Где Розыч узнает про недокументированные функции?

← →
Rouse_ © (2012-09-27 18:31) [40]

> no_way (27.09.12 18:12) [38]
> Rouse_, а зачем вы вообще пишите защиту сами, а не используете
> vmprotect, например

Почему не использую? Использую конечно, только ExeCryptor но полагаться только на него одного нельзя, поэтому нужно включать мозги везде где только нужно.
По поводу же VmProt-а, на автомате не разворачивают, но средства помогающие разбирать ВМ есть, что уже чревато...

← →
no_way (2012-09-27 19:28) [41]

> но полагаться только на него одного нельзя

параноя? :-)

> ExeCryptor

а он не помер еще?
вроде ж не развивается уже

← →
no_way (2012-09-27 19:54) [42]

кстати, еще вопрос - в чем причина такой паронаидальной защиты?
даже тут несколько вопросов
-насколько популярен софт, большая ли ниша? (про оракл не зря Пит упомянул)
-ценовая категория? (10-100$ (не думаю), 100-1000, 1000-10000)
то есть хочу понять, стоит ли такие усилия профита
обычно те, кто юзают кряки все равно не покупатели, или уйдут к конкурентам, или на фривару, или им не нужно :-)

для меня важней, чтобы алгоритм проверки ключа не развернули, а на кряки пофиг в общем-то, при следующем билде они уже не будут работать

← →
Rouse_ © (2012-09-27 20:14) [43]

> no_way (27.09.12 19:28) [41]
> параноя? :-)

Да нет - практика :)

> а он не помер еще?

Не развивается - да, но не помер :)

> -насколько популярен софт, большая ли ниша?

Достаточно популярен в своей нише (строительство), а строительство у нас идет ежедневно. Что-то в районе двухсот тысяч клиентов помоему недавно перевалили.

> -ценовая категория?

пустая оболочка в районе 27 тысяч чтоли, но без баз она не нужна, а базы смотря какие - есть и за 25 тысяч, а есть и от 120 тыр, в зависимости от региона...
Поэтому качественная защита все-же нужна и обычным навесняком не обойтись...

← →
no_way (2012-09-27 20:31) [44]

> Что-то в районе двухсот тысяч клиентов помоему недавно перевалили.

> есть и за 25 тысяч, а есть и от 120 тыр, в зависимости от
> региона...

не слабо
ну понятно, да, вам оно нужно
у меня софт для малого бизнеса за 30 (выкину во фривару, с 2009го не обновлял) и 35-50 (ниша небольшая и забитая, потому излишняя защита тут больше во вред)
мне защита не нужна, ее и нет почти, на уровне школьного задания :-) - протекторы не использую совсем, код проверок защищен по минимуму, проверка ключа, чуть больше
кейгенов нет, кряки есть
бывало даже такое, что человек приходил с сайта с кряком на софт и покупал :-)

← →
Rouse_ © (2012-09-27 20:50) [45]

> бывало даже такое, что человек приходил с сайта с кряком
> на софт и покупал :-)

Мы в свое время (давно правда) специально ослабляли защиту и я под альтами участвовал в обсуждении способов обхода её, как раз с целью внедрения в массы :) Потом в один веселый день апнули ее обеспечив себе таким образом хороший приток клиентов :) Сейчас до сих пор приходят люди с теми, семилетней давности, кряками дабы обновиться и легализоваться :)

← →
no_way (2012-09-27 21:17) [46]

> Rouse_ © (27.09.12 20:50) [45]

а есть ли у вас активация?
с дорогим софтом можно позволить, даже если он напрямую не связан с инетом
я себе позволить не могу (многие даже с вводом ключа не справляются, ключ - 20 символов base36), а жаль
не было бы проблем вообще - код активации в протектор, активация на сервере, плюс доп. возможность активации вручную

← →
Rouse_ © (2012-09-27 21:31) [47]

> no_way (27.09.12 21:17) [46]
> а есть ли у вас активация?

Смотря какой продукт, у тех которые непосредственно клиентам идут - нет, там ключ Guardant в комплекте

← →
no_way (2012-09-27 21:34) [48]

> там ключ Guardant в комплекте

продукты коробочные, или download only с последующей отсылкой ключа?

← →
Rouse_ © (2012-09-27 21:39) [49]

> no_way (27.09.12 21:34) [48]
> продукты коробочные, или download only с последующей отсылкой
> ключа?

Эт я не в курсе, вроде и так и так есть...

← →
oxffff © (2012-09-27 22:10) [50]

Он их сам пишет.

← →
Jeer © (2012-09-28 13:14) [51]

> oxffff © (27.09.12 22:10) [50]
>
> Он их сам пишет.

И за пиво Гейтсу отдает :)

← →
Пит (2012-09-30 21:48) [52]

ну защита, проектируемая Розычем - параноидальная и это факт. Но в их ситуации, вполне возможно, это близкое к оптимальному по прибыли решение.
Просто есть и другие подходы )

Параноидальная защита возможна в случае, когда по многим спорным моментам "Защищенность" vs "Удобство пользователя" можно выбрать позицию "Проблемы индейцев шерифа не волнуют". Кто-то может себе это позволить, кто-то нет.

Например, любая IT-контора ориентированная в том числе на конечного потребителя в виде физического лица такой уровень защиты позволить себе не может. Тот же MS - неа.
Некоторые It-гиганты типа oracle - даже не пытаются.
Тот же google просто выбрал другой способ монетизации, в этом смысле он вне конкуренции, имхо, и формирует будущее ПО, по крайней мере для частных лиц.

То есть, всему своя ниша. И перезащищенность продукта это такие же финансовые потери как и недозащищенность.

← →
Пит (2012-09-30 21:49) [53]

кстати, двумя этажами ниже от моего рабочего места я наблюдаю дверь на которой написано "Win смета"... гыыы... приветы передавать? )))))

← →
Дмитрий С © (2012-10-01 02:02) [54]

> формирует будущее ПО,

Сильно сказано

← →
Германн © (2012-10-01 02:02) [55]

> Пит (30.09.12 21:48) [52]
>
> ну защита, проектируемая Розычем - параноидальная и это
> факт. Но в их ситуации, вполне возможно, это близкое к оптимальному
> по прибыли решение.
> Просто есть и другие подходы )
>
> Параноидальная защита возможна в случае, когда по многим
> спорным моментам "Защищенность" vs "Удобство пользователя"
> можно выбрать позицию "Проблемы индейцев шерифа не волнуют".
> Кто-то может себе это позволить, кто-то нет.

Вот по поводу "параноидальности" и по поводу "Проблемы индейцев шерифа не волнуют" хотелось бы услышать более подробное объяснение.
А проблемы "гигантов", той же MS или Oracle - это несколько другие проблемы.

P.S. Всё вышесказанное - IMHO.

← →
Пит (2012-10-01 09:14) [56]

> хотелось бы услышать более подробное объяснение.

хотелось бы услышать, что конкретно непонятно.

← →
Rouse_ © (2012-10-01 10:16) [57]

> Параноидальная защита возможна в случае

Ты просто не понимаешь о чем говоришь.
То что я описываю, отношение к параноидальной защите имеет как я к балету :)

По поводу ориентированности на физическое лицо, и наша контора и наши конкуренты на них собственно и рассчитываем (50 процентов покупок осуществляют частники) просто рынок у нас такой, мыж не на западе, где все стараются работать легально. И у нас нет западного рынка, где можно было бы отбить отсутствие продаж в России в случае отсутствия защиты. Поэтому все защищаемся при помощи электронных ключей, ну кто как умеет. У нас просто более качественно софтверный блэкбокс выполнен.

Далее - то что я описываю здесь на форуме про отладчики дизассемблеры и т.п. и у себя на блоге про эмуляцию и прочее, это так-же не относится к параноидальной защите, это только то что встречалось мне при исследовании других приложений. В нашем продукте я данные подходы не применяю (ну за исключением ключей) ибо все это (как бы помягче сказать) слишком просто и очевидно, т.е. да - защита, но прошлый век, скажем так... Хотя может даже эти простые вещи для кого-то покажутся слишком суровыми...

Теперь по поводу паранои - схема защиты приложения может называться параноидальной в случае, где каждая инструкция не выполняется без предварительной перекрестной проверки целостности кода. Где перед записью значения в переменную сначала идет проверка - а не стоит ли GUARD по её адресу. Где вызов апи вообще рассматривается как вход в зараженную зону и тело апи сначала прозванивается целиком на предмет модификаций а потом вообще от греха подальше копируется в свой сэндбокс и выполняется (а то и эмулируется) в нем же. Часть таких подходов применена например в Guardant Monolit, там у них каждый байт кода защищен целой кучей проверок, до 42 двух штук встречалось, причем тело каждой проверки так-же защищено по такому-же образу и подобию. Грубо чтобы сделать правку одного единственного байта в монолите нужно сначала отключить все проверки целостности, вручную не реально, да и на автомате может потребоваться достаточное для того чтобы надоело время.
Вот это с натяжкой можно назвать параноей, я тут намерено не опуминую про уже чисто технические антиотладочные трюки, которые любят нонавпихивать различные навесные защиты.

Ну а то, что применяется у нас - это не параноидальная, а аргументированная защита, реализованная после удачных взломов трех её предыдущих вариантов. Причем в каждом случае я просто делал усложнение примерно в два раза самого алгоритма. который будет разгребать взломщик, хотя мог и на порядок добавив дополнительные виртуальные ядра для псевдокода.
Правда жаль что столько лет последний вариант не могут взломать, много наработок в стол получается писал...

Зы: а винсмете приветы передавай, надо же, я думал они еще в 2006-ом отвалились как те динозавры, однако-ж смотрю пыхтят :)

← →
Пит (2012-10-01 12:22) [58]

> Ты просто не понимаешь о чем говоришь.

так я только о том и говорю, о чем не понимаю

> То что я описываю, отношение к параноидальной защите имеет
> как я к балету :)

да я знаю, что у тебя свое мнение. Просто у меня - свое )

> То что я описываю, отношение к параноидальной защите

я не говорил про то, что ты описываешь. Я, если честно, не особо читал.
Я говорю про твою защиту, мнение о которой у меня складывалось долго и по различной информации ))

Дальше ты стал авторитетно утверждать, что именно тебе известно толкование термина "параноидальный" - но сам понимаешь, в отрыве от психиатрии и в применении к защите информации у этого термина нету общепринятого толкования, а также границ и критериев применимости. Поэтому такая жесткая уверенность, что именно твоя версия правильная - странная. Абсолютно очевидно, что данный термин субъективен.
В моем мировоззрении - это уже параноидальность. Для тебя, естественно, нет - ты с этим каждый день работаешь, для тебя это обыденность.

А чем это вызвано - тут я полностью согласен. Конечно, трудно делать коробочные продукты для России онли. Поэтому мы в такой зопе и сидим и по пальцам пересчитать можно крупных вендеров (а вообще кроме 1C есть хоть кто-то...).

Причем, самое забавное - когда очень многие программисты на голубом глазу утверждают, что, например, за винду они платить принципиально не будут, какого хрена, типа что им жалко - от того что я произведу копирование - MS ничего не потеряет, продают CD болванки стоимостью под $100 - звери.
Как у людей в одной голове укладывается это и то, что им должны платить зарплаты за программирование - непонятно.

← →
Rouse_ © (2012-10-01 12:28) [59]

> Как у людей в одной голове укладывается это и то, что им
> должны платить зарплаты за программирование - непонятно.

Ну тут я полностью с тобой солидарен.
Мне интересно на сколько поднялось бы финансовое состояние Эмбаркадеры если бы у нас все поголовно легализовались? :) Думаю в этом случае им следующий год можно было бы и не работать...

← →
Sha © (2012-10-01 12:48) [60]

> Rouse_ © (01.10.12 12:28) [59]

Так оно б еще больше поднялось, если б они цену скинули в N раз.
Вот у нас, например, на организацию куплена D7 и зачем-то D8.
Особого смысла покупать XE3 пока нет.
Но будь цена пониже, я б себе лично купил.

← →
Игорь Шевченко © (2012-10-01 12:49) [61]

Sha © (01.10.12 12:48) [60]

> Так оно б еще больше поднялось, если б они цену скинули
> в N раз.

Там тоже маркетологи сидят и тоже считать умеют. Очевидно посчитали, что российские одиночки им погоды не сделают.

← →
Rouse_ © (2012-10-01 12:50) [62]

Ну мы хе3 одну копию то точно купим, для 64 битных библиотек как минимум, ну а в процессе будем смотреть, нужно ли всем на нее переходить...

> Особого смысла покупать XE3 пока нет.
> Но будь цена пониже, я б себе лично купил.

А так с торрентов скачаешь?)

> Игорь Шевченко © (01.10.12 12:49) [61]

Они, наверно, считать умеют, но по моим ощущениям кое-что упускают из виду.
Вот тот же Blizzard на WOW для России специальные цены установил,
может, и для Кореи, где Starcraft - национальный спорт, не знаю точно.
А у нас в стране Дельфи - национальный спорт, это было бы полезно учитывать маркетологам.

> Дмитрий С © (01.10.12 13:12) [63]

Открой для себя триал.

Sha © (01.10.12 13:35) [64]

> для России специальные цены установил

MS тоже на русскоязычные версии продуктов устанавливает другие цены.

> А у нас в стране Дельфи - национальный спорт, это было бы
> полезно учитывать маркетологам.

Уже нет.

> Уже нет.

А мужики в курсе? :)

> Пит (01.10.12 12:22) [58]

> а вообще кроме 1C есть хоть кто-то...

касперыч, abby, parallels, (yandex), (mail).
мало конечно.

Имхо Эмбаркадеро не вполне знает/понимает Россию.
Преподавание программирования у нас в основном идет через Турбо Паскаль. Так что Дельфи вполне может стать основным инструментом для российских программистов.
Вундеркиндов я в расчёт не беру. И "железячников" тоже.

ра
> Пит (01.10.12 09:14) [56]
>
>
> > хотелось бы услышать более подробное объяснение.
>
> хотелось бы услышать, что конкретно непонятно.
>

Не понятны обвинения в "параноидальности".
Если число клиентов составляет более нескольких сотен, то защита продукта это не паранойя!

← →
Пит (2012-10-02 11:47) [72]

> защита продукта это не паранойя!

я не говорил, что защищать продукт - это паранойя.

Где Розыч узнает про недокументированные функции? Найти похожие ветки