чистом дотнете сплошное удовольствие, в смысле расхода человеко-часов и качества исходников. Боюсь, надежно эта проблема решается только при выполнении вашего кода на изолированном сервере, как в случае с веб-скриптами. Или, вот, как с шаропоинтом.

А> А на скриптовых языках еще большее удовольствие писать.

На любителя. По мне, так дотнет несет больше удовольствия. Но спорить не буду.

>Но там код вообще не проблема реверсить.

Проблема его выковырять с сервера. Если это серверные скрипты. А если нет, то, конечно, не проблема.

Здравствуйте, Aen Sidhe, Вы писали:

AS>Да как и бы и всё равно. Бизнесу не мешало. Боты не всегда плохо.

Вы имете ввиду когда монетизация через продажу внутриигровых вещей?
Вообще, я не сталкивался с геймдевом, может организуете соответствующу ветку
типа .Net геймдев защита, с удовольствием бы почитал.

Здравствуйте, enCobalt, Вы писали:

C>Здравствуйте, Aen Sidhe, Вы писали:

AS>>Да как и бы и всё равно. Бизнесу не мешало. Боты не всегда плохо.

C>Вы имете ввиду когда монетизация через продажу внутриигровых вещей?

Ну, допустим, если ММО на подписке, то какая разница — человек там играет или бот, если он уже занёс 10-20 долларов за месяц? Если аккаунт активен не 24 часа в сутки, а 6-8, то как бы и фиг с ним.

C>Вообще, я не сталкивался с геймдевом, может организуете соответствующу ветку типа .Net геймдев защита, с удовольствием бы почитал.

Я давно отстал от жизни, так что будет малоактуально.

Здравствуйте, enCobalt, Вы писали:

C>А как вы решили проблему с хьюман инжиниринг?

С чем?

C> Вот допустим вы ключ к железу привязываете, а вам звонит один из интеграторов "тут у клиента сервак сгорел, мы поменяли, сгенерируйте нам новый ключ".

Не надо ничего допускать. Ключ мы к железу не привязываем.

C> Откуда вы знаете старый это клиент или новый.

По названию юрлица клиента, которое в ключе присутствует.

Здравствуйте, Aen Sidhe, Вы писали:

YKU>>Ботоводство — разновидность читерства. Вы с ММОРПГ имели дело когда-нибуть?

AS>http://en.wikipedia.org/wiki/Cheating_in_video_games

Ё-моё, да вы лицуху к любой ММОРПГ почитайте.
Или вашу несчастную википедию на русский язык переключите:Читерство в сетевых игр — там целый раздел этому посвещён. Заодно и узнаете, почему это плохо, зачем шифруется трафк и т.д.

Здравствуйте, yoriсk.kiev.ua, Вы писали:

YKU>Здравствуйте, Aen Sidhe, Вы писали:

YKU>>>Ботоводство — разновидность читерства. Вы с ММОРПГ имели дело когда-нибуть?

AS>>http://en.wikipedia.org/wiki/Cheating_in_video_games

YKU>Ё-моё, да вы лицуху к любой ММОРПГ почитайте.
YKU>Или вашу несчастную википедию на русский язык переключите:Читерство в сетевых игр — там целый раздел этому посвещён. Заодно и узнаете, почему это плохо, зачем шифруется трафк и т.д.

Есть два разных понятия. Ботоводство и читерство. Если вам это не нравится, мне с этим ничего не поделать.

Здравствуйте, Аноним, Вы писали:

А>Обфусцированый код тоже ломается. Серьезно защищать стоит только серьезный софт, который от 100 килорублей стоит. И это уже хардварная защита, что-то хаспоподобное, где критичные куски кода исполняются на уникальном ключе с памятью write-only, но это сам понимаешь или коробочный продукт, или высылать ключи по почте.

write-only действительно уникальные ключи. Даже не поспоришь

Здравствуйте, Аноним, Вы писали:

А>>Не слушайте дураков. Защита — больное место дотнета, поэтому фанбои так и возбудились. Пишут, проблемы нет. А проблема есть.

А> Как будто native намного сложнее реверсить.

Конечно сложнее, особенно после виртуализации критичного кода.

Здравствуйте, enCobalt, Вы писали:

C>Бизнес-логику нельзя держать на клиенте! Чем тупее клиент — тем лучше.
C>Если все сделано грамотно, злоумышленнику не будет никакого толка, что у него есть спецификации клиентского протокола. Он что, свой собственный игровой клиент нарисует? Ну и флаг в руки! если у него получится лучше чем у тебя, то тебе же лучше, денежки-то небось за подключение к серверу берутся?

Создавать и ломать — это две разные профессии и разное мышление — одно креативное — другое деструктивное — это всеравно что роженице предлагать делать аборт!

Здравствуйте, drVanо, Вы писали:

А>> Как будто native намного сложнее реверсить.

V>Конечно сложнее, особенно после виртуализации критичного кода.

Как будто ровно то же самое в managed сделать сложно. Даже на чистом шарпе можно написать практически не поддающийся реверсу код. Даже если исходники дать.

Здравствуйте, yoriсk.kiev.ua, Вы писали:

YKU>Здравствуйте, Aen Sidhe, Вы писали:

YKU>>>Смешно.
AS>>Да. 99% ботов отсекались. Было ещё более смешно. Серьёзно

YKU>Да с такими методами "надёжной защиты" боты у вас цвели и пахли, просто вы о них не догадывались. Отсеивались-то ну совсем уж школьники.

Да, кстати, пока не забыл. Современным ботам всё равно какой у вас протокол. Шифрованный/нешифрованный. Закрытый/открытый. Потому что они работают либо на OCR (распознают скриншоты и тыркают по кнопкам), либо инжектят код на уровне DirectX/WinAPI и вызывают методы "юзер нажал кнопочку", "юзер выстрелил" и т.д.

Так что спор был действительно ни о чём. Приношу свои извинения.

Здравствуйте, AndrewVK, Вы писали:

C>> Вот допустим вы ключ к железу привязываете, а вам звонит один из интеграторов "тут у клиента сервак сгорел, мы поменяли, сгенерируйте нам новый ключ".
AVK>Не надо ничего допускать. Ключ мы к железу не привязываем.
AVK>По названию юрлица клиента, которое в ключе присутствует.

Т.е. у вас есть выходы с контактами и телефонами на конкретных заказчиков, которые через компанию-интегратора пришли? По крайней мере наименование юрлица.

Здравствуйте, enCobalt, Вы писали:

C>Т.е. у вас есть выходы с контактами и телефонами на конкретных заказчиков, которые через компанию-интегратора пришли? По крайней мере наименование юрлица.

Не распарсил. Разумеется у нас есть наименование юрлица для которого мы лицензию выдаем. Мы ж софт продаем, а не холодильники.

Здравствуйте, drVanо, Вы писали:

V>Здравствуйте, Аноним, Вы писали:

А>>Обфусцированый код тоже ломается. Серьезно защищать стоит только серьезный софт, который от 100 килорублей стоит. И это уже хардварная защита, что-то хаспоподобное, где критичные куски кода исполняются на уникальном ключе с памятью write-only, но это сам понимаешь или коробочный продукт, или высылать ключи по почте.

V>write-only действительно уникальные ключи. Даже не поспоришь

Уточню для зануд — память под код, прошивку и привязку ключей к девелоперу врайт-онли. Но! Реклама детектед.
Если есть что-то предложить по сравнению с Гвардантом, я готов пообщаться. Мой интерес утилитарный, кто из производителей хаврдварной защиты сможет лучше, тот и производитель защиты для нас.

Здравствуйте, Аноним, Вы писали:
А> Как будто ровно то же самое в managed сделать сложно. Даже на чистом шарпе можно написать практически не поддающийся реверсу код. Даже если исходники дать.

Согласен. Как уже говорилось в этой ветке — пиши говнокод. Есть еще вариант нанять пару индусов — и проблема решена.

Здравствуйте, AndrewVK, Вы писали:

C>>Т.е. у вас есть выходы с контактами и телефонами на конкретных заказчиков, которые через компанию-интегратора пришли? По крайней мере наименование юрлица.

AVK>Не распарсил. Разумеется у нас есть наименование юрлица для которого мы лицензию выдаем. Мы ж софт продаем, а не холодильники.

Ммм.. Я немного про другое говорил. В двух словах смысл такой — мы не имеем контактов конкретного заказчика, борются компании-интеграторы по конкурсам, ауцкционам, тендерам, и весь гемор потом их. Мы часто даже не знаем что был за тендер для кого и между кем.

C>Здравствуйте, AndrewVK, Вы писали:

ADD

Вот смотри как происходит.
Допустим государство выставляет тендер на оснащение только что построенное здание ПФР инфраструктурой. Строители стены построили. Далее надо изнутри все сделать. Это и делают "компании-интеграторы". "Интеграторы" сразу целый комплекс предлагают "под ключ" -- у них в руках договора с разными самостоятельными компаниями решения которых они интегруют: одни провода тянут и в короба их кладут и короба монтируют, другие электрику проводят, третьи компы поставляют, четвертые софт, пятые сигнализацию и т.д. Компания-интегратор все это организует в единыйпроцесс и она юридический единый исполнитель. Так вот, одной из таких леталей является моя контора. Формально мы часто даже не знаем кто конечный покупатель.

Здравствуйте, AndrewVK, Вы писали:

AVK>Не распарсил. Разумеется у нас есть наименование юрлица для которого мы лицензию выдаем. Мы ж софт продаем, а не холодильники.

ADD

Вот смотри как происходит.
Допустим государство выставляет тендер на оснащение только что построенное здание ПФР инфраструктурой. Строители стены построили. Далее надо изнутри все сделать. Это и делают "компании-интеграторы". "Интеграторы" сразу целый комплекс предлагают "под ключ" -- у них в руках договора с разными самостоятельными компаниями решения которых они интегруют: одни провода тянут и в короба их кладут и короба монтируют, другие электрику проводят, третьи компы поставляют, четвертые софт, пятые сигнализацию и т.д. Компания-интегратор все это организует в единыйпроцесс и она юридический единый исполнитель. Так вот, одной из таких леталей является моя контора. Формально мы часто даже не знаем кто конечный покупатель.

Здравствуйте, enCobalt, Вы писали:

C>Ммм.. Я немного про другое говорил. В двух словах смысл такой — мы не имеем контактов конкретного заказчика

Ну и нафига?

C>борются компании-интеграторы по конкурсам, ауцкционам, тендерам, и весь гемор потом их

Это ради бога. Только оно никак не мешает поддерживать централизованную выдачу сертификатов.

Здравствуйте, AndrewVK, Вы писали:

AVK>Здравствуйте, enCobalt, Вы писали:

C>>Ммм.. Я немного про другое говорил. В двух словах смысл такой — мы не имеем контактов конкретного заказчика

AVK>Ну и нафига?

C>>борются компании-интеграторы по конкурсам, ауцкционам, тендерам, и весь гемор потом их

AVK>Это ради бога. Только оно никак не мешает поддерживать централизованную выдачу сертификатов.

Возможно можно было и как вы сделать. Это уже скорее огранизационный процесс. Согласись насколько проще -- получил деньги за копию ПО — отгрузил ключ себестоимостью 700 рублей. А дальше... кто кого кому его будет ставить, за какие деньги, на каких условиях — это уже так пофиг

Здравствуйте, enCobalt, Вы писали:

C>Возможно можно было и как вы сделать. Это уже скорее огранизационный процесс. Согласись насколько проще -- получил деньги за копию ПО — отгрузил ключ себестоимостью 700 рублей.

Не соглашусь. Особенно если речь идет о дорогом ПО. Выдать электронную лицензию в наше время не сложнее, а наоборот проще.
Опять же вопрос поддержки — вы ее на основании чего оказывать предполагаете?

Здравствуйте, AndrewVK, Вы писали:

AVK>Здравствуйте, enCobalt, Вы писали:

C>>Возможно можно было и как вы сделать. Это уже скорее огранизационный процесс. Согласись насколько проще -- получил деньги за копию ПО — отгрузил ключ себестоимостью 700 рублей.

AVK>Не соглашусь. Особенно если речь идет о дорогом ПО. Выдать электронную лицензию в наше время не сложнее, а наоборот проще.
AVK>Опять же вопрос поддержки — вы ее на основании чего оказывать предполагаете?

На основании контракта по тендеру. Поддержку заказчика обеспечивает исполнитель. У интегратора вопрос именно по нашему ПО, а мы как юр.лицо никак там не участвуем естественно. Отношения между исполнителем-интегратором и нами — это уже другой контракт со своими условиями, иногда совсем другими. Суть в том, что заказчик не знает что софт сделала именно наша контора, а общается с исполнителем. А мы не знаем кто заказчик

Здравствуйте, AndrewVK, Вы писали:

В том и смысл "компании-интегратора", что она решает сама весь спектр вопросов от электрики до ПО и охраны для заказчика, и с неё единоличный спрос. А с другой стороны сама разруливает вопросы с конкретными поставщиками и исполнителями по каждому отдельному вопросу.

Здравствуйте, Aen Sidhe, Вы писали:

AS>Да, кстати, пока не забыл. Современным ботам всё равно какой у вас протокол. Шифрованный/нешифрованный. Закрытый/открытый. Потому что они работают либо на OCR (распознают скриншоты и тыркают по кнопкам), либо инжектят код на уровне DirectX/WinAPI и вызывают методы "юзер нажал кнопочку", "юзер выстрелил" и т.д.

Когда у вас появятся такие боты вас можно будет только поздравить. Действительно, молодцы, игра весьма хороша, денежна, за неё взялись профессионалы. А так — это сообщение в стиле "любая защита хотя-бы теоретически может быть взломана, поэтому защищай-не защищай, всё едино".

Здравствуйте, <Аноним>, Вы писали:

А>На основании контракта по тендеру. Поддержку заказчика обеспечивает исполнитель.

Ничего не понял. Что ж у вас за софт такой, что поддержку кто то другой обеспечивает?

Здравствуйте, yoriсk.kiev.ua, Вы писали:

YKU>Здравствуйте, Aen Sidhe, Вы писали:

AS>>Да, кстати, пока не забыл. Современным ботам всё равно какой у вас протокол. Шифрованный/нешифрованный. Закрытый/открытый. Потому что они работают либо на OCR (распознают скриншоты и тыркают по кнопкам), либо инжектят код на уровне DirectX/WinAPI и вызывают методы "юзер нажал кнопочку", "юзер выстрелил" и т.д.

YKU>Когда у вас появятся такие боты вас можно будет только поздравить. Действительно, молодцы, игра весьма хороша, денежна, за неё взялись профессионалы. А так — это сообщение в стиле "любая защита хотя-бы теоретически может быть взломана, поэтому защищай-не защищай, всё едино".

Такой бот один для всех. lavishsoft.com.

Здравствуйте, Aen Sidhe, Вы писали:

AS>Такой бот один для всех. lavishsoft.com.

Может и правда отдельную тему сделать?
Я вот не глупый прогер, но пока не вижу архитектурной незибежности требующей защиты софта и протокола в геймдеве. Разве что кроме запуска под дебаг версией DirectX с хуками, но тут ни протокол ни защита софта ни при чем, сама сцена как открытая книга.
Вот на самом деле, очень интересно почитать в чем сам цинус ситуации и как с ним борятся.
Я думаю модеры не будут придираться если топикстарт будет в формате статьи.

Здравствуйте, enCobalt, Вы писали:

C>Здравствуйте, Aen Sidhe, Вы писали:

AS>>Такой бот один для всех. lavishsoft.com.

C>Может и правда отдельную тему сделать?

Надо, да.

C>Я вот не глупый прогер, но пока не вижу архитектурной незибежности требующей защиты софта и протокола в геймдеве. Разве что кроме запуска под дебаг версией DirectX с хуками, но тут ни протокол ни защита софта ни при чем, сама сцена как открытая книга.
C>Вот на самом деле, очень интересно почитать в чем сам цинус ситуации и как с ним борятся.
C>Я думаю модеры не будут придираться если топикстарт будет в формате статьи.

Не понял, извините.

Здравствуйте, enCobalt, Вы писали:

C>Если есть что-то предложить по сравнению с Гвардантом
Вы про Guardant Code?
Мне непонятно, как, при наличии команды, состоящей только из дотнетчиков, и пишущей софт далеко не научного характера, использовать это на практике? Что в этот ключ засовывать — простейщие арифметические действия?

Здравствуйте, YaroslavPavlov, Вы писали:
YP>Не так давно перешел на программирование под .Net, а тут мне сказали, что для .Net, есть специальные декомпиляторы.
YP>Которые преобразуют скомпилированную программу обратно в удобочитаемый код. Правда ли это? И как тогда вообще защищать
YP>программы от такого?

Многие тут такую фигню пишут, что что кажется будто они инопланетяне — мол нефиг защищать код, работайте за спасибо, отдавайте свою работу всем бесплатно
А вы готовы оплатить нашу бесплатную работу??

Здравствуйте, Аноним, Вы писали:

А>Здравствуйте, YaroslavPavlov, Вы писали:
YP>>Не так давно перешел на программирование под .Net, а тут мне сказали, что для .Net, есть специальные декомпиляторы.
YP>>Которые преобразуют скомпилированную программу обратно в удобочитаемый код. Правда ли это? И как тогда вообще защищать
YP>>программы от такого?

А>Многие тут такую фигню пишут, что что кажется будто они инопланетяне — мол нефиг защищать код, работайте за спасибо, отдавайте свою работу всем бесплатно
А>А вы готовы оплатить нашу бесплатную работу??

Т.е. Jetbrains работает бесплатно?

Здравствуйте, Aen Sidhe, Вы писали:

А>>Многие тут такую фигню пишут, что что кажется будто они инопланетяне — мол нефиг защищать код, работайте за спасибо, отдавайте свою работу всем бесплатно
А>>А вы готовы оплатить нашу бесплатную работу??

AS>Т.е. Jetbrains работает бесплатно?

не равняйте божий дар с яичницей — это целая махина с мощной юр поддержкой и уже на ходу давно. а не только высунула голову и зачаточный проект выложила во всеобщий доступ, чтоб тут сразу корпорации добра (и прочие.. ) стырили идею и выдали за свою и не сказали даже спасибо! Такое впечатление что все наелись таблеток всеобщего щастья и процветания — вернитесь!!! аууу !!! мы этим себе на жизнь зарабатываем в жесткой конкурентной борьбе — где нормально стырить чужое и продать как свое

Здравствуйте, Аноним, Вы писали:

А>Здравствуйте, Aen Sidhe, Вы писали:

А>>>Многие тут такую фигню пишут, что что кажется будто они инопланетяне — мол нефиг защищать код, работайте за спасибо, отдавайте свою работу всем бесплатно
А>>>А вы готовы оплатить нашу бесплатную работу??

AS>>Т.е. Jetbrains работает бесплатно?

А>не равняйте божий дар с яичницей — это целая махина с мощной юр поддержкой и уже на ходу давно. а не только высунула голову и зачаточный проект выложила во всеобщий доступ, чтоб тут сразу корпорации добра (и прочие.. ) стырили идею и выдали за свою и не сказали даже спасибо! Такое впечатление что все наелись таблеток всеобщего щастья и процветания — вернитесь!!! аууу !!! мы этим себе на жизнь зарабатываем в жесткой конкурентной борьбе — где нормально стырить чужое и продать как свое

Jetbrains с первых релизов дотнет продуктов их не обфусцировала. Причём здесь это? Стырь решарпер, кто мешает.

Здравствуйте, enCobalt, Вы писали:

C>Здравствуйте, denisio_mcp, Вы писали:

_>>Ну вот к примеру — наша компания делает железки (GPS/глонасс трекеры) и софт. Железки стоят денег, софт бесплатный. Но! Софт работает только с нашим железом. Подключение чужих трекеров не делается из политических соображений. Своеобразный vendor lock. И мы не хотим, чтобы наш софт начал работать с трекерами других производителей или каким-нибудь китайским говном.

C>Это уже ваш фейл, такую кривую бизнес-модель нужно прекращать, чем раньше — тем меньше убытков в печальном итоге. Понятно, что если вы сделали просто очередной GPS-трекер которых 100500 уже разных, когда даже дядюшка Ляо уже замучился придумывать под каким названием выпустить очередной трекер то это ничего не стоит. Лезете на перегретый рынок и хотите что-то заработать? Мда..

Пришел тут самый умный и объяснил как жить, ага.

/me вздохнул. ок, достану и я. Мы уже 15 лет как оборудование делаем, а конкретно GPS-трекеры — шесть. Какое место в списке производителей GPS-трекеров в России мы занимаем, я не помню, но знаю что в десятке. Может сейчас уже и в пятерке. Дилеров по продаже железа у нас больше сотни, практически во всех крупных и не очень крупных городах. В некоторых по два дилера. Данная бизнес-модель с каждым годом все больше показывает то, что она правильная.

C>Спасительная соломинка конечно, подумать что именно софт — основная ценная часть, делающая вас уникальными. Которая придает ликвидности железу... Но... Тут ваша бизнес-модель облажались. Придавать ликвидность ничего не стоящим софтом почти ничего не стоящему железу -- это примерно как финансовая модель США — ликвидность новых займов подкрепляется экономическими показателями, которые в свою очередь появились из ликвидности предыдущих займов.
C>Мюнхаузен сам себя за волосы из озера вытаскивает.

Неправильно. Продаем мы железо. Из прибыли с железа финансируется разработка ПО. Мы не чиним препятствий виалону или еще каким интеграторам, которые хотят использовать наши трекеры. По соглашению выдает протокол обмена, а API к софту так на сайте лежит если мне память не изменяет. Но учитывая, что софт составляет немаловажную часть и имеются ряд решений которых, нет у конкурентов — есть смысл защищать софт от использования его с трекерами других производителей. И софт у нас тоже не типа "окошко с картой — ткнул получил где машинка". Есть и серверная часть, и клиентская и веб-морда и решения для разных сфер — нефтяники, аграрники, скорая помощь, такси, маршрутный транспорт и ещо хренова туча других.

C>Измненить тенденцию вы сможете только если софт станет платный, но тут вы врядли придумали что-то новое, и, как и в железе, вы врядли сможете конкурировать с дядюшкой Ляо и тысячами других производителей. Вам бы определиться — зарабатываете на железе — сделайте уникальный трекер и продавайте. Зарабатываете на софте — сделайте уникальный софт для трекеров и продавайте. А если каждый из этих компонентов легко подменить и заменить армадой аналогов, то какой тогда смысл в вашем бизнесе?

Разница есть. Китайское говно, которое работает в тепличных условиях и непредсказуемый период времени да, стоит ну баксоф $70-100. Знают ли эти трекеры про CAN? стопицот проточных датчиков топлива и датчиков уровня? RS-485? Глонасс? 1-wire? iButton? разные хитрожопые алгоритмы адаптивной записи координат? двухсимочные? Программируемые входы-выходы, в т.ч. и аналоговые? интегрируется ли с Inmarsat железяками? Ну вот когда научится понимать это всё, будет работать от -40 до +85, работать с дешевыми аккумуляторами и бортовыми генераторами на газелях и прочем говне — тогда оно и будет стоить также как наши сейчас. Поэтому тот кому надо нормальное железо — покупает за ту цену, которую оно продается. А тот кому надо поиграть на столе — покупает китайское говно за $70.

PS может резковато написал, перечитал вобщем-то убрать и добавить нечего.

Здравствуйте, Аноним, Вы писали:

А>Многие тут такую фигню пишут, что что кажется будто они инопланетяне — мол нефиг защищать код, работайте за спасибо, отдавайте свою работу всем бесплатно
А>А вы готовы оплатить нашу бесплатную работу??

Я готов. Есть что предложить?

Здравствуйте, HowardLovekraft, Вы писали:

HL>Здравствуйте, enCobalt, Вы писали:

C>>Если есть что-то предложить по сравнению с Гвардантом
HL>Вы про Guardant Code?
HL>Мне непонятно, как, при наличии команды, состоящей только из дотнетчиков, и пишущей софт далеко не научного характера, использовать это на практике? Что в этот ключ засовывать — простейщие арифметические действия?

Я понимаю что смущает — меня самого смущало. Да, так и есть, кое кому пришлось вспомнить сишные навыки, часть кода была переписана в неуправляемые Ся. А .Net код в Гвардант действительно не засовывается. Однако у меня есть на столе пара китайских ключей (чуть побольше геометрическими размерами), где на борту процессор для CLR второго фреймворка и туда управляемый код шьется. Проблема чисто китайская, железо есть, работает, но софт никакой, API никакое, поддержка никакая и на китайском, поставки... ну тут скорее Почте России и Таможне привет пламенный.

Здравствуйте, HowardLovekraft, Вы писали:

HL>Мне непонятно, как, при наличии команды, состоящей только из дотнетчиков
Ну не совсем так, но правда ваша, после нынешнего дотнета ассемблер вспомнить и под Ся кодить могу только если меня накачать наркотой и дубасить электрошоком Ну или если стоит вопрос зарплаты и премиальных.

HL>и пишущей софт далеко не научного характера
Тут вы не совсем правы. Не тру научного, но темы глубого пересакаются, и появляются в виде железных штуковин. Я в НПК работаю.

Здравствуйте, enCobalt, Вы писали:

C>Здравствуйте, AndrewVK, Вы писали:

AVK>>Ну вот в той компании, в которой я работаю, ситуация примерно такая, т.е. головная корпорация особо продажами не занимается (а по моему продукту даже прикладная разработка почти вся ушла к партнерам). Только никаких спецжелезок для устранения проблемы не нужно. Достаточно просто не отдавать дилерам право генерировать ключи.

C>А как вы решили проблему с хьюман инжиниринг? Вот допустим вы ключ к железу привязываете, а вам звонит один из интеграторов "тут у клиента сервак сгорел, мы поменяли, сгенерируйте нам новый ключ". Откуда вы знаете старый это клиент или новый. Я имею ввиду автономное ПО в сети без интернета.

Не знаю как в СНГ, но "на Западе" репутация дорого стоит. Ни один солидный интегратор не будет такой ерундой заниматься — не выгодно. Ну и за саппортом им всё равно к вам идти.

Здравствуйте, YaroslavPavlov, Вы писали:

YP>Здравствуйте.

YP>Не так давно перешел на программирование под .Net, а тут мне сказали, что для .Net, есть специальные декомпиляторы.
YP>Которые преобразуют скомпилированную программу обратно в удобочитаемый код. Правда ли это? И как тогда вообще защищать
YP>программы от такого?

Попробуйте ILProtector
Описание:

ILProtector protects your .NET code against reverse engineering, decompiling and modifying. ILProtector transforms Intermediate Language (MSIL) code into a Virtual Machine ("VM") specific form that is not recognized by disassemblers and decompilers such as IL DASM or .NET Reflector.

По сравнению с обфускацией защита таким способом повышается в разы.

Здравствуйте, Aen Sidhe, Вы писали:

AS>Здравствуйте, Аноним, Вы писали:

А>>Здравствуйте, YaroslavPavlov, Вы писали:

YP>>>Здравствуйте.

YP>>>Не так давно перешел на программирование под .Net, а тут мне сказали, что для .Net, есть специальные декомпиляторы.
YP>>>Которые преобразуют скомпилированную программу обратно в удобочитаемый код. Правда ли это? И как тогда вообще защищать
YP>>>программы от такого?

А>>Такое впечатление создается. что тут советуют только люди просиживающие в какихто конторках и никогда не писавших коммерческий продукт!
А>>Когда коллектив потратил кучу времени, сил и бабла на разработку, а потом ему предлагают типа нечего там обфусцировать — никому дескать не нужен ваш код! — как же не нужен — ежели за него кучу килобаксов выплачено!!!
А>>Странные однако люди!))

AS>Ну вот декомплировал ты продукт. Получил, я не знаю, 500 тыщ строк кода. Что дальше, гений из коммерческой разработки?

Внес изменения, которые нужны другому заказчику, и перепродал. Или скорее всего так — кто-то уже упер чужой продукт, оказалось, что он подходит, за исключением небольших фишечек, которые ты и доработал, декомпилировав чужой код (в моей практике была программа, которая в принципе не могла быть использована из-за ошибок в трех строках кода). Еще вариант — снятие проверки регистрации с программного продукта. Бывают, знаете ли, продукты, которые продаются множеству компаний. При этом их объем существенно меньше 500000 строк кода, а денег они стоят не настолько мало, чтобы о них забыть, и не настолько много, чтобы придумывать супер-защиту.
В моей практике такое уже было. Пару раз мне самому предлагали тысячи рублей за снятие защиты с продуктов, стоящих десятки тысяч. Тут не надо быть коммерческим гением, чтобы увидеть выгоду разработчика, фирмы-заказчика и потери производителя.

Здравствуйте, AndrewVK, Вы писали:

AVK>Здравствуйте, <Аноним>, Вы писали:

А>>Такое впечатление создается. что тут советуют только люди просиживающие в какихто конторках и никогда не писавших коммерческий продукт!

AVK> Это скорее ты коммерческий продукт никогда не писал. Мы, к примеру, вообще часть исходников наружу отдаем. Нам самим так проще — баги быстрее вылавливаются.

Это ты еще не сталкивался когда студент берет твой код и продает его успешнее тебя!)))

Здравствуйте, <Аноним>, Вы писали:

AVK>> Это скорее ты коммерческий продукт никогда не писал. Мы, к примеру, вообще часть исходников наружу отдаем. Нам самим так проще — баги быстрее вылавливаются.

А>Это ты еще не сталкивался когда студент берет твой код и продает его успешнее тебя!)))

И не столкнусь. Идиотов, которые ставят неподдерживаемую студенческую поделку в качестве системы автоматизации не очень много.

Здравствуйте, NetDeveloper, Вы писали:

ND>Попробуйте ILProtector
ND>Описание:
ND>

ILProtector protects your .NET code against reverse engineering, decompiling and modifying. ILProtector transforms Intermediate Language (MSIL) code into a Virtual Machine ("VM") specific form that is not recognized by disassemblers and decompilers such as IL DASM or .NET Reflector.

ND>По сравнению с обфускацией защита таким способом повышается в разы.

NetDeveloper.. Батенька, да вы некропостер
.
По топику. Ок, чуваки изобрели свой CLR! Чудненько, но только любой студент знакомый с криптографией поднимет это насмех. Структуру исходника не изменить без серьезнейшего статического анализатора кода, за такое даже JetBrains не возьмутся со всем их неоспоримым талантом. Смотрим на сайте — ого! Да там еще и рефлексия рабочая остается. В итоге имеем тупое переименование комманд из понятных нормальному CLR в понятное альернативному CLR. Такое реверсится в три щелчка.
.
Я вам по секрету расскажу кто и почему подобное впаривает. Есть компания zаказчик "Z" которая хочет протекции. Есть компания "Gosdep" которая интересуется сведениями "Z". В нужное время "Gosdep" создает/нанимает [псевдо]софтверную компанию "Y", которая выигрывает подряд/тендер на защиту для "Z", и делает её, попутно документируя кратчайший бэкдор для Gosdep. Zаказчик доволен защитой, Gosdep информацией. Я не намекаю на конкретный государственный или промышленный шпионаж, просто говорю что такие проекты создаются под конкретную цель-жертву, и попутно разумеется надо создать видимость официальной коммерческой деятельности средства защиты -- продажи, пресс-релизы, конференции и джентльменский набор официоза.
.
PS — Дискламер: под данной схемой я ни в коем случае не имел ввиду лично Vgrsoft, и лишь изложил частное мнение.
.