Всем привет,

Впервые столкнулся с таким. Один из продуктов (библиотека) можно купить с исходниками. Купили по ворованной карте, потом в скайп постучались, написали, что выложал исходники. Я пожал плечами: что я могу сделать. Прошло несколько месяцев, и вот сегодня один потенциальный клиент скидывает ссылку на свежий репозиторий с исходниками.

Я, конечно, немедленно отправил жалобу, но ежели кто решит каждый день эти исходники выкладывать, то придется вместо работы только и заниматься заполнением форм

Может кто знает способ, что с этим можно сделать, ну там отправить в github какие-то "отпечатки" исходников, например. Надежды мало, но вдруг

Или, что же, скрипт придется писать? Я, смотрю, у github-а есть API.

Спасибо.

Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Впервые столкнулся с таким. Один из продуктов (библиотека) можно купить с исходниками. Купили по ворованной карте, потом в скайп постучались, написали, что выложал исходники. Я пожал плечами: что я могу сделать. Прошло несколько месяцев, и вот сегодня один потенциальный клиент скидывает ссылку на свежий репозиторий с исходниками.

Однако. Не позавидуешь.

И ведь ещё и момент какой неудачный. И так поди у тебя падение продаж.



Может тебе после оплаты не совсем полные / свежие исходники высылать? А потом досылать нормальные дней через 30?

Мы вот при покупке через Purchase Order шлем временный ключ. И после фактической оплаты постоянный. Никто не жалуется.

Здравствуйте, Matrix_Failure, Вы писали:

M_F>Однако. Не позавидуешь.

У меня было подобное давным давно, когда, кажется, еще гитхаба не было. Собственно, на продажах это не сказалось как будто бы. Т.е. я в принципе спокоен.

M_F>Может тебе после оплаты не совсем полные / свежие исходники высылать? А потом досылать нормальные дней через 30?

Честные покупатели не должны страдать!

M_F>Мы вот при покупке через Purchase Order шлем временный ключ. И после фактической оплаты постоянный. Никто не жалуется.

Это правильно. Но тут, видишь, исходники... посмотрим, насколько оперативен будет github, да и удалит ли он репозиторий в принципе. Если удалит, то попробую с помощью API как-то полуавтоматизировать отправку жалоб.

А зачем вообще слать исходники, даже если это библиотека.
Шлите декларативную часть: API и описания внутренних структур, торчащих наружу, без реализации.

Здравствуйте, sharez, Вы писали:

S>А зачем вообще слать исходники, даже если это библиотека.
S>Шлите декларативную часть: API и описания внутренних структур, торчащих наружу, без реализации.

Это не серьезно. Может и есть странные люди, которые бинарники с хедерами покупают, но большинство контор это даже рассматривать как вариант не будут.

Здравствуйте, Unhandled_Exception, Вы писали:

UE>посмотрим, насколько оперативен будет github, да и удалит ли он репозиторий в принципе. Если удалит, то попробую с помощью API как-то полуавтоматизировать отправку жалоб.

Отпишись по результатам.

Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Всем привет,

U_E>Впервые столкнулся с таким. Один из продуктов (библиотека) можно купить с исходниками. Купили по ворованной карте, потом в скайп постучались, написали, что выложал исходники. Я пожал плечами: что я могу сделать. Прошло несколько месяцев, и вот сегодня один потенциальный клиент скидывает ссылку на свежий репозиторий с исходниками.

U_E>Я, конечно, немедленно отправил жалобу, но ежели кто решит каждый день эти исходники выкладывать, то придется вместо работы только и заниматься заполнением форм

U_E>Может кто знает способ, что с этим можно сделать, ну там отправить в github какие-то "отпечатки" исходников, например. Надежды мало, но вдруг

U_E>Или, что же, скрипт придется писать? Я, смотрю, у github-а есть API.

U_E>Спасибо.

Никому особо твои исходники не нужны — из серии подарю исходники копайтесь в этом саде сами.
В лучшем случае могут там покопаться и убрать защиту и собрать — программа максимум.

Кому нужна твоя библиотека на халяву — те найдут кряк.

В любом случае использование твоей библиотеки и создание продукта на базе нее нарушает права и ты можешь засудить разработчика который будет пользоваться ею не купив исходники.
Поэтому не парься — по идее тебе это даже выгоднее через суд ты сможешь получить кратные суммы чем продал бы или решить все миром за сумму библиотеки, если ты злой человек — то можешь намеряно подсадить баранов на это.

Выпускай новые версии — старая версия исходников будет больше протухать, но повторю нелегальные исходники в открытом доступе — хороший капкан для баранов на которых потом можно подать иск.

Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Может кто знает способ, что с этим можно сделать

Dai link

Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Может кто знает способ, что с этим можно сделать

Ключ к решению этой проблеме кроется в Strong Customer Authentication (SCA). Так как воровство интеллектуальной собственности светит уголовным делом, мошенники боятся светиться напрямую и всегда используют ворованные карточки.

То есть, если ордер приходит с флагом SCA=1, то вы можете безопасно отдавать исходники в автоматическом режиме, т.к. личность покупателя подтверждена его банковским учреждением.

Если SCA=0, то вы можете либо отклонять заказ, либо проводить его в ручном режиме (просить скан ID, оценивать доменное имя, пол заказчика).

К сожалению, я еще не видел регистратора который бы присылал значение флага SCA. Но есть способ определить его косвенно. Если интересно, дайте знать, и я опишу проверенный способ.

Со всем интернетом будешь бороться? Забей, утекло и ладно. Опиши ситуацию, подчеркни, что исходники выложены незаконно и ими пользоваться нельзя, чтобы нормальные люди не пользовались.

Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Всем привет,

U_E>Впервые столкнулся с таким. Один из продуктов (библиотека) можно купить с исходниками. Купили по ворованной карте, потом в скайп постучались, написали, что выложал исходники. Я пожал плечами: что я могу сделать. Прошло несколько месяцев, и вот сегодня один потенциальный клиент скидывает ссылку на свежий репозиторий с исходниками.

U_E>Я, конечно, немедленно отправил жалобу, но ежели кто решит каждый день эти исходники выкладывать, то придется вместо работы только и заниматься заполнением форм

U_E>Может кто знает способ, что с этим можно сделать, ну там отправить в github какие-то "отпечатки" исходников, например. Надежды мало, но вдруг

U_E>Или, что же, скрипт придется писать? Я, смотрю, у github-а есть API.

U_E>Спасибо.

Я никогда не продавал исходники, поэтому могу ошибаться. Но я бы не стал переживать, потому что серьёзный клиент не будет брать воровынные исходники, а с несерьёзными зачем вам связываться? Если будут подозрения, что кто-то крупный незаконно использовал твой код, то можно сделать binary analysis и доказать неправомерное использование кода. Если не ошибаюсь, то D-Link так однажды уличили в использовании OSS, после чего компания стала публиковать часть исходных кодов прошибку своих устройств.

P.S. Буквально на днях постучался в LinkedIn программист из Amazon и сказал, что не может решить задачу, потому что не может разобраться в исходниках библиотеки, в разработке которой я когда-то принимал участие. Попросил написать решение за него. Так что сейчас такие программисты, что даже с исходниками не справятся. Им подавай tutorial, или сразу пост в Medium c готовым решением.

Здравствуйте, wantus, Вы писали:

W>Это не серьезно. Может и есть странные люди, которые бинарники с хедерами покупают, но большинство контор это даже рассматривать как вариант не будут.

Опа на! это еще почему? Есть какие-то фактические данные? Исследования, цифры?
Я продаю либу как раз без исходников в основном. Т.е. бинарники и хедеры. Если я теряю кучу продаж при этом — то повод задуматься конечно.
Однако мой опыт таков, что у меня очень редко спрашивают исходники, так что я считаю, что их наличие ни как на продажи не повлияет.

Более того, иногда, когда просят добавить какую-то фичу, я предлагаю исходники и инструкцию как эту фичу там минимальными усилиями заимплиментить — отказываются со словам, что боятся потерять совместимость с будущими обновлениями, если начнут править исходники сами. Так что, боюсь, как раз наоборот. Мало кому исходники нужны.

Конторы серьезные покупают. Средний чек на либу выше 1000.

Здравствуйте, Aquilaware, Вы писали:

A>Ключ к решению этой проблеме кроется в Strong Customer Authentication (SCA). Так как воровство интеллектуальной собственности светит уголовным делом, мошенники боятся светиться напрямую и всегда используют ворованные карточки.

A>То есть, если ордер приходит с флагом SCA=1, то вы можете безопасно отдавать исходники в автоматическом режиме, т.к. личность покупателя подтверждена его банковским учреждением.

A>Если SCA=0, то вы можете либо отклонять заказ, либо проводить его в ручном режиме (просить скан ID, оценивать доменное имя, пол заказчика).

В США (а это самый большой рынок обычно) до сих пор как-то не принято делать никакую дополнительную авторизацию при использовании кредитки. Поэтому реализация такого требования вероятно отсеет какую-то значительную часть покупателей. Так что имеет смысл для дорогих покупок. Впрочем, наверное предоставление исходников где-то к таким относится обычно.

Здравствуйте, NWP, Вы писали:

NWP>Однако мой опыт таков, что у меня очень редко спрашивают исходники, так что я считаю, что их наличие ни как на продажи не повлияет.

Любопытно, что не спрашивали... У меня с самого начала был вариант как с исходниками, так и без.

Здравствуйте, Aquilaware, Вы писали:

A>К сожалению, я еще не видел регистратора который бы присылал значение флага SCA.

Интересно, почему. Они ведь сами заинтересованы в уменьшении числа чарджбеков

A>Но есть способ определить его косвенно. Если интересно, дайте знать, и я опишу проверенный способ.

Уверен, это всем интересно! Но если это тайна, куда писать?

Здравствуйте, cppguard, Вы писали:

C>P.S. Буквально на днях постучался в LinkedIn программист из Amazon и сказал, что не может решить задачу, потому что не может разобраться в исходниках библиотеки, в разработке которой я когда-то принимал участие. Попросил написать решение за него. Так что сейчас такие программисты, что даже с исходниками не справятся. Им подавай tutorial, или сразу пост в Medium c готовым решением.

Если достаточно сложная предметная область, то в исходниках без серьезной документации с описанием принципов и применяемых алгоритмов и не разберешься. Ну если не гений или не готов потратить на это годы труда.

Например, в своей время (примерно в 2008 году, емнип) движок OCR программы cuneiform владельцы официально выложили под BSD-подобной лицензией. Причем даже какие-то статьи научные приложили и специальный сайт создали. Видимо были серьезные надежды на их улучшение. В результате все чего сделало "сообщество" — это смогло портировать их под Linux (изначально они были строго под винду, причем очень жестко завязаны на особенности компиляторов/среды), поправили пару мелких багов и написали к ним GUI (глючный). Никакого улучшения распознавания не было сделано.

Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Уверен, это всем интересно! Но если это тайна, куда писать?

Первое что нужно сделать, это написать своему регистратору и попросить включить SCA / 3D Secure (прежде всего для EU). Почти все регистраторы это умеют сейчас, но обычно этого нет в панели управления. Нужно именно написать и попросить. После этого, появляется возможность вычисления SCA математическим способом.

Расмотрим входные данные:

class RiskAnalysisRequest
{
    RiskAnalysisPaymentMethod PaymentMethod { get; set; }  // метод оплаты
    decimal TotalAmount { get; set; }  // общая сумма заказа в USD
    string Country { get; set; }  // двухбуквенный код страны из адреса выставления счета
}

enum RiskAnalysisPaymentMethod
{
    CreditCard,
    PayPal,
    Other // purchase order, wire transfer etc
}

RiskAnalysisRequest формируется из информации заказа.

Затем, собственно вычисление:

class RiskAnalysis
{
    // Determines whether given order has a Strong Customer Authentication
    public static bool IsSca(RiskAnalysisRequest request)
    {
        return
            request.PaymentMethod == RiskAnalysisPaymentMethod.Other ||
            request.PaymentMethod == RiskAnalysisPaymentMethod.CreditCard && Is3DSecureCountry(request.Country) ||
            request.PaymentMethod == RiskAnalysisPaymentMethod.PayPal && IsVerifiedPayPalAccount(request);
    }

    static bool Is3DSecureCountry(string country)
    {
        return
            IsEUCountry(country) ||
            country == "UA" ||  // Ukraine is fully 3D Secure
            country == "RU" ||  // Russia is mainly 3D Secure
            // ...
            country == "AU";  // Australia is gradually moving towards 3D Secure
    }

    static bool IsEUCountry(string country)
    {
        // Put a full list of EU countries here
        return country == "AT" || country == "BE" || country == "DE" /* ... */;
    }

    static bool IsVerifiedPayPalAccount(RiskAnalysisRequest request)
    {
        return request.TotalAmount >= GetPayPalVerificationAmount(request.Country);
    }

    static decimal GetPayPalVerificationAmount(string country)
    {
        switch (country)
        {
            case "US":
                return 499m;
            case "UA"
                return 99m;
            case "RU"
                return ?; // Сколько там у вас?

            // ...

            default:
                // The most common PayPal verification amount.
                return 99m;
        }
    }
}

Затем используете эту функциональность в своем генераторе лицензий/фулфилментов:

var request = CreateRiskAnalysisRequestFromOrder(...);
bool sca = RiskAnalysis.IsSca(request);

if (sca)
    return RiskAnalysisResult.Accept; // надежный на 99.99% клиент

// А здесь уже идут опциональные эвристики под конкретный продукт.
// Смотрим на Email и на First Name.

// Обычно если email адрес это что-то типа protonmail.com или 10minutemail.com, то сразу Reject.

// First Name используется для определения пола, т.к. часто продукт имеет специфическую аудиторию.

// Дальше используем эти знания чтобы пропустить хорошие ордера с результатом Accept,
// сомнительные отметить как требующие ручного одобрения (Review),
// а явно плохие сразу выкидываем с Reject, чтобы не стать жертвой фрода.

В случае продажи исходного кода, можно пойти еще дальше и незаметно встраивать имя кастомера прямо в код с помощью стеганографии. Например, в имена приватных функций.

К примеру, если у вас в библиотеке есть такая функция:

bool CheckResult(int result)

то можно использовать принцип синонимов. Имя функции бьется на части, в данном случае Check и Result. Затем для каждой части находятся синонимы.

Для Check: Test, Verify
Для Result: Outcome

Это дает такие возможные сочетания имен функции: CheckResult, TestResult, VerifyResult, CheckOutcome, TestOutcome, VerifyOutcome. Т.е. только в одном конкретном наименовании функции мы уже смогли закодировать log2(6) = 2.58 бит информации. Приватных функций много, синонимов тоже. Можно сделать инструмент, который будет автоматически проставлять и извлекать стеганографические метки. Можно использвать для отслеживания и воздействия.

Здравствуйте, Michael7, Вы писали:

M>В США (а это самый большой рынок обычно) до сих пор как-то не принято делать никакую дополнительную авторизацию при использовании кредитки. Поэтому реализация такого требования вероятно отсеет какую-то значительную часть покупателей.

Не отсеет.

Если карточка без 3D Secure, то она обрабатывается как обычно, без SCA.

SCA является требованием только для карточек, которые были выпущены с 3D Secure.

Хотя да, первое поверхностое впечатление именно такое, что что-то там полезное отсеется. Но на практике отсеевается только фрод, а продажи и профит возрастают.

Здравствуйте, Unhandled_Exception, Вы писали:

U_E>Впервые столкнулся с таким. Один из продуктов (библиотека) можно купить с исходниками. Купили по ворованной карте, потом в скайп постучались, написали, что выложал исходники. Я пожал плечами: что я могу сделать. Прошло несколько месяцев, и вот сегодня один потенциальный клиент скидывает ссылку на свежий репозиторий с исходниками.

Поделись ссылочкой-то

U_E>Может кто знает способ, что с этим можно сделать, ну там отправить в github какие-то "отпечатки" исходников, например. Надежды мало, но вдруг

Да ничего ты с этим не сделаешь. Можешь утешатся тем, что свежая версия с поддержкой есть только у тебя.

Здравствуйте, NWP, Вы писали:

NWP>Более того, иногда, когда просят добавить какую-то фичу, я предлагаю исходники и инструкцию как эту фичу там минимальными усилиями заимплиментить — отказываются со словам, что боятся потерять совместимость с будущими обновлениями, если начнут править исходники сами. Так что, боюсь, как раз наоборот. Мало кому исходники нужны.

А твои покупатели не боятся остаться совсем без поддержки, если ты вдруг исчезнешь? С исходниками-то они могли бы, на крайняк, самы себе поддержку организовать...