Добрый день.

Я представляю молодую компанию ReSanity. Мы недавно открыли альфа-версию нашей системы лицензирования ПО ReSanity StubIt ( http://resanity.com ).
И в связи с этим запустили конкурс (приз 3000$) для проверки ее надежности и взломоустойчивости.

Приглашаем всех желающих проверить свои силы и возможности: http://resanity.com/ru/events/stealme

Здравствуйте, ReSanity, Вы писали:

т.е. вы предлагаете найти лицензионный ключ, который хранится и чекается на сервере? такие приложения взламываются не нахождением алгоритма генерации серийника, а патчем для кода, который глушит вообще обращение к серверу и всегда возвращает "ок". Или вы предлагаете взломать ваш сервер за 3000 баксов?

Здравствуйте, antropolog, Вы писали:

A>Здравствуйте, ReSanity, Вы писали:

A>т.е. вы предлагаете найти лицензионный ключ, который хранится и чекается на сервере? такие приложения взламываются не нахождением алгоритма генерации серийника, а патчем для кода, который глушит вообще обращение к серверу и всегда возвращает "ок". Или вы предлагаете взломать ваш сервер за 3000 баксов?

Как я понимаю, они выдирают промышленный код и возвращают его для выполнения только при проверке лицензии. Чтобы собрать цельный исполняемый код, надо будет выделить все походы на сервер и восстановить "выдранные участки". Для этого потребуется лишь одна легальная лицензия.

АШ>Как я понимаю, они выдирают промышленный код и возвращают его для выполнения только при проверке лицензии. Чтобы собрать цельный исполняемый код, надо будет выделить все походы на сервер и восстановить "выдранные участки". Для этого потребуется лишь одна легальная лицензия.

Не надежнее ли выполнять промышленный код с параметрами на сервере и возвращать клиенту только результаты.

Здравствуйте, ReSanity, Вы писали:

RS>Добрый день.

RS>Я представляю молодую компанию ReSanity. Мы недавно открыли альфа-версию нашей системы лицензирования ПО ReSanity StubIt ( http://resanity.com ).
RS>И в связи с этим запустили конкурс (приз 3000$) для проверки ее надежности и взломоустойчивости.
Ну вы бы еще конкурс на проверку надежности и взломоустойчивости RSA запустили. Сделать кейген невозможным — дело пары вызовов CryptApi. Усложнить создание патча гораздо менее тривиально.

Здравствуйте, antropolog, Вы писали:

A>т.е. вы предлагаете найти лицензионный ключ, который хранится и чекается на сервере? такие приложения взламываются не нахождением алгоритма генерации серийника, а патчем для кода, который глушит вообще обращение к серверу и всегда возвращает "ок". Или вы предлагаете взломать ваш сервер за 3000 баксов?

Хочу подчеркнуть, что конкурс содержит в себе две задачи на выбор ("Сапер" и "Алиса").
Так как "Сапер" подготовлен из открытых исходных кодов, то задача восстановления его полной работоспособности без серийных ключей, как вы понимаете, не ставится.
Поэтому для "Сапера" осталась только опция "необходимо предоставить не менее двух серийных ключей".
А вот задача "Алиса" как раз может быть решена через восстановление ее полной работоспособности без серийных ключей ("патчем кода", например).

Кстати, "взлом нашего сервера" тоже неисключен — все на выбор кандидата!

Здравствуйте, UA, Вы писали:

UA>Не надежнее ли выполнять промышленный код с параметрами на сервере и возвращать клиенту только результаты.

Да, Вы правы, в общих чертах в этом и есть сила технологии ReSanity StubIt — лицензированный код (вырезанные куски кода) никогда не покидает сервера ReSanity StubIt Cloud.
Только все несколько сложней — технология позволяет "вырезать" куски кода размером вплоть до одной процессорной инструкции.

Здравствуйте, bazis1, Вы писали:

B>Ну вы бы еще конкурс на проверку надежности и взломоустойчивости RSA запустили. Сделать кейген невозможным — дело пары вызовов CryptApi. Усложнить создание патча гораздо менее тривиально.

Конкурс содержит вторую задачу "Алиса", к которой кандидатам как раз и предлагается создать "патч" (восстановить ее полную работоспособность без требования серийных ключей).

RS>Да, Вы правы, в общих чертах в этом и есть сила технологии ReSanity StubIt — лицензированный код (вырезанные куски кода) никогда не покидает сервера ReSanity StubIt Cloud.
RS>Только все несколько сложней — технология позволяет "вырезать" куски кода размером вплоть до одной процессорной инструкции.

Да ну? А если это инструкция push eax
Я имел ввиду нечто типа вызова вебсервиса, правда в этом случае непонятно зачем кому то на сторону это лицензировать.

Здравствуйте, ReSanity, Вы писали:

RS>Здравствуйте, bazis1, Вы писали:

B>>Ну вы бы еще конкурс на проверку надежности и взломоустойчивости RSA запустили. Сделать кейген невозможным — дело пары вызовов CryptApi. Усложнить создание патча гораздо менее тривиально.

RS>Конкурс содержит вторую задачу "Алиса", к которой кандидатам как раз и предлагается создать "патч" (восстановить ее полную работоспособность без требования серийных ключей).
полную работоспособность куска, который крутится на вашем сервере?

Здравствуйте, ReSanity, Вы писали:

RS>Добрый день.

RS>Я представляю молодую компанию ReSanity. Мы недавно открыли альфа-версию нашей системы лицензирования ПО ReSanity StubIt ( http://resanity.com ).
RS>И в связи с этим запустили конкурс (приз 3000$) для проверки ее надежности и взломоустойчивости.
так это не укради, а взломай. вот прямо щас и взломаем. делов-то. идем сюда:
http://www.trademarkia.com/trademarks-search.aspx?tn=resanity

о боги! о небо! торговая марка resanity не зарегистирована ни в сша, ни в канаде, ни в прочих странах. за полтораста бакса любой желающий может поиметь ее в два клика. дальше отжимаем домен со всеми вытекающими последствиями. при этом ваш регистратор домена -- американский. это чтобы домен было отжимать удобнее? давайте попробуем? вы же сами предложили не стесняться в выборе средств.

я бы не рискнул пользоваться вашим продуктом. потому что в один прекрасный день он может ВНЕЗАПНО перестать работать только потому что кто-то пожадничал и не зарегистрировал торговую марку. но эту нычку вы конечно же можете пофиксить. я ж не садист. мог зарегать торговую марку на себя, но не стал.

я вам вот что скажу. последний год или два я очень много времени провожу, читая тексты патентов. на вскидку могу назвать десяток-другой, который по меньшей мере является поводом для судебного разбирательства и как минимум два патента принадлежат жирным патентым троллям. они будут рады такой наводке. они про вас вообще ничего не знают. а как узнают, то потребуют сильно больше трех килобаксов. три килобакса я возьму себе. за наводку. вы, вероятно, просто не представляете себе сколько есть патентов на каждый чих и какое полчище троллей они кормят.

я, разумеется, никому не скажу, но с таким отношением к бизнесу вы продержитесь до первого шторма. у вас алгорим работает на сервере и в клиентском коде просто не существует? нет проблем. приходим к вам с вежливыми людьми, изымаем сервера и терморектальным анализом восстанавливаем все пароли и явки. в рф это как раз пордяка трех килобаксов и стоит.

ЗЫ. позабавила документация. перлы в стиле: "В ходе исследования на большой группе антивирусов были выявлены некоторые особенности взаимодействия приложений, лицензированных с помощью ReSanity StubIt, с антивирусами". очередной write-only текст. не хватило силы воли и мужества духа прочесть эту страшную конструкцию, в которой антивирусы упомянуты аж два раза. видимо, из уважения к ним. ваши пользователи будут рады. защита, на которую ругаются топовые антивирусы, это лучшее средство уронить продажи ниже плинтуса. ну да ладно, это не главное...

ЗЫ.ЗЫ. чуваки, вы чего в натуре?! вы чьих будете? вы предлагаете вырезать _мой_ код и отсылать его на выполнение в _ваше_ облако?! да вы завтра разоритесь, у вас отожмут домен или рухнет дата-центр, на котором вы конечно же экономите. ладно бы с такой инициативной выступил мс. ему еще можно доверить облачное выполнение, хотя все равно ссыкотно. по хорошему нужно предоставлять пользователям вашей защиты возможность выполнения кода на своих серверах, которые они контролируют и которые не зависят от вашего благополучия и настроения. соглашаться на анальное рабство... мне трудно представить себе ваших клиентов. я бы еще понял, если бы вы предлагали распростанять чужой софт через свои каналы, обеспечивая поддержку пользоватеелей по части защиты. тогда был бы смысл обращаться к вам. а так...

ЗЫ.ЗЫ.ЗЫ. у меня вот тут есть 3Ж модем. если я куплю программу, защищенную вашей приблудой и если она нагонит мне траф, то на вас обрушиться и грех, и ярость. кстати, тут (в штатах) интернет далеко не везде и местами он жутко тормозной. у меня верайзон (это кульный провайдер) и то сидел пол-недели без иннета потому что техника ждал, чтобы сгоревшую плату заменить. вы это учитывайте. вот у мс, например, активация и онлайном, и оффлайном. не от хорошей жизни же.

Здравствуйте, ReSanity, Вы писали:

RS>Здравствуйте, antropolog, Вы писали:

RS>А вот задача "Алиса" как раз может быть решена через восстановление ее полной работоспособности без серийных ключей ("патчем кода", например).
если может быть решена без серийных ключей, то вообще непонятно на хрена нам такой концерт по заявкам. на сервере можно держать базу знаний, динамически загружая на клиент те ее части, которые с той или иной вероятностью, будут затребованы в ходе беседы.

защита от "скачать всю базу целиком" зачастую возникает сама собой. если база знаний 4TБ+, то юзерам не упало качать такие объемы и хранить их. дело даже не в хранить, а в апдейтах. если вы активно работаете над программой, внося в базу множество изменений, то хакеры упарятся это выкачивать (особенно, если АПИ для скачки нет и для того, чтобы определенный контент стал доступным, нужно войти в соответствующий контекст диалога).

живым подтверждением тому являются он-лайн словари и он-лайн спелл-чекеры, учитывающие появление новых слов, терминов, торговых марок и т.д. многие из них вообще по подписке распростаняются. да что там говорить! сейчас даже он-лайновые редакторы диаграм нашли себе место под солнцем. по подписке. причем подписка стоит таких денег, что мс визио оказывается сильно дешевле, но... это уже задача для бизнеса как привлечь пользователя и как его удержать.

Здравствуйте, UA, Вы писали:

UA>Да ну? А если это инструкция push eax

Конечно! Вообще любая R3-инструкция, из поддерживаемого нашей системой (на текущий момент) набора инструкций: "Intel x86 (IA-32), x64 (EMT64, Intel 64, AMD64), user-mode-инструкции: generic, FPU, MMX, SSE, SSE2, SSE3, SSSE3, SSE4.1"

UA>Я имел ввиду нечто типа вызова вебсервиса, правда в этом случае непонятно зачем кому то на сторону это лицензировать.

Нет, это не вебсервис, мы можем "вырезать" любые куски кода из бинарных модулей, используя для этого (в текущей версии):

а) map-файлы (формат MSVC) — очень удобно, быстро и просто, но не является самым эффективным способом с точки зрения устойчивости к атакам на "черный ящик"
б) метки кода — удобно, просто, но требует чуть больших усилий от разработчика, так как необходимо производить установку наших меток (макросов) в исходный код
в) указание координат регионов кода вручную — непросто, но позволяет производить самый "тонкий тюнинг" в плане устойчивости к атакам на "черный ящик"

В ближайшем будущем мы добавим еще автоматический выбор регионов кода, рекомендуемых к лицензированию, на основе профилирования приложения.

Здравствуйте, bazis1, Вы писали:

RS>>Конкурс содержит вторую задачу "Алиса", к которой кандидатам как раз и предлагается создать "патч" (восстановить ее полную работоспособность без требования серийных ключей).
B>полную работоспособность куска, который крутится на вашем сервере?

Да, нескольких кусков кода.

Здравствуйте, мыщъх, Вы писали:

М>если может быть решена без серийных ключей, то вообще непонятно на хрена нам такой концерт по заявкам. на сервере можно держать базу знаний, динамически загружая на клиент те ее части, которые с той или иной вероятностью, будут затребованы в ходе беседы.

Я понимаю Ваши опасения, но могу открыто заявить, что на наших серверах ReSanity StubIt Cloud находятся только лицензированные ("вырезанные") куски кода. В доказательство этого после окончания конкурса мы опубликуем все исходные бинарные файлы, которые были инструментированы нами для конкурса с помощью ReSanity StubIt Monetization Studio.

М>живым подтверждением тому являются он-лайн словари и он-лайн спелл-чекеры, учитывающие появление новых слов, терминов, торговых марок и т.д. многие из них вообще по подписке распростаняются. да что там говорить! сейчас даже он-лайновые редакторы диаграм нашли себе место под солнцем. по подписке. причем подписка стоит таких денег, что мс визио оказывается сильно дешевле, но... это уже задача для бизнеса как привлечь пользователя и как его удержать.

Да, Вы правы. Уже давно прослеживается тенденция уходить в "онлайн". В большинстве случаев это было обусловлено именно невозможностью монетизировать (лицензировать) программное обеспечение "оффлайн". Так было раньше. Теперь есть ReSanity StubIt, которая обеспечит разработчикам полный контроль над распространением их софта. Особенно хочется подчеркнуть, что разработка "онлайн" вариантов софта весьма недешевое и долгое занятие, которое вдобавок будет требовать постоянных трат на обслуживание серверов. Лицензируя софт с помощью ReSanity StubIt, разработчик в считанные минуты получает результат без каких-либо серьезных затрат — во-первых, у нас есть выделенные ресурсы для бесплатных тестов ("мощность" заказов ограничена 100 лицензиями в 14 дней), во-вторых, разработчик может заказывать серийные ключи в любом объеме, в зависимости от своих планируемых продаж.

Здравствуйте, ReSanity, Вы писали:

RS>Здравствуйте, UA, Вы писали:

RS>Нет, это не вебсервис,
не веб-сервис? тогда это попадон-с. а если у юзера только http и больше ничего? кстати, чем вам веб не угодил? когда REST бороздит оперативные просторы...


RS>а) map-файлы (формат MSVC) — очень удобно, быстро и просто, но не является
RS>самым эффективным способом с точки зрения устойчивости к атакам на "черный ящик"
видимо вы не достаточно качественно вырезаете. остаточная намагниченность межбитовых промежутков остается, да?

Здравствуйте, мыщъх, Вы писали:

М>о боги! о небо! торговая марка resanity не зарегистирована ни в сша, ни в канаде, ни в прочих странах. за полтораста бакса любой желающий может поиметь ее в два клика. дальше отжимаем домен со всеми вытекающими последствиями. при этом ваш регистратор домена -- американский. это чтобы домен было отжимать удобнее? давайте попробуем? вы же сами предложили не стесняться в выборе средств.

Благодарю Вас за напоминание про регистрацию торговых марок, наши специалисты уже занимаются этим вопросом. Насчет "отжима" доменов и т.п. ресурсов — пока не понимаю, как это поможет выполнить конкурсные задачи.

М>я, разумеется, никому не скажу, но с таким отношением к бизнесу вы продержитесь до первого шторма. у вас алгорим работает на сервере и в клиентском коде просто не существует? нет проблем. приходим к вам с вежливыми людьми, изымаем сервера и терморектальным анализом восстанавливаем все пароли и явки. в рф это как раз пордяка трех килобаксов и стоит.

Насколько я понимаю, "терморектальный" анализ можно применить абсолютно к любому персонажу, но мы и не забываем, в какой стране живем. Кстати, в конкурсных условиях специально оговорено: "при решении задач допускается применение любых методов... и прочих ненасильственных методов"

М>ЗЫ. позабавила документация. перлы в стиле: "В ходе исследования на большой группе антивирусов были выявлены некоторые особенности взаимодействия приложений, лицензированных с помощью ReSanity StubIt, с антивирусами". очередной write-only текст. не хватило силы воли и мужества духа прочесть эту страшную конструкцию, в которой антивирусы упомянуты аж два раза. видимо, из уважения к ним. ваши пользователи будут рады. защита, на которую ругаются топовые антивирусы, это лучшее средство уронить продажи ниже плинтуса. ну да ладно, это не главное...

Во-первых, есть сильные сомнения, что "топовые" АВ это Bkav. Если это так, то где же в рейтинге АВ находится McAffee?
Во-вторых, абсолютно все программные модули ReSanity StubIt License Keeper подписаны нашей цифровой подписью.
В-третьих, Bkav "возбуждается" только на неподписанный инструментированный модуль, а не на наши модули. Именно по этой причине мы настоятельно рекомендуем Вендорам подписывать их цифровой подписью программные модули, инструментированные с помощью ReSanity StubIt Monetization Studio.

М>ЗЫ.ЗЫ. чуваки, вы чего в натуре?! вы чьих будете? вы предлагаете вырезать _мой_ код и отсылать его на выполнение в _ваше_ облако?! да вы завтра разоритесь, у вас отожмут домен или рухнет дата-центр, на котором вы конечно же экономите. ладно бы с такой инициативной выступил мс. ему еще можно доверить облачное выполнение, хотя все равно ссыкотно. по хорошему нужно предоставлять пользователям вашей защиты возможность выполнения кода на своих серверах, которые они контролируют и которые не зависят от вашего благополучия и настроения. соглашаться на анальное рабство... мне трудно представить себе ваших клиентов. я бы еще понял, если бы вы предлагали распростанять чужой софт через свои каналы, обеспечивая поддержку пользоватеелей по части защиты. тогда был бы смысл обращаться к вам. а так...

Мы предлагаем Вам самим решать, какой код будет исполняться на серверах ReSanity StubIt Cloud (это элементарно сделать с использованием ReSanity StubIt Monetization Studio).
И не просто решать, а лицензировать, то есть накладывать ограничения на их исполнение (например, триалки, количество запусков, параллелизм и т.п.). Причем одна и та же лицензия легко может содержать целый набор различных условий (комбинированные лицензии) для комплексных моделей лицензирования.
Вы утвержадете, что доверить выполнение лицензированных кусков кода "ссыкотно". А сейчас Вендорам "не ссыкотно" выдавать софт целиком, без вырезанных кусков кода? Ведь не пройдет и двух часов, как этот софт будет лежать на трекерах с пометкой "таблэтка вшита".

Насчет "по хорошему нужно предоставлять пользователям вашей защиты возможность выполнения кода на своих серверах" — такая модель поддерживается нами, это будет доступно крупным Вендорам.
Для них мы будем поставлять как программные, так и программно-аппаратные комплексы, которые они будут размещать на своих приватных ресурсах.

М>ЗЫ.ЗЫ.ЗЫ. у меня вот тут есть 3Ж модем. если я куплю программу, защищенную вашей приблудой и если она нагонит мне траф, то на вас обрушиться и грех, и ярость.

Количество траффика, которое порождает распределенное исполнение кода, определяется исключительно самим кодом. Большое количество траффика выльется в первую очередь во временных задержках при распределенном исполнении, что сразу станет видно при тестировании лицензированных приложений на наших тестовых ресурсах.

Мы понимаем, что задача выбора подходящих регионов кода может быть достаточно непростой для Вендора, незнакомого с нашей технологией. В таких случаях специалисты нашей компании готовы выполнить инструментацию программных модулей Вендора своими силами (после подписания NDA), а также оказывать всяческую поддержку и помощь Вендору.

Здравствуйте, мыщъх, Вы писали:

М>не веб-сервис? тогда это попадон-с. а если у юзера только http и больше ничего? кстати, чем вам веб не угодил? когда REST бороздит оперативные просторы...

Пока мы остановили свой выбор на собственном протоколе над TCP. Для домашних пользователей лицензированного софта это не будет проблемой, для корпоративных будем рекомендовать открывать нужные TCP-порты на выход. Если это станет ощутимой преградой, возможно, рассмотрим и HTTP-транспорт.

RS>>а) map-файлы (формат MSVC) — очень удобно, быстро и просто, но не является
RS>>самым эффективным способом с точки зрения устойчивости к атакам на "черный ящик"
М>видимо вы не достаточно качественно вырезаете. остаточная намагниченность межбитовых промежутков остается, да?

Конкурсная задача "Алиса" инструментирована с помощью map-файлов. Можете посмотреть и оценить качество "вырезки".

UA>>Да ну? А если это инструкция push eax
RS>Конечно! Вообще любая R3-инструкция, из поддерживаемого нашей системой (на текущий момент) набора инструкций: "Intel x86 (IA-32), x64 (EMT64, Intel 64, AMD64), user-mode-инструкции: generic, FPU, MMX, SSE, SSE2, SSE3, SSSE3, SSE4.1"

Ну и какой смысл выполнять эту инструкцию на сервере, если стек нужен на клиенте. Я хочу сказать что не всякий код с клиента можно тупо выдернуть и выполнить на сервере без настройки окружения на сервере идентичного клиентскому. В вашем случае это должен быть явно клиенто-независимый код который можно без проблем выполнить на сервере.

Здравствуйте, UA, Вы писали:

UA>Ну и какой смысл выполнять эту инструкцию на сервере, если стек нужен на клиенте. Я хочу сказать что не всякий код с клиента можно тупо выдернуть и выполнить на сервере без настройки окружения на сервере идентичного клиентскому. В вашем случае это должен быть явно клиенто-независимый код который можно без проблем выполнить на сервере.

Технология ReSanity StubIt позволяет вырезать любые куски кода и гарантирует, что распределенное исполнение инструментированного кода будет происходить идентично исполнению целостного кода.
Будет ли практический толк в "вырезании" единственной инструкции — вряд ли. Для стойкости лицензированного приложения к атакам на "черный ящик" мы рекомендуем выбирать регионы кода суммарным размером не менее 400 байт. Безусловно, этот "минимальный" размер носит исключительно оценочный характер и будет зависеть от конкретных инструкций, которые находятся в этих регионах кода (чем больше условных и табличных инструкций, особенно вложенных и statefull, тем выше устойчивость к попыткам восстановления вырезанных кусков кода). Мы полагаем, что при суммарном размере вырезанных регионов кода > 1Кбайт (при "обычном" коде, который порождают такие компиляторы, как MSVC, Intel C++ и т.п.) атака на "черный ящик" становится невозможной в-принципе.

Здравствуйте, ReSanity, Вы писали:

RS>Здравствуйте, bazis1, Вы писали:

RS>>>Конкурс содержит вторую задачу "Алиса", к которой кандидатам как раз и предлагается создать "патч" (восстановить ее полную работоспособность без требования серийных ключей).
B>>полную работоспособность куска, который крутится на вашем сервере?

RS>Да, нескольких кусков кода.
и чем это отличается от "взлома RSA"? допустим у меня на сервере крутится кусок "Y = SHA1(X + SECRET)", где X — вход, Y — выход, SECRET известен только мне. Задача "восстановить работоспособность" сводится к либо выяснению SECRET, либо взлому сервера, т.е. в лоб не решается. В итоге ваш "конкурс" читается так: дадим 3К тому, кто а) взломает RSA, б) взломает SHA1.

Только вот к защите реальных программ это не имеет никакого отношения, т.к.:
1. если выполнять нетривиальную функциональность на сервере, выши юзеры просто озвереют из-за задержек и необходимости постоянно быть на связи (а вдруг ваш сервер или их канал лег? а в дороге на ноутбуке запустить?)
2. если на сервере считать какой-нибудь хэш, а в программе проверять, то поломают локальную проверку
3. а скорее всего поломают, убрав ограничение по времени в триале

Короче, ИМХО, вы изобрели теоретический велосипед с теоретически оптимальным числом колес Пи, вот только дороги ему увидеть не суждено...

Здравствуйте, bazis1, Вы писали:

RS>>Да, нескольких кусков кода.
B>и чем это отличается от "взлома RSA"? допустим у меня на сервере крутится кусок "Y = SHA1(X + SECRET)", где X — вход, Y — выход, SECRET известен только мне. Задача "восстановить работоспособность" сводится к либо выяснению SECRET, либо взлому сервера, т.е. в лоб не решается. В итоге ваш "конкурс" читается так: дадим 3К тому, кто а) взломает RSA, б) взломает SHA1.

Отличается очень сильно. Ваш "алгоритм RSA" так и останется алгоритмом RSA на стороне сервера, не более. Наша же система позволяет Вендорам за считанные минуты самим решить какие кусочки кода (желательно, ассоциированные с продуктовой политикой) они хотят сделать недоступными для взлома и анализа.

B>Только вот к защите реальных программ это не имеет никакого отношения, т.к.:
B>1. если выполнять нетривиальную функциональность на сервере, выши юзеры просто озвереют из-за задержек и необходимости постоянно быть на связи (а вдруг ваш сервер или их канал лег? а в дороге на ноутбуке запустить?)

Да, задержки имеют место быть, все очень сильно зависит от выбранных кусков кода (чем меньше "прыжков" исполнения между клиентом и сервером, тем меньше задержка). Достаточно быстро можно подобрать подходящие регионы кода, которые не будут вносить задержки и будут весьма стойкими к атаке на "черный ящик".

Насчет необходимости "постоянно быть на связи" — такая необходимость есть только в моменты исполнения кода на стороне сервера, в остальные моменты времени канал связи не будет являться необходимостью. Интересно, почему у Вас не возникает подобных вопросов по отношению к SaaS?

B>Короче, ИМХО, вы изобрели теоретический велосипед с теоретически оптимальным числом колес Пи, вот только дороги ему увидеть не суждено...

Поверьте, Вы далеко не первый, кто нам это говорит. Однако есть как-минимум четыре далеко не глупых человека, которые с Вами не согласятся

Здравствуйте, bazis1, Вы писали:

B>допустим у меня на сервере крутится кусок "Y = SHA1(X + SECRET)", где X — вход, Y — выход, SECRET известен только мне. Задача "восстановить работоспособность" сводится к либо выяснению SECRET, либо взлому сервера, т.е. в лоб не решается.

Не в тему, но справедливости ради: вообще-то конкретно эта задача (выделенное), для хешей, построенных на функции Меркле-Дамгарда (коим и является SHA-1) решается в лоб за линейное время атакой удлинения сообщения

Здравствуйте, ReSanity, Вы писали:

RS>Здравствуйте, bazis1, Вы писали:

RS>Отличается очень сильно. Ваш "алгоритм RSA" так и останется алгоритмом RSA на стороне сервера, не более
RS>Наша же система позволяет Вендорам за считанные минуты самим решить какие кусочки кода (желательно,
RS>ассоциированные с продуктовой политикой) они хотят сделать недоступными для взлома и анализа.
это порождает массу вопросов к вам. какова производительность вашего облака? сколько вы мне выделяете памяти и дискового пространства? сколько потоков я могу создать на стороне облака? а сеть у вас есть?

или же вырезаются не любые куски кода, а только те, которые не дергают api функции, не выделяют памяти, и не сильно грузят ЦП. но как тогда вырезать бизнес-логику?


RS>Да, задержки имеют место быть, все очень сильно зависит от выбранных кусков кода
RS>(чем меньше "прыжков" исполнения между клиентом и сервером, тем меньше задержка).
RS>Достаточно быстро можно подобрать подходящие регионы кода, которые не будут
RS>вносить задержки (1) и будут весьма стойкими к атаке на "черный ящик" (2)
требованию (1) удовлетворяют только функции, отрабатывающие на стадии инитализации приложения, или же редко используемая часть функционала (вывод на печать). однако, вывод на печать вы отбрасываем сразу, т.к. передача таких объемов по сети вызовет гнев юзеров, да и сомнительно, чтобы вырезанный код работал в облаке, если он активно использует апи-функции, ран-тайм компилятора и глобальные переменные.

функции иницилизации, очевидно, не отвечают требованию (2). функция печати ему отвечает. но если разработчики решили реализовать ее в виде сервиса, но они это сделают _ПРЯМЫМИ_ руками, а не через Ж. это будет RESTful, работающий через http(s), причем серверная часть пишется с использованием серверных технологий и серверных библиотек. и она работает. в отличии от.


RS>Насчет необходимости "постоянно быть на связи" — такая необходимость есть только в моменты исполнения кода
RS>на стороне сервера, в остальные моменты времени канал связи не будет являться необходимостью. Интересно,
RS>почему у Вас не возникает подобных вопросов по отношению к SaaS?
вопрос на засыпку: сколько у вас кастомеров и вы вообще представляете какой DDoS вам они устроят по мылу и телефону? он-лайн активация это еще туда-сюда. особенно, если на активацию дается месяц времени. а вот от возможности валидации лицензии при каждом запуске очень многие разработчики отказываются, поскольку даже если у 1 из 100 кастомеров отвалится интернет в самое неподходящее время, то бурлению говен не будет пределов и гугл во первых строках поиска по названию программы покажет не сайт разработчика, а бурное обуждение богомерзкой программы.

с одной из такой программ я имел "счастье" столкнуться. прога для мобильного, называется where и по замыслу разработчиков она отвечает на любой вопрос с учетом моей локации. распростаняется по подписке. денег хочет каждый месяц. и при каждом запуске проверяет валидность лицензии. ну на сотовом интернет как бы постоянно есть. но по каким-то причинам проверка валидности тормозит настолько, что реально проще ногами дойти и посмотреть. ладно бы проверка все время тормозила. так ведь нет! тут как (не)повезет. в результате пользовался программой какое-то время, пинал девов чтобы фиксили баги, но в конечном счете сделал чардж за весь год сервиса, накатал пару-тройку живописных ревью (а писать я умею, особенно когда прет) и они вышли в топ, т.к. многие юзеры посчитали ревью полезными.

B>>Короче, ИМХО, вы изобрели теоретический велосипед с теоретически оптимальным числом колес Пи, вот только дороги ему увидеть не суждено...
RS>Поверьте, Вы далеко не первый, кто нам это говорит. Однако есть как-минимум четыре далеко не глупых человека, которые с Вами не согласятся
какие-то продажи у вас будут, вероятно. но не взлетит. с таким-то отношением к безопастности... я молчу, что вырезать бинарный код само по себе занятие глупое и рискованное. к тому же это предъявляет к коду список требований, который вы нигде не упоминаете. а зря. я уже спросил: на какие ресурцы цп и оперативы может расчитывать вырезанный код? будет ли в его распоряжении диск и сеть? если да, то насколько надежно изолирован один код от другого? как быть с АПИ функциями? как быть с ран-таймом?

кстати, а вы в курсе вообще, что многие "навесные" защитные комплексы в реальности защищали функцию, возвращающую true/false и потому очень легко отламывались? вы, конечно, скажите, что "проблемы индейцев..." и далее по тексту. типа разработчики сами виноваты, что выбирают такие функции для защиты. но в действительности это не проблемы индейцев. это _ваши_ проблемы. потому что разработчик платит вам денежку и ждет, что ваша программа сама все сделает. а тут, оказывается, надо вникать в суть вещей и непостижимость мира. а у вас ни примеров, ни демонстраций, ни внятного описания, словом Н И Ч Е Г О. пусто.

при этом офф-лайновые протекторы, шифрующие код, имеют сильно больше преимуществ. потому что у них нет задержек, они выполняют код на хосте, и самое главное они не ограничены в размере обрабатываемых данных. скажем, я написал свой архиватор. и решил защитить функции упаковки и распаковки. ваша защита справится с этим? ну, допустим, вы позволите выделять мне в облаке память и напрягать цп. но... как быть с передачей данных? юзер повеситься если решит упаковать что-то большее. не проще ли изначально писать свой веб-сервис для упаковки в таком случае?

Здравствуйте, ReSanity, Вы писали:

RS>Здравствуйте, мыщъх, Вы писали:

М>>не веб-сервис? тогда это попадон-с. а если у юзера только http и больше ничего? кстати, чем вам веб не угодил? когда REST бороздит оперативные просторы...

RS>Пока мы остановили свой выбор на собственном протоколе над TCP.
а почему не UDP? задержки у него сильно меньше будут. это же базовая матчасть. сервер у вас тоже свой собственный, как я понимаю? супер! это сильно облегчает DDoS атаки и делает вас абсолютно неконкурентоспособными, поскольку для веба абсолютно все уже есть. от дата-центров до систем защиты. к тому у пользователей как правило есть веб. но вы же не ищите легких путей ни для себя, ни для остальных. кстати, https рулит. во! а что рулит у вас?

RS> Для домашних пользователей лицензированного софта это не будет проблемой,
это вам кто сказал? отовите задницу от стула. возьмите с собой ноут и выйдите в парк подышать воздухом. там вам откроется, что веб есть, а все остальное закрыто. точно так же в гостиницах всяких, во многих отелях...

RS> для корпоративных будем рекомендовать открывать нужные TCP-порты на выход.
у вас есть опыт работы на компанию больше чем "я, жена и собака"? у таких компаний есть полиси. админы ими руководствуются. если сказано, что во внеший мир только веб и только на машинах на которых нет ничего секретного, то там тому и быть. при этом интернет может быть сильно кастрированный даже в плане веба.

вы посмотрите хотя бы как работают обновления для корпоративных пользователей. в интранет деплоят локальный сервер обновлений, который имеет ограниченный выход в интернет и загребает обновления у вендора, а затем раздает их по интранету. в результате чего интранет так и остается интранетом. и попытка запустить на нем вашу приблуду...

RS> Если это станет ощутимой преградой, возможно, рассмотрим и HTTP-транспорт.
боюсь, что до этого не дойдет. вы постарались сделать проект максимально непривлекательным. и это у вас получилось, да.

RS>>>а) map-файлы (формат MSVC) — очень удобно, быстро и просто, но не является
RS>>>самым эффективным способом с точки зрения устойчивости к атакам на "черный ящик"
М>>видимо вы не достаточно качественно вырезаете. остаточная намагниченность межбитовых промежутков остается, да?
RS>Конкурсная задача "Алиса" инструментирована с помощью map-файлов. Можете посмотреть и оценить качество "вырезки".
вы уже себе противоречите по ходу. мне вот непонятно как влияет на устойчивость ко взлому выбор способа расставления маркеров?

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, ReSanity, Вы писали:

RS>>Наша же система позволяет Вендорам за считанные минуты самим решить какие кусочки кода ...
М>это порождает массу вопросов к вам. какова производительность вашего облака? сколько вы мне выделяете памяти и дискового пространства? сколько потоков я могу создать на стороне облака? а сеть у вас есть?
И самый главный вопрос: За чей счет банкет?
Похоже на то, что Вендору или Пользователю придется регулярно платить за использование ихнего облака. Если они навесят эту плату на Вендора, то ему придется распространить эту схему оплаты на своих конечных пользователей. Для того чтобы не вылететь в трубу.
И еще один вопрос: В какое Спортлото обращаться Вендору если их хакнут, заддосят или они решат выйти из бизнеса?

М>или же вырезаются не любые куски кода, а только те, которые не дергают api функции, не выделяют памяти, и не сильно грузят ЦП. но как тогда вырезать бизнес-логику?
Предполагаю, что на сервере вырезанный кусок кода исполняется эмулятором. Когда эмулятор обнаруживает вызов функции из невырезанного куска он передает управление клиенту. Клиент выполняет функцию и возвращает результат выполнения серверу. Если встречается инструкция считывающая данные из памяти, то сервер опять обращается к клиенту. Возможно клиент в этом случае сразу возвращает некоторую порцию данных, например страницу памяти.

RS>>Да, задержки имеют место быть, все очень сильно зависит от выбранных кусков кода
RS>>(чем меньше "прыжков" исполнения между клиентом и сервером, тем меньше задержка).
И появляются прыжки исполнения между клиентом и сервером.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, bazis1, Вы писали:

B>>допустим у меня на сервере крутится кусок "Y = SHA1(X + SECRET)", где X — вход, Y — выход, SECRET известен только мне. Задача "восстановить работоспособность" сводится к либо выяснению SECRET, либо взлому сервера, т.е. в лоб не решается.

KV>Не в тему, но справедливости ради: вообще-то конкретно эта задача (выделенное), для хешей, построенных на функции Меркле-Дамгарда (коим и является SHA-1) решается в лоб за линейное время атакой удлинения сообщения
круто. не знал. оно работает только для суффиксной формы, или в общем случае (скажем, X XOR SECRET)?

Здравствуйте, ReSanity, Вы писали:

RS>Отличается очень сильно. Ваш "алгоритм RSA" так и останется алгоритмом RSA на стороне сервера, не более. Наша же система позволяет Вендорам за считанные минуты самим решить какие кусочки кода (желательно, ассоциированные с продуктовой политикой) они хотят сделать недоступными для взлома и анализа.
Если продукт позволяет нетривиальные куски выполнять на сервере, то этот продукт делается в виде веб-сервиса и продается по подписке.

B>>Только вот к защите реальных программ это не имеет никакого отношения, т.к.:
B>>1. если выполнять нетривиальную функциональность на сервере, выши юзеры просто озвереют из-за задержек и необходимости постоянно быть на связи (а вдруг ваш сервер или их канал лег? а в дороге на ноутбуке запустить?)

RS>Да, задержки имеют место быть, все очень сильно зависит от выбранных кусков кода (чем меньше "прыжков" исполнения между клиентом и сервером, тем меньше задержка). Достаточно быстро можно подобрать подходящие регионы кода, которые не будут вносить задержки и будут весьма стойкими к атаке на "черный ящик".
не будут вендоры этим заниматься.

RS>Насчет необходимости "постоянно быть на связи" — такая необходимость есть только в моменты исполнения кода на стороне сервера, в остальные моменты времени канал связи не будет являться необходимостью. Интересно, почему у Вас не возникает подобных вопросов по отношению к SaaS?
потому что если продукт терпим к недостаткам SaaS, то из него делается веб-сервис и ваш продукт пролетает. а если нетерпим, то ваш продукт тоже пролетает.

B>>Короче, ИМХО, вы изобрели теоретический велосипед с теоретически оптимальным числом колес Пи, вот только дороги ему увидеть не суждено...
RS>Поверьте, Вы далеко не первый, кто нам это говорит. Однако есть как-минимум четыре далеко не глупых человека, которые с Вами не согласятся
Да я верю охотно. 5 лет назад сам бы это крутой идеей посчитал. Надеюсь, только, что этот банкет идет за инвесторские деньги, а не за ваши собственные, т.к. с точки зрения бизнеса вы занимаетесь странным мазохистическим самоубийством, пытаясь выйти на сливающийся рынок десктопных приложений с продуктом, который имеет фундаментальные недостатки, отсутствующие у конкурентов и в тоже время не предлагающий конечному пользователю ощутимого для него преимущества.

Здравствуйте, cserg, Вы писали:

C>Похоже на то, что Вендору или Пользователю придется регулярно платить за использование ихнего облака. Если они навесят эту плату на Вендора, то ему придется распространить эту схему оплаты на своих конечных пользователей. Для того чтобы не вылететь в трубу.

Стоимость серийных ключей для Вендора определяется следующими критериями:

1. максимальное время жизни лицензии (например, для триалок = количеству дней; для perpetual, то есть "вечных" лицензий приравнивается при расчетах фиксированному количеству дней, которое определяется тарифами),
2. максимальный параллелизм лицензии (максимально-возможное общее количество одновременно исполняющихся процессов с таким серийным ключом),
3. количество серийных ключей в заказе
4. тип продукта (для апгрейдов существенные скидки, патчи бесплатно, так как они без выпуска серийных ключей)

Причем у нас используются значительные скидки, которые зависят от всех перечисленных критериев.

C>И еще один вопрос: В какое Спортлото обращаться Вендору если их хакнут, заддосят или они решат выйти из бизнеса?

ООО "РеСанити", ReSanity, http://resanity.com
Подробная контактная информация указана на сайте и в расположенном там же публичном договоре.
Выходить из перспективного, не имеющего аналогов в мире, бизнеса мы не собираемся.

C>Предполагаю, что на сервере вырезанный кусок кода исполняется эмулятором. Когда эмулятор обнаруживает вызов функции из невырезанного куска он передает управление клиенту. Клиент выполняет функцию и возвращает результат выполнения серверу. Если встречается инструкция считывающая данные из памяти, то сервер опять обращается к клиенту. Возможно клиент в этом случае сразу возвращает некоторую порцию данных, например страницу памяти.

Да, Вы правы. В общих чертах это так. Технически все на порядок сложнее.

"Прыжки" исполнения на клиента производятся в нескольких случаях:

1. исполнение выходит за пределы текущего региона кода (будь то просто по причине control flow, будь то вызовы неинструментированного клиенсткого кода или WinAPI)
2. исполнение текущего региона кода невозможно по каким-либо причинам (например, ассоциированная с регионом фича не разрешает его исполнение)
3. происходит исключение (например, при попытке исполнения R0-инструкции), в этом случае система благополучно доставит исключение до обработчиков исключения на клиенте

Особенно хочется подчеркнуть, что, если исполнение региона кода переходит к другому региону кода, то "прыжки" на клиентскую сторону не производятся, что еще больше усиливает стойкость "черного ящика", так как скрываются не только инструкции регионов, а еще их взаимосвязи между собой.

Здравствуйте, ReSanity, Вы писали:

RS>Здравствуйте, cserg, Вы писали:

RS>Стоимость серийных ключей для Вендора определяется следующими критериями:
...куча текста поскипана...
RS>Причем у нас используются значительные скидки, которые зависят от всех перечисленных критериев.

то есть, вы даже сами не знаете сколько это стоит. хотя бы порядок. схема мутная и запутанная.

идея взымать деньги за ключи -- это действительно новое направление бизнеса не имеющее мировых аналогов. я тут как-то купил софтину одну, а ключ потерял, но точно помню что он начинался на Y. позвонил в саппорт и мне без всяких вопросов выдали новый, совсем на другую букву начинающийся. почему так -- спрашиваю? а потому что старый ключ мы заблокировали говорят. как бы логично, не? тем более, что вендору ничего не стоит сгенерить новый. потому что вендр тупой. не знает, что ключи денег стоят. причем, они для него, а не для меня стоят. хранить их ключи я как бы не подряжался. мне надо чтобы программа работала. но у вас есть намного более хорошая идея. главное, чтобы программа была надежна защищена. а работать ей вообще-то необязательно.

Здравствуйте, мыщъх, Вы писали:

М>то есть, вы даже сами не знаете сколько это стоит. хотя бы порядок. схема мутная и запутанная.

Почему же, мы предлагаем два похожих способа сотрудничества:

1. по публичному договору (оферте) — из расчета на shareware-сегмент
2. по приватному договору — из расчета на крупных Вендоров, либо тех shareware-Вендоров, которых не устраивают условия публичного договора

Так как мы только начинаем выходить на рынок, то сейчас будут действовать очень дешевые тарифы для shareware-сегмента. Тарифы будут опубликованы буквально на днях.

По самому дешевому тарифу, предназначенному для триалок:

один серийный ключ (триалка на 30 дней, параллелизм = 1) будет стоить 0,15 у.е. (у.е. мы приравниваем доллару США),

скидок на дни и количество лицензий по данному тарифу не предусматривается, есть скидки за параллелизм (concurrency) при которых:

один серийный ключ (триалка на 30 дней, параллелизм = 9999) будет стоить 1241,54 у.е. (то есть 0,124 у.е. за один параллельный процесс),

По дешевому тарифу, предназначенному для непосредственных продаж:

один серийный ключ (триалка на 30 дней, параллелизм = 1) будет стоить 0,30 у.е.
один серийный ключ (perpetual, параллелизм = 1) будет стоить 3,08 у.е.,

есть прогрессивная шкала скики на дни (при заказе количества дней > 360, все дни свыше идут со скидкой в 80%),
большая скидка на параллелизм (до 20%), большая скидка за количество серийных ключей в заказе (до 20%).

Дополнительно мы планируем провести маркетинговую акцию, по которой несколько тысяч серийных ключей мы позволим заказать бесплатно.
Особенно хочу подчеркнуть, что мы открыты сотрудничеству, готовы оказать Вендорам любую поддержку и помощь, вплоть до инструментации и выпуска серийных ключей силами сотрудников нашей компании.

Здравствуйте, ReSanity, Вы писали:

RS>Здравствуйте, мыщъх, Вы писали:

М>>то есть, вы даже сами не знаете сколько это стоит. хотя бы порядок. схема мутная и запутанная.



RS>Так как мы только начинаем выходить на рынок, то сейчас будут действовать очень дешевые тарифы для shareware-сегмента.

RS>По самому дешевому тарифу, предназначенному для триалок:

RS> один серийный ключ (perpetual, параллелизм = 1) будет стоить 3,08 у.е.,
и это вы называете "очень дешевые тарифы?". это больше 10% от стоимости типичной шаровары. совсем чуть-чуть доплатить и хватит на аппаратный ключ. а после окончания периода действия "очень дешевых тарифов" (с) электронные ключи будут даже дешевле.

Здравствуйте, bazis1, Вы писали:

B>круто. не знал. оно работает только для суффиксной формы, или в общем случае (скажем, X XOR SECRET)?

Главное, чтобы манипулируя X, мы могли добивать параметр ф-ции хэширования произвольным значением. В случае XOR — это точо возможно, достаточно взять X большей длины, чем SECRET.

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, ReSanity, Вы писали:

RS>>Здравствуйте, мыщъх, Вы писали:

М>>>то есть, вы даже сами не знаете сколько это стоит. хотя бы порядок. схема мутная и запутанная.



RS>>Так как мы только начинаем выходить на рынок, то сейчас будут действовать очень дешевые тарифы для shareware-сегмента.

RS>>По самому дешевому тарифу, предназначенному для триалок:

RS>> один серийный ключ (perpetual, параллелизм = 1) будет стоить 3,08 у.е.,
М>и это вы называете "очень дешевые тарифы?". это больше 10% от стоимости типичной шаровары. совсем чуть-чуть доплатить и хватит на аппаратный ключ. а после окончания периода действия "очень дешевых тарифов" (с) электронные ключи будут даже дешевле.

Не нашел аппаратных ключей дешевле 8-10 баксов, может подскажите вендора у кого можно за 3$ с небольшим бакса приобрести?

Да и аппаратные ключи проблемно поставлять, они никак не дружат с цифровой дистрибуцией. Дистрибутив цифрой, а ключ через DHL доставлять? =)
В этом плане ключи существенно уступают онлайну, а если ключ потерять?

Здравствуйте, bazis1, Вы писали:

B>Здравствуйте, ReSanity, Вы писали:

B>Если продукт позволяет нетривиальные куски выполнять на сервере, то этот продукт делается в виде веб-сервиса и продается по подписке.
B>потому что если продукт терпим к недостаткам SaaS, то из него делается веб-сервис и ваш продукт пролетает. а если нетерпим, то ваш продукт тоже пролетает.

Если продукт не позволяет быть выполнен в виде веб-сервиса? те же Crysis, 3DMax, CAD-ы.
Содержать свою инфраструктуру под SaaS — это очень дорогое удовольствие. SaaS продукты — ощутимо дороже, чем софт из коробки.
Если задаться вопросом: почему некоторые вендоры уходят в SaaS? Может быть их туда гонит чудовищный уровень пиратства?

B>>>Только вот к защите реальных программ это не имеет никакого отношения, т.к.:
B>>>1. если выполнять нетривиальную функциональность на сервере, выши юзеры просто озвереют из-за задержек и необходимости постоянно быть на связи (а вдруг ваш сервер или их канал лег? а в дороге на ноутбуке запустить?)
А если правильно выбирать лицензируемую функциональность, а не пытаться выстрелить себе в голову? =)

RS>>Да, задержки имеют место быть, все очень сильно зависит от выбранных кусков кода (чем меньше "прыжков" исполнения между клиентом и сервером, тем меньше задержка). Достаточно быстро можно подобрать подходящие регионы кода, которые не будут вносить задержки и будут весьма стойкими к атаке на "черный ящик".
B>не будут вендоры этим заниматься.
Если это окупится и принесет существенную прибыль, то почему нет?

B>Да я верю охотно. 5 лет назад сам бы это крутой идеей посчитал. Надеюсь, только, что этот банкет идет за инвесторские деньги, а не за ваши собственные, т.к. с точки зрения бизнеса вы занимаетесь странным мазохистическим самоубийством, пытаясь выйти на сливающийся рынок десктопных приложений с продуктом, который имеет фундаментальные недостатки, отсутствующие у конкурентов и в тоже время не предлагающий конечному пользователю ощутимого для него преимущества.

Весьма спорно. Да, рынок десктопов сейчас сжимается, но не исчезнет никогда, причина простая: с ПК на планшеты уходят пользователи, которым компьютер был нужен только для "веселой фермы", "пасьянса", соц. сетей и т. п., они и так софт почти не покупают(ли) — это мелкая потеря для рынка коробочного софта.
Люди, которым компьютер нужен: для работы, учебы или "тяжелых игр" останутся — это и есть целевой сегмент.

Продукты лицензированные конкурентами, выходят на торрентах через 2 часа после релиза с пометкой "таблетка встроена". Да, им не требуется онлайн — это преимущество. =)
Зачем вендоры платят за это (уж незнаю, много там или нет)?

Здравствуйте, Annnimos, Вы писали:


A>Если продукт не позволяет быть выполнен в виде веб-сервиса? те же Crysis, 3DMax, CAD-ы.
A>Содержать свою инфраструктуру под SaaS — это очень дорогое удовольствие. SaaS продукты — ощутимо дороже, чем софт из коробки.
A>А если задаться вопросом: почему некоторые вендоры уходят в SaaS? Может быть их туда гонит чудовищный уровень пиратства?

B>>>>Только вот к защите реальных программ это не имеет никакого отношения, т.к.:
B>>>>1. если выполнять нетривиальную функциональность на сервере, выши юзеры просто озвереют из-за задержек и необходимости постоянно быть на связи (а вдруг ваш сервер или их канал лег? а в дороге на ноутбуке запустить?)
A>Абсолютно универсальных технологий не бывает, у любой есть, своя область применения, если эта система лицензирования не подходит Word-у это не значит, что она не подходит всем остальным видам коробочных программных продуктов.

RS>>>Да, задержки имеют место быть, все очень сильно зависит от выбранных кусков кода (чем меньше "прыжков" исполнения между клиентом и сервером, тем меньше задержка). Достаточно быстро можно подобрать подходящие регионы кода, которые не будут вносить задержки и будут весьма стойкими к атаке на "черный ящик".
B>>не будут вендоры этим заниматься.
A>Если это окупится и принесет существенную прибыль, то почему нет?

A>Продукты лицензированные конкурентами, выходят на торрентах через 2 часа после релиза с пометкой "таблетка встроена".
A>Зачем вендоры коробочных продуктов им платят деньги (уж незнаю, много там или нет), я лично не понимаю? Но да, им не требуется онлайн — это преимущество. =)

Видимо Крис недостаточно доходчиво объяснил сложившуюся на рынке ситуёвину.

Есть разные пользователи.

Жирные компании типа Raytheon и ему подобные, те самые потребители упомянутых выше CAD'ов, принципиально не используют онлайн лицензирование. Таковы внутрикорпоративные полиси. Ты можешь навешивать любую защиту при условии, что лицензирование будет работать через FlexLM (которую сломать может ребенок, а стоит она для вендора ого-го).

Компании помельче к онлайн лицензированию относятся лучше, но тоже предпочитают держать все в своих руках — чтобы информация о лицензиях (сколько, какие, когда заканчивается) всегда была под рукой. Пока еще нет доверия к "облачным" лицензиям. Сетевая лицензия с локальным сервером или аппаратным донглом — вот это любят, да еще желательно чтобы работало и под виндой, и под линюхом.

Онлайн лицензии могут сработать в комплекте с дополнительными онлайн сервисами. Например, для тех же САПРов это могут быть библиотеки компонентов/узлов, доступные онлайн. Только если продукт будет поставлять одна компания, а сервер лицензии будет у другой, вот этого точно не поймут
И, как верно заметили коллеги, работать должно через http, а не экзотические порты — задолбаешься доказывать сисадмину, что надо открыть порты за какой-то мутной надобностью. Кстати, еще один момент в работе с крупными компаниями — конечные пользователи не занимаются приобретением и контролем лицензий. Для этого есть специально обученные люди. Из документации к ReSanity не понял, такой режим работы возможен или нет. А в целом для кустарей-одиночек с мотором схема вполне пригодная.

Здравствуйте, Stanislav V. Zudin, Вы писали:

SVZ>Видимо Крис недостаточно доходчиво объяснил сложившуюся на рынке ситуёвину.
Крис это кто?

SVZ>Есть разные пользователи.
SVZ>Жирные компании типа Raytheon и ему подобные, те самые потребители упомянутых выше CAD'ов, принципиально не используют онлайн лицензирование. Таковы внутрикорпоративные полиси.
SVZ>Ты можешь навешивать любую защиту при условии, что лицензирование будет работать через FlexLM (которую сломать может ребенок, а стоит она для вендора ого-го).
SVZ>Компании помельче к онлайн лицензированию относятся лучше, но тоже предпочитают держать все в своих руках — чтобы информация о лицензиях (сколько, какие, когда заканчивается) всегда была под рукой. Пока еще нет доверия к "облачным" лицензиям. Сетевая лицензия с локальным сервером или аппаратным донглом — вот это любят, да еще желательно чтобы работало и под виндой, и под линюхом.
SVZ>Онлайн лицензии могут сработать в комплекте с дополнительными онлайн сервисами. Например, для тех же САПРов это могут быть библиотеки компонентов/узлов, доступные онлайн. Только если продукт будет поставлять одна компания, а сервер лицензии будет у другой, вот этого точно не поймут
SVZ>И, как верно заметили коллеги, работать должно через http, а не экзотические порты — задолбаешься доказывать сисадмину, что надо открыть порты за какой-то мутной надобностью.

Да, в общем-то и на урановые центрифуги, АЭС и подобные, никто не будет ставить онлайн софт, там вообще интернет запрещен под страхом смертной казни, да и софт туда абы какой вообще никак нельзя. К тому же врядли кто-то из Raytheon или того же Boeing будет сливать лицензионный софт на трекеры (но не исключено).

Сегменты, которые ты описываешь — это просто примеры сегментов не подходящих для онлайн лицензирования (по крайней мере в текущей объективной реальности), но это далеко не единственный сегмент на рынке коробочного ПО и никак не делает идею/технологию нежизнеспобной или плохой.
С игрушками и home user-ами все по-другому.
Под корпоративный сегмент, можно что-то придумать, например: засунуть облачко в железную коробочку и DHL-ом отправить корпоративному клиенту =)

SVZ>А в целом для кустарей-одиночек с мотором схема вполне пригодная.

Здравствуйте, Annnimos, Вы писали:

SVZ>>Видимо Крис недостаточно доходчиво объяснил сложившуюся на рынке ситуёвину.
A>Крис это кто?
мыщъх

A>Под корпоративный сегмент, можно что-то придумать, например: засунуть облачко в железную коробочку и DHL-ом отправить корпоративному клиенту =)

Для корпоративного сегмента стоит налегать не на защиту, а на гибкость лицензирования. Вот в этом FlexLM трудно превзойти.

Здравствуйте, ReSanity, Вы писали:

RS>Пока мы остановили свой выбор на собственном протоколе над TCP. Для домашних пользователей лицензированного софта это не будет проблемой

Многие домашние пользователи сидят за NAT'ом. Любой дешёвый wifi-роутер — это уже NAT. И средняя домохозяйка понятия не имеет, как там пробросить нужные порты на домашний компьютер.

Здравствуйте, Annnimos, Вы писали:

A>Если задаться вопросом: почему некоторые вендоры уходят в SaaS? Может быть их туда гонит чудовищный уровень пиратства?
Потому что там выше общая конверсия, проще сопровождение лидов и сбор статистики.

A>А если правильно выбирать лицензируемую функциональность, а не пытаться выстрелить себе в голову? =)
То непонятно, зачем нужен ваш продукт. Найти подобные куски довольно нетривиально, а найдя их руками заremoteить их через какой-нибудь SOAP — как раз довольно просто и никакие сторонние продукты для этого не нужны.

B>>не будут вендоры этим заниматься.
A>Если это окупится и принесет существенную прибыль, то почему нет?
Потому что не принесет. Не смогут взломать, будут кардить. Не смогут покардить, будут кусать локти и сидеть на бесплатных аналогах. "Существенную прибыль" принесет простейшая система активации, которая не позволит ленивым корпоративщикам бесконечно продлевать триал, поправив один ключик в реестре, тупо потому что это проще, чем заполнять 100500 анкет отдела закупки.

A>Весьма спорно. Да, рынок десктопов сейчас сжимается, но не исчезнет никогда, причина простая: с ПК на планшеты уходят пользователи, которым компьютер был нужен только для "веселой фермы", "пасьянса", соц. сетей и т. п., они и так софт почти не покупают(ли) — это мелкая потеря для рынка коробочного софта.
A>Люди, которым компьютер нужен: для работы, учебы или "тяжелых игр" останутся — это и есть целевой сегмент.
Дело не в том, что останется, а в том, что выводить продукт на рынок, прошедший этап быстрого роста — это как пытаться пришить новую руку взрослому человеку.

A>Продукты лицензированные конкурентами, выходят на торрентах через 2 часа после релиза с пометкой "таблетка встроена". Да, им не требуется онлайн — это преимущество. =)
A>Зачем вендоры платят за это (уж незнаю, много там или нет)?
Потому что так исторически сложилось, пока рынок рос.

Здравствуйте, ReSanity, Вы писали:

RS> один серийный ключ (триалка на 30 дней, параллелизм = 1) будет стоить 0,15 у.е. (у.е. мы приравниваем доллару США),
т.е. учитывая типичный коэффициент конверсии триал->покупка в 1%, $15 с продажи. это почти так же круто, как AdWords по доллару за клик.

RS>Дополнительно мы планируем провести маркетинговую акцию, по которой несколько тысяч серийных ключей мы позволим заказать бесплатно.
RS>Особенно хочу подчеркнуть, что мы открыты сотрудничеству, готовы оказать Вендорам любую поддержку и помощь, вплоть до инструментации и выпуска серийных ключей силами сотрудников нашей компании.
в общем, вы ребята толковые по технической части, но бизнес-составляющая у вас хромает. ИМХО, вам надо срочно искать нормального CEO с опытом в продажах, иначе вы и килобакса в год не заработаете.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, bazis1, Вы писали:

B>>круто. не знал. оно работает только для суффиксной формы, или в общем случае (скажем, X XOR SECRET)?

KV>Главное, чтобы манипулируя X, мы могли добивать параметр ф-ции хэширования произвольным значением. В случае XOR — это точо возможно, достаточно взять X большей длины, чем SECRET.
круто. а где про это можно почитать, не погружаясь в многостраничные публикации?

RS>Приглашаем всех желающих проверить свои силы и возможности: http://resanity.com/ru/events/stealme

Пацаны (все засветившиеся в данной ветке на данный момент), это, конечно, хорошо что вы тут затеяли дискуссию как ТС неправ, но лично мне на данный момент все это выглядит как балабольство. Если вы такие крутые чуваки, то сделайте то, что хочет ТС. А пока что это треп.

У меня тоже есть свои соображения на счет слабых звеньев в их реализации и бизнес модели, но поскольку это не то что ТС спрашивал, я воздержался от ответа. Так и вы, можете показать/доказать как вы круты — докажите. Иначе все это выглядит как минимум глупо.

З.Ы. ТС, сумма слишкам маленькая чтобы начинать что-либо пробовать.

Здравствуйте, Олег К., Вы писали:

RS>>Приглашаем всех желающих проверить свои силы и возможности: http://resanity.com/ru/events/stealme

ОК>Пацаны (все засветившиеся в данной ветке на данный момент), это, конечно, хорошо что вы тут затеяли дискуссию как ТС неправ, но лично мне на данный момент все это выглядит как балабольство. Если вы такие крутые чуваки, то сделайте то, что хочет ТС. А пока что это треп.
"На слабо" — это в другом месте. А тему пора закрыть, как это правильно сделали на другом форуме.

ОК>З.Ы. ТС, сумма слишкам маленькая чтобы начинать что-либо пробовать.
А все другие тут нищеброды и за мистические $3000 готовы костями лечь?

Здравствуйте, Олег К., Вы писали:

RS>>Приглашаем всех желающих проверить свои силы и возможности: http://resanity.com/ru/events/stealme

ОК>Пацаны (все засветившиеся в данной ветке на данный момент), это, конечно, хорошо что вы тут затеяли дискуссию как ТС неправ, но лично мне на данный момент все это выглядит как балабольство. Если вы такие крутые чуваки, то сделайте то, что хочет ТС. А пока что это треп.
Сделать что? Не зная приватный ключ RSA, подделать подпись? Или не зная секретного параметра хэш-функции, крутяшейся на чужом сервере, подделать ее результат? Топикстартер взял 2 старых и хорошо изученных задачи из области прикладной криптографии и предлагает из невозможности их решить судить об эффективности своей системы.

ОК>У меня тоже есть свои соображения на счет слабых звеньев в их реализации и бизнес модели, но поскольку это не то что ТС спрашивал, я воздержался от ответа. Так и вы, можете показать/доказать как вы круты — докажите. Иначе все это выглядит как минимум глупо.
Что тут доказывать? Топикстартер держит читателей за идиотов, судя по формулировке вопроса, предлагая "сломать" что-то вроде этого по нереалистичным правилам:

            var rsaParams = new CspParameters{KeyContainerName = "MyPublicOnlyContainer"};
            var prov = new RSACryptoServiceProvider(2048, rsaParams);
            if (prov.VerifyData(Encoding.ASCII.GetBytes("TEH UNHACKABLE"), "MD5", Convert.FromBase64String(Console.ReadLine())))
                Console.WriteLine("HACKED!!!!!!111!!11111");

ну и вторую версию, которая считает хэш на сервере и тоже уместится в несколько строк на C#.

Здравствуйте, мыщъх, Вы писали:

RS>> один серийный ключ (perpetual, параллелизм = 1) будет стоить 3,08 у.е.,
М>и это вы называете "очень дешевые тарифы?". это больше 10% от стоимости типичной шаровары. совсем чуть-чуть доплатить и хватит на аппаратный ключ. а после окончания периода действия "очень дешевых тарифов" (с) электронные ключи будут даже дешевле.

ага! попался! http://rsdn.ru/forum/abroad/5777030.1

Автор: ManFeel
Дата: 10.09.14

Здравствуйте, ManFeel, Вы писали:

MF>Здравствуйте, мыщъх, Вы писали:

MF>ага! попался! http://rsdn.ru/forum/abroad/5777030.1

Автор: ManFeel
Дата: 10.09.14

что значит попался? я и не убегал никуда. сижу, вас жду. а пока жду мне джа из джанкоя посылку прислал, да такую, что в одно рыло скурить нереально. тем более, что мне теперь и нельзя. потому что у меня уже стеллаж автоматов. три автомата, один крупнокалиберный пистолет-пулемет и один дробовик. причем, последний автомат я уже начал кастомизировать.

Здравствуйте, Artem Korneev, Вы писали:

AK>Многие домашние пользователи сидят за NAT'ом. Любой дешёвый wifi-роутер — это уже NAT. И средняя домохозяйка понятия не имеет, как там пробросить нужные порты на домашний компьютер.

Вы наверное не так меня поняли. Наша технология не осуществляет входящие соединения, а только исходящие TCP-соединения к ReSanity StubIt Cloud. Именно поэтому для домашних пользователей (тех, что за NAT), ничего делать не требуется, так как по-умолчанию во всех домашних роутерах исходящие TCP-соединения разрешены.

Здравствуйте, bazis1, Вы писали:

RS>> один серийный ключ (триалка на 30 дней, параллелизм = 1) будет стоить 0,15 у.е. (у.е. мы приравниваем доллару США),
B>т.е. учитывая типичный коэффициент конверсии триал->покупка в 1%, $15 с продажи. это почти так же круто, как AdWords по доллару за клик.

Безусловно, при текущем положении дел на рынке shareware, когда каждая первая копия является пиратской, вообще странно, что "типичный коэффициент конверсии" равен 1%. Я полагаю, что при популярности софта в странах с высоким уровнем пиратства, этот коэффициент можно смело взять и 0,1%. Но это пока так, пока shareware-сегмент не попробовал еще интегрировать нашу систему лицензирования. Как Вы думаете, что произойдет с "коэффициентом конверсии" в случае, если пиратских копий не будет в-принципе? Да, кто-то будет "сидеть" на старых версиях софта, кто-то будет искать бесплатные (пиратские) варианты у конкурентов этого софта. Но рано или поздно старые версии безнадежно устареют, а конкуренты тоже будут использовать нашу систему лицензирования, так что "коэффициент" будет меняться...

B>в общем, вы ребята толковые по технической части, но бизнес-составляющая у вас хромает. ИМХО, вам надо срочно искать нормального CEO с опытом в продажах, иначе вы и килобакса в год не заработаете.

Могу я спросить у Вас, почему Вы считаете, что "бизнес-составляющая хромает"?

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, ManFeel, Вы писали:

MF>>Здравствуйте, мыщъх, Вы писали:

MF>>ага! попался! http://rsdn.ru/forum/abroad/5777030.1

Автор: ManFeel
Дата: 10.09.14

М>что значит попался? я и не убегал никуда. сижу, вас жду. а пока жду мне джа из джанкоя посылку прислал, да такую, что в одно рыло скурить нереально. тем более, что мне теперь и нельзя. потому что у меня уже стеллаж автоматов. три автомата, один крупнокалиберный пистолет-пулемет и один дробовик. причем, последний автомат я уже начал кастомизировать.

мыщъх снова грибов наелся, на вопросы так и не хочет отвечать. в омериге сейчас за полночь, ты чего не спишь?

Здравствуйте, bazis1, Вы писали:

B>Что тут доказывать? Топикстартер держит читателей за идиотов, судя по формулировке вопроса, предлагая "сломать" что-то вроде этого по нереалистичным правилам:

Могу Вас заверить, что в задаче "Алиса" нет вычисления никакого hash-алгоритма, но не в этом суть.

Главное, что наша технология позволяет сделать лицензированный (распределенный) вариант из абсолютно любого бинарного файла (exe, dll) в считанные минуты. Для демонстрации этого был использован "Сапер" (просто, увы, "Сапер" в открытых исходных кодах, поэтому задача восстановления функционала не может быть применена к нему в качестве конкурсной задачи, но Вы всегда можете попробовать сделать это сами). "Сапер" выступает в роли "подопытного кролика"

На нашем сайте есть раздел с примерами и видео-туториалами инструментации, там уже есть примеры и исходные коды для "Сапера" и для "Notepad++". Мы активно работаем над пополнением этой базы.
Ссылка на раздел с примерами и видео-туториалами: http://resanity.com/ru/docs

Здравствуйте, Rhino, Вы писали:

R>"На слабо" — это в другом месте. А тему пора закрыть, как это правильно сделали на другом форуме.

Может быть Вы расскажете форумчанам что это за "другой форум" и почему там сначала спрятали, а потом закрыли тему про конкурс?

ОК>>З.Ы. ТС, сумма слишкам маленькая чтобы начинать что-либо пробовать.
R>А все другие тут нищеброды и за мистические $3000 готовы костями лечь?

Как я уже упоминал на том, "другом форуме", боюсь, что не помогут ни 30к, ни 300к (конечно, если соблюдать все условия конкурса, то есть исключить варианты с "паяльники в...").
На том форуме основной лейтмотив сообщений был примерно в таком ключе: "Да за ваши 3к мы ничего делать не будем. Но как только Вы выйдете в релиз, мы Вас ... забесплатно".
Разумеется, сразу возникает вопрос — почему бы не начать сейчас, пока мы только в альфа-релизе? Увы, пока только одни слова...

Здравствуйте, мыщъх, Вы писали:

М>не веб-сервис? тогда это попадон-с. а если у юзера только http и больше ничего? кстати, чем вам веб не угодил? когда REST бороздит оперативные просторы...

Увы, HTTP в его текущей версии не подходит для нашей системы, так как не отвечает необходимым для организации распределенных вычислений требованиям (двунаправленность и истинная, а не поллинговая асинхронность). Ни с REST-ом, ни без. Возможно, в будущем варианте HTTP (тот, который 2.0) наши требования к протоколу смогут быть удовлетворены и тогда мы смело добавим его поддержку.

Здравствуйте, Олег К., Вы писали:

RS>>Приглашаем всех желающих проверить свои силы и возможности: http://resanity.com/ru/events/stealme

ОК>Пацаны (все засветившиеся в данной ветке на данный момент), это, конечно, хорошо что вы тут затеяли дискуссию как ТС неправ, но лично мне на данный момент все это выглядит как балабольство. Если вы такие крутые чуваки, то сделайте то, что хочет ТС. А пока что это треп.

Ну да, тут вообще-то специально выделенное для балабольства место — форум называется. Потому и балаболим

ОК>У меня тоже есть свои соображения на счет слабых звеньев в их реализации и бизнес модели, но поскольку это не то что ТС спрашивал, я воздержался от ответа. Так и вы, можете показать/доказать как вы круты — докажите. Иначе все это выглядит как минимум глупо.

Глупо другое — вестись на такие вот дурацкие конкурсы. А порассуждать о чужих ошибках часто просто весело, а иногда даже и полезно.
Кстати, если кто-то действительно взломает обсуждаемую защиту, я сильно удивлюсь, если он вдруг сообщит resanity подробности взлома всего за три тыщщи долларов. Скорее, владельцы бизнеса узнают много нового об удивительном мире хакинга и понесут расходы, о которых и не подозревали...

RS>>>Приглашаем всех желающих проверить свои силы и возможности: http://resanity.com/ru/events/stealme

ОК>>Пацаны (все засветившиеся в данной ветке на данный момент), это, конечно, хорошо что вы тут затеяли дискуссию как ТС неправ, но лично мне на данный момент все это выглядит как балабольство. Если вы такие крутые чуваки, то сделайте то, что хочет ТС. А пока что это треп.
R>"На слабо" — это в другом месте. А тему пора закрыть, как это правильно сделали на другом форуме.

Ну говорю же — треп!

ОК>>З.Ы. ТС, сумма слишкам маленькая чтобы начинать что-либо пробовать.
R>А все другие тут нищеброды и за мистические $3000 готовы костями лечь?

У тебя с логикой проблемы. Посыл тут был другой. Не "ложиться костями за 3000 долларов" а либо сделать то что просят либо перестать балаболить.

Здравствуйте, ReSanity, Вы писали:

RS>Увы, HTTP в его текущей версии не подходит для нашей системы, так как не отвечает необходимым для организации распределенных вычислений требованиям (двунаправленность и истинная, а не поллинговая асинхронность).

Про WebSockets никогда не слышали?

RS>>>Приглашаем всех желающих проверить свои силы и возможности: http://resanity.com/ru/events/stealme

ОК>>Пацаны (все засветившиеся в данной ветке на данный момент), это, конечно, хорошо что вы тут затеяли дискуссию как ТС неправ, но лично мне на данный момент все это выглядит как балабольство. Если вы такие крутые чуваки, то сделайте то, что хочет ТС. А пока что это треп.
B>Сделать что? Не зная приватный ключ RSA, подделать подпись? Или не зная секретного параметра хэш-функции, крутяшейся на чужом сервере, подделать ее результат? Топикстартер взял 2 старых и хорошо изученных задачи из области прикладной криптографии и предлагает из невозможности их решить судить об эффективности своей системы.

Ты сам себя загнал в тупик.

ОК>>У меня тоже есть свои соображения на счет слабых звеньев в их реализации и бизнес модели, но поскольку это не то что ТС спрашивал, я воздержался от ответа. Так и вы, можете показать/доказать как вы круты — докажите. Иначе все это выглядит как минимум глупо.
B>Что тут доказывать? Топикстартер держит читателей за идиотов, судя по формулировке вопроса, предлагая "сломать" что-то вроде этого по нереалистичным правилам:
B>

B>            var rsaParams = new CspParameters{KeyContainerName = "MyPublicOnlyContainer"};
B>            var prov = new RSACryptoServiceProvider(2048, rsaParams);
B>            if (prov.VerifyData(Encoding.ASCII.GetBytes("TEH UNHACKABLE"), "MD5", Convert.FromBase64String(Console.ReadLine())))
B>                Console.WriteLine("HACKED!!!!!!111!!11111");
B>

B>ну и вторую версию, которая считает хэш на сервере и тоже уместится в несколько строк на C#.

Тебе не приходит в голову что векторов аттаки может быть несколько? Вот тебе другой вектор. Запихать им в базу новые/левые лицензии. В реальных условиях-то покупка будет совершена и ключ будет сохранен в базе автоматически. Можно отсюда начать пробовать. Другой вектор — стянуть каким-либо образом код с их серверов.

Здравствуйте, Олег К., Вы писали:

RS>>>>Приглашаем всех желающих проверить свои силы и возможности: http://resanity.com/ru/events/stealme

ОК>>>Пацаны (все засветившиеся в данной ветке на данный момент), это, конечно, хорошо что вы тут затеяли дискуссию как ТС неправ, но лично мне на данный момент все это выглядит как балабольство. Если вы такие крутые чуваки, то сделайте то, что хочет ТС. А пока что это треп.
B>>Сделать что? Не зная приватный ключ RSA, подделать подпись? Или не зная секретного параметра хэш-функции, крутяшейся на чужом сервере, подделать ее результат? Топикстартер взял 2 старых и хорошо изученных задачи из области прикладной криптографии и предлагает из невозможности их решить судить об эффективности своей системы.

ОК>Ты сам себя загнал в тупик.

ОК>>>У меня тоже есть свои соображения на счет слабых звеньев в их реализации и бизнес модели, но поскольку это не то что ТС спрашивал, я воздержался от ответа. Так и вы, можете показать/доказать как вы круты — докажите. Иначе все это выглядит как минимум глупо.
B>>Что тут доказывать? Топикстартер держит читателей за идиотов, судя по формулировке вопроса, предлагая "сломать" что-то вроде этого по нереалистичным правилам:
B>>

B>>            var rsaParams = new CspParameters{KeyContainerName = "MyPublicOnlyContainer"};
B>>            var prov = new RSACryptoServiceProvider(2048, rsaParams);
B>>            if (prov.VerifyData(Encoding.ASCII.GetBytes("TEH UNHACKABLE"), "MD5", Convert.FromBase64String(Console.ReadLine())))
B>>                Console.WriteLine("HACKED!!!!!!111!!11111");
B>>

B>>ну и вторую версию, которая считает хэш на сервере и тоже уместится в несколько строк на C#.

ОК>Тебе не приходит в голову что векторов аттаки может быть несколько? Вот тебе другой вектор. Запихать им в базу новые/левые лицензии. В реальных условиях-то покупка будет совершена и ключ будет сохранен в базе автоматически. Можно отсюда начать пробовать. Другой вектор — стянуть каким-либо образом код с их серверов.
За 3K?

ОК>>Тебе не приходит в голову что векторов аттаки может быть несколько? Вот тебе другой вектор. Запихать им в базу новые/левые лицензии. В реальных условиях-то покупка будет совершена и ключ будет сохранен в базе автоматически. Можно отсюда начать пробовать. Другой вектор — стянуть каким-либо образом код с их серверов.
B>За 3K?

Я выше уже сказал. Либо сделать либо перестать балаболить.

Здравствуйте, AndrewVK, Вы писали:

RS>>Увы, HTTP в его текущей версии не подходит для нашей системы, так как не отвечает необходимым для организации распределенных вычислений требованиям (двунаправленность и истинная, а не поллинговая асинхронность).

AVK>Про WebSockets никогда не слышали?

Слышали, слышали Еще сырой (не прошедший стандартизацию) протокол с сомнительной его поддержкой корпоративными прокси.
Какова гарантия, что админам корпоративных сетей не придется "плясать с бубном" для настройки корпоративной прокси под WebSocket?

Вполне возможно, что мы добавим поддержку WebSocket в бета-версии нашей системы, если посчитаем это целесообразным. Это совершенно не проблема.

Здравствуйте, ReSanity, Вы писали:

RS>Слышали, слышали Еще сырой

Ага, настолько сырой, что все современные веб-сервера его поддерживают.

RS>(не прошедший стандартизацию) протокол

Че, правда? http://tools.ietf.org/html/rfc6455. 2011 год.

RS> с сомнительной его поддержкой корпоративными прокси.

О да. Зато поддержка вашего самопального протокола совсем не сомнительна, ее просто нет.

RS>Вполне возможно, что мы добавим поддержку WebSocket в бета-версии нашей системы, если посчитаем это целесообразным. Это совершенно не проблема.

Судя по тому что вы до сих пор не в курсе вышедшего в 2011 году стандарта — сомневаюсь.

Здравствуйте, ReSanity, Вы писали:

RS>Здравствуйте, мыщъх, Вы писали:

М>>не веб-сервис? тогда это попадон-с. а если у юзера только http и больше ничего? кстати, чем вам веб не угодил? когда REST бороздит оперативные просторы...
RS>Увы, HTTP в его текущей версии не подходит для нашей системы,
нет, не так. это ваша система не подходит для интернета в его текущем состоянии. пытаюсь донести до вас простую мысль: очень часто интернет есть, но... только веб. мы говорим про домашних пользователей если что. как только вашей системой начнут пользоваться, на вас обрушатся гром и молнии.

RS>так как не отвечает необходимым для организации распределенных вычислений требованиям
во-первых, отвечает. во-вторых, для этого даже есть готовые библиотеки. в-третьих, я как раз участвовал в реализации системы распределенных вычислений через рест.

RS> (двунаправленность и истинная, а не поллинговая асинхронность).
для истинной двунаправленности и истинной асинхронности достаточно поднять на клиенте легковесный веб-сервер. в буст входит готовый склелет которого. небольшое шаманство позволяет "пробивать" открытия порта, когда клиент иницирует установку запроса, подключаясь к удаленному веб-серверу, а затем использует установленное соединение для своего сервера.


RS> Ни с REST-ом, ни без. Возможно, в будущем варианте HTTP (тот, который 2.0)
RS> наши требования к протоколу смогут быть удовлетворены и тогда мы смело добавим его поддержку.
вот как добавите, тогда ваша защита начнет работать не только на ваших компьютерах в лабораторных условиях.

Здравствуйте, Олег К., Вы писали:

ОК>Я выше уже сказал. Либо сделать либо перестать балаболить.
я бы взломал. вот только товарищам пришлось бы выплатить сильно больше 3k. у них там дыра на дыре и дырой погоняет. торговая марка не зарегистрирована в сша, зато домен зарегистрирован через американского регистратора, то есть отжать его без проблем. вот если бы чуваки зарегали домен напрямую и держали бы свои dns внутри свой лабы -- это была бы другая история...

а играть по навязанным правилам... тогда это должен быть crackme. головоломка, решение которой заведомо есть и его предстоит найти.

Здравствуйте, Олег К., Вы писали:

ОК>>>Пацаны (все засветившиеся в данной ветке на данный момент), это, конечно, хорошо что вы тут затеяли дискуссию как ТС неправ, но лично мне на данный момент все это выглядит как балабольство. Если вы такие крутые чуваки, то сделайте то, что хочет ТС. А пока что это треп.
R>>"На слабо" — это в другом месте. А тему пора закрыть, как это правильно сделали на другом форуме.
ОК>Ну говорю же — треп!
ТС было предложено "разобрать по косточкам" его защиту за сумму командой, гхм, специалистов. Всего лишь на порядок большую предложенной им. На что был получен ответ в стиле "да вы даже за $3000 ничего сделать не можете" Как раз подобный разговор и несерёзен.

Вообще, складывается чёткое ощущение, что автор — волк-одиночка. Хоть он и пишет везде "мы-мы-мы". Но судя по фактам (графомания в жж) и просто как взгляд со стороны...

ОК>>>З.Ы. ТС, сумма слишкам маленькая чтобы начинать что-либо пробовать.
R>>А все другие тут нищеброды и за мистические $3000 готовы костями лечь?
ОК>У тебя с логикой проблемы. Посыл тут был другой. Не "ложиться костями за 3000 долларов" а либо сделать то что просят либо перестать балаболить.
У серьёзных ребят , которые готовы что-то сделать, имеется более интересная и денежная работа

P.S.: К серьёзным ребятам не отношусь, просто напрягает ТС своей непогрешимостью.

Здравствуйте, Rhino, Вы писали:

R>ТС было предложено "разобрать по косточкам" его защиту за сумму командой, гхм, специалистов. Всего лишь на порядок большую предложенной им. На что был получен ответ в стиле "да вы даже за $3000 ничего сделать не можете" Как раз подобный разговор и несерёзен.

Если нам потребуется какая-то помощь в комплексном анализе всей нашей системы, мы сами найдем необходимых специалистов.
На текущий же момент был предложен исключительно конкурс на проверку возможности атаки лицензированного "Сапера" (и "Алисы"). Если за 3к$ "специалисты" отказываются это сделать — это их право.

R>Вообще, складывается чёткое ощущение, что автор — волк-одиночка. Хоть он и пишет везде "мы-мы-мы". Но судя по фактам (графомания в жж) и просто как взгляд со стороны...

Несколько лет назад, возможно, так и было. Теперь мы команда и я горжусь каждым ее участником.

R>У серьёзных ребят , которые готовы что-то сделать, имеется более интересная и денежная работа

Это очень хорошо. Никто же не против "серьезных ребят". У каждого свой способ выживания. Если эти ребята не согласны на предложенных условиях пытаться решить задачи конкурса, это их выбор.
Просто поражает, как легко "подопытный Сапер" смог так быстро стать игрой, за которую не готовы за 3к$ взяться "серьезные ребята".

R>P.S.: К серьёзным ребятам не отношусь, просто напрягает ТС своей непогрешимостью.

Как там, в одной небезызвестной книге? — "пусть тот, кто без греха, первым кинет в меня камень!"

Здравствуйте, мыщъх, Вы писали:

М>я бы взломал. вот только товарищам пришлось бы выплатить сильно больше 3k. у них там дыра на дыре и дырой погоняет. торговая марка не зарегистрирована в сша, зато домен зарегистрирован через американского регистратора, то есть отжать его без проблем. вот если бы чуваки зарегали домен напрямую и держали бы свои dns внутри свой лабы -- это была бы другая история...

Ага, на "другом форуме" практически 1 в 1 нам так и сказали.
Не хочу повторяться, но все же — как поможет угон домена или регистрация торговой марки в решении конкурсных задач? Это поможет сгенерировать серийные ключи или восстановить недостающий программный код?

М>а играть по навязанным правилам... тогда это должен быть crackme. головоломка, решение которой заведомо есть и его предстоит найти.

А по чьим правилам вообще происходят конкурсы и соревнования? Правила не "навязаны", а публично озвучены и расположены на публичном ресурсе. Если Вы не согласны с правилами — это Ваш выбор.
По-своей сути, конкурс действительно является "crackme", просто мы назвали его "stealme", так как кроме классических реверс-атак на доступные бинарные модули, в данном конкурсе можно попытаться использовать другие вектора атак, некоторые из которых уже были озвучены в этом треде форумчанами.

Решение задач 100% есть — это серийные ключи и исходные бинарные файлы, которые были использованы для лицензирования конкурсных задач.
Эти материалы будут опубликованы нами по завершению конкурса (все эти условия находятся на нашем сайте).

Здравствуйте, мыщъх, Вы писали:

М>нет, не так. это ваша система не подходит для интернета в его текущем состоянии. пытаюсь донести до вас простую мысль: очень часто интернет есть, но... только веб. мы говорим про домашних пользователей если что. как только вашей системой начнут пользоваться, на вас обрушатся гром и молнии.

Может быть вы поведаете нам неграмотным, как же такие домашние пользователи играют в сетевые игры? (имеется в виду не Flash-игры, а полноценные оффлайн-тайтлы с поддержкой сетевой игры).

Здравствуйте, bazis1, Вы писали:

KV>>Главное, чтобы манипулируя X, мы могли добивать параметр ф-ции хэширования произвольным значением. В случае XOR — это точо возможно, достаточно взять X большей длины, чем SECRET.
B>круто. а где про это можно почитать, не погружаясь в многостраничные публикации?

Многостраничная, но простым языком: https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks

Здравствуйте, ReSanity, Вы писали:

RS>Добрый денhttp://resanity.com ).
RS>И в связи с этим запустили конкурс (приз 3000$) для проверки ее надежности и взломоустойчивости.

Первая задача грубо говоря не решаема. Откуда я знаю может у вас там база в которой всего три ключа и с ними происходит сверка — не совпало досвидания. Поскольку условие получить два ключа а не решение то она тождественна задаче найти пароль к твиттеру медведа или абстрактному ящику на майл ру
Вторую можно решаема. То есть у вас строка превращается в индекс который потом используется для вывода текста с билибердой. Число ответов ограничено число запросов нет. Можно прогнать словарь и обучить нейронную сеть.
Можно конвертануть вашу программу в веб сервис на azure которая будет обслуживать моих клиентов и того мне хватит купить ровно одно приложение (или взять выложенный ключ) и потом раздавать его результаты все желающим. Я б сделал такое только ж приз все равно зажмете?