Ratschläge zur Umsetzung einer Lizenzsierung

[sliwalker]

Hi,

ich schreibe seit einer Weile eine Anwendung in privatem Rahmen.
Ich möchte erreichen, dass nur Nutzer die Anwendung verwenden können, die ich persönlich auf "meiner Webseite" dafür bestimmt habe. Dazu sollen sie per Skript einen Lizenzschlüssel erhalten, den sie in die Anwendung kopieren können.

Ich habe schon etwas geplant und umgesetzt, aber trotz das es funktioniert, liegt es mir schwer im Magen. Es ist zu starr, kaum erweiterbar und irgendwie naja, ich weiß auch nicht, es gefällt mir so nicht. Deshalb erbitte ich von euch ein paar Vorschläge, wie man so etwas grob skizziert umsetzen kann. Best practice eben...

Was habe ich schon? (...und will es ändern...)
In meinem generierten Lizenzschlüssel steht die E-Mail, eine Kombination aus Rechten und eine Prüfsumme.
Dies wird mittels Cipher verschlüsselt.
Und Base64Encodiert.

Das ist alles in einer Datei gespeichert. Die kompletten Daten.
Wenn nun Berechtigungskombinationen hinzukommen, ist es aufwändig auch alte Lizenzen gültig zu halten.
Die E-Mail-Adresse ist nicht mehr änderbar. Ändert der User also seine E-mail auf der Seite, kann es bei Online-Funktionen der Anwendung zu Fehlern kommen. Denn bei Online-Funktionen werden die aktuellen Programm-Account-Daten mit dem Internet abgeglichen.

Was ich suche ist ein anderer Weg. Bin da sehr unschlüssig, was ich eigentlich suche, deswegen Frage ich euch.
Jeden Hinweis, wie man so etwas macht nehme ich dankbar auf

greetz
SLi

 

[quivadis]

Hallo sliwalker,

du möchtest also etwas programmieren, wo sogar die Musik- und Filmindustrie und auch die Softwareindustri scheitert. Die haben da schon ein paar Milarden Euro verpulvert. Auch wenn sie da einen Kopier und Abspielschutz bauen wollten.
Wenn ich Dich richtig verstanden habe planst du auch sowas. Ich denke mit Java wird das eh nix, da ja fast der Quelltext beiliegt. Konzentriere Dich lieber auf das eigentliche Programm, oder mache gleich eine Webservice, da sollte es funktionieren.
Denke immer daran du bsit allein, und Kämpfst gegen viele.

Mir fählt jetzt aber auch keine bessere Lösung ein als die, die du schon umgesetzt hast, schließlich soll Dein Programm ja auch noch benutzbar bleiben.

Ich würde es so lassen, oder es ganz vergessen.

Quivadis

 

[sliwalker]

Hi,

danke für Deinen Beitrag.
Es ist mir bewusst, dass mein Vorhaben keine Garantie geben wird. Aus Deinen genannten gründen schon nicht.
Soll es auch nicht sein.

Gar keine Lizenzsierung einzubauen macht es für nicht fachkundige Nutzer jedoch zu einfach. Wer das Programm nutzen will und isch auskennt, wird eh einen Weg finden, das ist mir bewusst.
Jedoch möchte ich dennoch etwas derartiges einbauen, um zumindest 80% der Nutzer davon abzuhalten.
Die Notwendigkeit einer Online-Registrierung macht die Sache da noch ein wenig einfacher. Aber das programm soll eben auch lokal nutzbar sein und das nicht für jeden.

Hat jemand damit schon einmal Erfahrungen gesammelt?
Alles was ich bislang kommerziell mal umgesetzt habe, hatt mit einer Beschränkung auf datenbankeinträge zu tun und ist hier nicht angebracht, weil keine Datenbank.

 

[Noctarius]

Von Alladin gibt es USB-Hardware Dongle. Ich mein mich erinnern zu können, das diese damals auch Java Connectoren dabei hatten. Würde mich dort mal umschauen.

Die HASP-HL Dongle haben auch eine Hardware basierte Entschlüsselungslogik zum Echtzeitentschlüsseln von Software. Kannst also deine Applicationslogik ansich verschlüsseln. Nachteil (wie weit der noch gilt keine Ahnung): es gab eine Weile einen HASP-HL Softwareemulator.

 

[sliwalker]

Ok danke für den Tipp.

Aber soweit möchte ich nicht gehen. Es ist ein privates Projekt das ich rudimentär sichern möchte.
Durch eine ganz simple Lizensierungstechnik. Ein USB-Dongle geht eindeutig zu weit.

Aber trotzdem Danke
Kann man für etwas anderes mal im Hinterkopf behalten.

 

[quivadis]

Die Schwierigkeit besteht ja gerade darin, zu verhindern das ein schon registriertes Programm einfach so kopiert werden kann. Oder ist es von Dir aus erwünscht, dass das funktionieren soll?

Mal ein paar Gedanken dazu:
Du musst den Schlüssel entweder an die Harderware des Rechners anpassen, da spielt die E-mail kein Rolle.
Quassi so wie bei Win-Xp.

Oder du musst Dir in Deiner Datenbank merken, wem du wann welchen Schlüssel gegeben hast. Das Programm müsste in Gewissen abstanden, mit deiner Datenbank einen Schlüsseltausch machen. Du musst Dir halt noch überlegn in welchen zeitlichen Abständen das passieren soll und was passiert, wenn der Zeitpunkt gekommen ist, das Programm aber keine Internetverbindung hat.

Was bessere fählt mir nicht ein.

Alle Lösungen die ohne Deinen Server funktionieren sind ja von Dir nicht gewollt, da du ja die Kontrolle behalten willst.
Der Austausch der Schlüsselpaare kannst du ja verschlüsselt machen.
Kannst ja versuchen die Regiestrierung zeitlich zu beschränken, wenn du die E-mail im Schlüsselpaar dynamisch machst, kann sie ja gewechselt werden. Musst Dir dann aber ein anderes Merkmal merken, damit es eineindeutig bleibt.

Quivadis

 

[Noctarius]

Das einzig funktionierende System benutzt Steam / Halflife. Hier wird zur Laufzeit der Schlüssel als benutzt gekennzeichnet. Versucht ein zweites System GLEICHZEITIG den Key zu benutzen wird abgeblockt. Damit kannst du das Spiel zwar auch massig Rechnern gleichzeitig installieren, spielen lässt sich aber nur an einem.

Praktikabel ist sowas aber nur bei Software, welche auf Grund ihrer Funktion, sowieso eine Internetverbindung voraussetzt.

 

[sliwalker]

Hi,

nochmals Danke für deine Antwort Nocarius.

Ich formluiere es nochmal, weil es zu unverständlich zu sein scheint.

- Ich brauche kein 100%iges System!
- Ich ziele nicht darauf ab, ein gänzlich sicheres System zu entwickeln.
- Wenn sich jemadan gut auskennt, wird er es "cracken" können.
- Die Wahrscheinlickeit ist gering, da das programm nur begrenzten Leuten überhaupt angeboten wird.

- Ich brauche eine Account-Serial Bindung (rudimentär). D.h. ich habe Lösungen, um einen Account an einen Serial zu binden. Dies geschieht per Online-Zugriff. Dort vergleiche ich Accountdaten und sende eine Antwort, ob die Daten kongruieren. Der mitgesendte Serial wird zu der E-Mail eingetragen. E-Mail deshalb, weil sie eindeutig ist...von Grund auf.

Das Problem an sich sind lokale Accounts. Eben jene, die niemals Online gehen. Dort kann man "mogeln" bzw. cracken. Es immer immer möglich ohne Onlinezugriff Programme zu cracken. Von Könnern ist mir das egal. Aber ich biete die Software nicht aus den Problemen der Programmierung heraus von Grund auf ohne Serial an.

Deshalb ein rudimentäres Verfahren, dass eine grobe Absicherung, auch im lokalen Bereich, schafft.
Meine Umsetzung habe ich ja geposted, ich hätte gedacht, jemand hat ein "Pattern" für mich auf Lager, wie sowas meistens gelöst wird.

Ich habe meine Variante noch einwenig modifiziert.
Es können zwar noch Berechtigungskombinationen in Zukunft hinzu kommen. Aber derzeit sage ich dazu GANZ unprofessionell. Darum kümmere ich mich dann!

Entweder bekommen alle einen neuen Serial oder ich bekomme es unter einen Hut.
Trotzdem interessiren mich natürlich weiterhin eure Ratschöäge...

 

[Noctarius]

Also brauchst du einen simplen Key Algorithmus? Wie wär's einfach 2 UUIDs miteinander zu kombinieren und in der DB an nem Account zu hängen?

 

[quivadis]

Sowas in der Art hatte ich schon geschrieben. Ergibt nur das Problem mit den Offline PC.

 

[Drake]

Hi

immer dieser Ärger mit Anwendungen die auch offline funktionieren sollen.

Folgende Möglichkeiten bieten sich (u.a. ergänzend zu bereits genanntem) :

1 a Seriennr., validierung durch Anwendung
b Seriennr., validierung durch Anwendung, komplette Freischaltung erst nach erfolgter (online) Aktivierung und Generierung von hardware gebundenem key (s. win xp, ps)

2 Dongle

Ergänzend kann man noch einen weiteren hashwert berechnen und diesen im Lan verfügbar machen, d.h. findet die Anwendung beim Start zufällig den eigenen hash im Netz, kann diese ihren Dienst quittieren (ich glaub poser macht es so ähnlich).

Meiner Meinung nach sind aber wichtige Fragen noch nicht gestellt / beantwortet worden.
Auf welchen wegen soll deine Software verteilt werden, z.B. reiner onlinevertrieb ? (wirklich relevant für erlaubte 'Beschneidung' des Nutzers).
Zielgruppe, privat oder gewerblich, oder gleich zwei Probleme auf einmal. Endverbrauchern werden immer so viele Rechte zugesprochen, welche sich nur schwerlich umgehen lassen, bei Unternehmen dagegen lässt sich zumindest die Art und Weise der Nutzung wesentlich genauer formulieren.

Abschließend noch ein Gedanke, in wie weit rechnet sich dein Aufwand / Unmut des Kunden im Vergleich zum Nutzen? Einzige relativ sichere Variante ist der Dongle, für jede andere Idee, mal den Zeitaufwand der implementierung notieren und rechts daneben einfach mal aufschreiben, was einem in einer einzigen 1/4 Std. zur Umgehung einfällt. Natürlich könnte man jetzt anführen, dass Otto-Normal-User nicht soweit denkt, aber hey, seid wann muss dieser deine Software selber knacken? Im worst case muss der keygen zwei nummern generieren und der user gebenenfalls noch Dateien ersetzen.