Я убрал часть функционала из триальной версии, выложил на сайт триальную вместе с полной, и после покупки покупателю приходит ссылка на скачивание полной. Возник вопрос, а может ли хакер, не покупая полную версию, найти URL файла с ней? Теоретически это можно сделать перебором названий файлов, конечно это сложно, а не может ли хакер просто посмотреть список файлов закачанных на сайт?
"Ты должен сделать добро из зла, потому что его больше не из чего сделать". АБ Стругацкие.
Здравствуйте, Khimik, Вы писали:
K>Я убрал часть функционала из триальной версии, выложил на сайт триальную вместе с полной, и после покупки покупателю приходит ссылка на скачивание полной. Возник вопрос, а может ли хакер, не покупая полную версию, найти URL файла с ней? Теоретически это можно сделать перебором названий файлов, конечно это сложно, а не может ли хакер просто посмотреть список файлов закачанных на сайт?
Конечно может, например, попросив ссылку у того, кто купил.
Здравствуйте, Khimik, Вы писали:
K>Я убрал часть функционала из триальной версии, выложил на сайт триальную вместе с полной, и после покупки покупателю приходит ссылка на скачивание полной. Возник вопрос, а может ли хакер, не покупая полную версию, найти URL файла с ней? Теоретически это можно сделать перебором названий файлов, конечно это сложно, а не может ли хакер просто посмотреть список файлов закачанных на сайт?
Но если Вы знаете IP покупателя — только ему и отдвать скачивание?
Здравствуйте, Khimik, Вы писали:
K>Я убрал часть функционала из триальной версии, выложил на сайт триальную вместе с полной, и после покупки покупателю приходит ссылка на скачивание полной.
Еще 15 лет тусы на RSDN и человек узнает про генерацию серийных номеров с помощью ассиметричных криптоалгоритмов.
H>Когда на заводе вместо модернизации рабочих мест и обучения рабочих начинают вводить слежку за нахождением на рабочем месте и пропуска с подсчетом времени — это начало конца
F>Но если Вы знаете IP покупателя — только ему и отдвать скачивание?
IP бывают динамические.
Можно отдавать не прямую ссылку на файл, а через скрипт создавать динамическую ссылку, активную, например, несколько часов или до первого скачивания. А потом она перестает работать.
Здравствуйте, temnik, Вы писали:
.
T>Можно отдавать не прямую ссылку на файл, а через скрипт создавать динамическую ссылку, активную, например, несколько часов или до первого скачивания. А потом она перестает работать.
Здравствуйте, Khimik, Вы писали:
K>а не может ли хакер просто посмотреть список файлов закачанных на сайт?
Точки раскрытия этого URL:
— Пользователь сам расшарит ссылку
— Вы забыли убрать какой-нибудь index.php
— Почтовик проиндексирует ссылку в ящике клиента. GMail/Google вряд ли будут использовать её, остальные — хз.
— Разные SEO плагины и вообще всякий spyware в виде Chrome плагинов трекает, по каким УРЛам ходит юзер. Потом эти данные продаются всем кому не лень, типа similarweb.
Я бы делал для юзера личный кабинет по паролю.
Это вам же выгодно — удержание юзера, возможность слать е-мейлы, повторные продажи, апсейлы и т. д..
Здравствуйте, Khimik, Вы писали:
K>Я убрал часть функционала из триальной версии, выложил на сайт триальную вместе с полной, и после покупки покупателю приходит ссылка на скачивание полной. Возник вопрос, а может ли хакер, не покупая полную версию, найти URL файла с ней? Теоретически это можно сделать перебором названий файлов, конечно это сложно, а не может ли хакер просто посмотреть список файлов закачанных на сайт?
Так себе идея.
В случае отдельного файла появляется сложности с пользователями, вот он попробовал и купил, чтобы сразу ввести ключ и продолжить, а надо еще переустановить, будут писать и тупить.
Плюс у полного сетап файла будет низкий рейтинг скачиваний и на него будет ругаться антивирусы.
Если у хакера подозрение что триальная и полная версии отличаются, то просто купят с левой карты и получат ссылку.
Здравствуйте, Khimik, Вы писали:
K>Я убрал часть функционала из триальной версии, выложил на сайт триальную вместе с полной, и после покупки покупателю приходит ссылка на скачивание полной. Возник вопрос, а может ли хакер, не покупая полную версию, найти URL файла с ней? Теоретически это можно сделать перебором названий файлов, конечно это сложно, а не может ли хакер просто посмотреть список файлов закачанных на сайт?
Только в одном случае, если после введенных параметров отдавать потоком файл на PHP, при этом сам бинарник или держать в БД или на диске в закрытом извне каталоге.
Здравствуйте, _synapse_, Вы писали:
__>В случае отдельного файла появляется сложности с пользователями, вот он попробовал и купил, чтобы сразу ввести ключ и продолжить, а надо еще переустановить, будут писать и тупить.
Как это ни странно, но получив ключик пользователи часто переустанавливают программу.
Когда на заводе вместо модернизации рабочих мест и обучения рабочих начинают вводить слежку за нахождением на рабочем месте и пропуска с подсчетом времени — это начало конца
Здравствуйте, sharez, Вы писали:
S>Точки раскрытия этого URL:
Я двадцать лет продаю продукт без регистрации и ключей, отдавая полную версию с сайта. За это время ссылки публиковались два или три раза, из них один раз человек сам сообразил, что спорол фигню, и быстро ее удалил.
Пираты всегда раздают полные версии со своих серверов. Раньше — в чистом виде, теперь заботливо оборачивают их троянами, что неплохо многих отпугивает любителей халявы.
Здравствуйте, sharez, Вы писали:
S>Точки раскрытия этого URL: S>- Пользователь сам расшарит ссылку S>- Вы забыли убрать какой-нибудь index.php S>- Почтовик проиндексирует ссылку в ящике клиента. GMail/Google вряд ли будут использовать её, остальные — хз. S>- Разные SEO плагины и вообще всякий spyware в виде Chrome плагинов трекает, по каким УРЛам ходит юзер. Потом эти данные продаются всем кому не лень, типа similarweb.
Насколько всё это сложно для среднепродвинутого юзера?
Полагаю, надо бояться не столько профессиональных хакеров, сколько продвинутых юзеров, которые взламывают программу и раздают её через сарафанное радио.
"Ты должен сделать добро из зла, потому что его больше не из чего сделать". АБ Стругацкие.
Здравствуйте, Khimik, Вы писали:
K>Полагаю, надо бояться не столько профессиональных хакеров, сколько продвинутых юзеров, которые взламывают программу и раздают её через сарафанное радио.
Здравствуйте, CEMb, Вы писали:
K>>[...]конечно это сложно, а не может ли хакер просто посмотреть список файлов закачанных на сайт?
CEM>wget -r CEM>даже не глядя
а на сервере отключены индексы или в папке пустой index.html