Webアプリケーションのライセンスキーソリューション、最良のアプローチは何ですか？

私はマネージャーからのリクエストに困惑しています。私は小さな新興企業で働いており、大規模な大企業のメンテナンス契約で固定料金のウェブアプリケーションを開発しました。大企業が最後の1秒間にしか請求書を支払わないという恐ろしい話を知って、私たちは、このWebアプリケーションのライセンスを取得することで自分自身を保護したいと考えました。

これはデスクトップアプリケーションで以前に行われたことを見てきましたが、これは内部でホストするWebアプリケーションになり、インターネットからアクセスできなくなります。

これを行うための最良のアプローチは何ですか？小さなフットプリントを持ち、配布したライセンスキーを更新する機能が必要です。

誰かが似たようなことをしましたか？私たちは完全に頭から離れていますか？誰より良い提案がありますか？

このようなものを実装する方法はたくさんありますが、それほど難しくないはずの方法を次に示します。

ブラックリストに登録されたライセンスキーのハッシュを含むファイルをホストする、どこかに公開されているWebサイトが必要です。このファイルの管理方法はユーザー次第ですが、ファイル自体に必要なのは1行あたり1つのハッシュのみです。

その後、定期的に、ソフトウェアはこのファイルのダウンロードを開始し（ほとんどのサーバー側言語がこれを提供します）、インストールされたライセンスキーのハッシュを検索します。見つかった場合、アプリケーションは、ブラックリストが削除されるまで死ぬ必要があることを知っています。

これには、MD5または同様のものと秘密があれば十分です。あなたはより手の込んだものを取得し、アプリケーションにあなたのサイトにリクエストを送信させ、その場でデータベースでそれを調べますが、ファイル（私はおそらくうまくいけば短いリストになると思いますが）は小さいままであり、最も簡単な方法。

難しい部分は、アプリケーションを停止したままにすることです。結局のところ、これを内部のどこかに保存する必要があります。つまり、明白すぎる場合は簡単に破壊される可能性があり、あまり明白ではない場合でも、適切なテーブルを復元することで簡単に元に戻すことができます/ファイル。したがって、2番目の保護方法もお勧めします。

このメソッドは、テーブルまたはファイルに「LIVE」または「DEAD」（または十分に類似したもの）を格納しますが、再びハッシュします。これは、ソルトとタイムスタンプでハッシュ化する必要があります。アプリケーションのページが実行されるたびに、ハッシュ値の「LIVE」+ salt + timestampでこの値を確認し、有効なタイムスタンプ範囲（たとえば、1日、2日、1週間、1か月など）を許可します。範囲が広いほど、パフォーマンスが低下することに注意してください。）。一致する（または一致するものが見つかる）限り、アプリは動作します。そうでない場合、特殊ファイルまたはテーブルの値が「LIVE」であっても、タイムスタンプがしきい値を超えてしまうため、バックアップから復元しようとすると、デッドのままになります。

要約すると（これは、何らかの種類のチェックサムや他の方法など、ライセンスキーの有効性をチェックするプログラム的な方法があることを前提としています）。

• CheckBlacklist
  • ライセンスキーをソルト付きハッシュに変換する
  • サーバーからブラックリストファイルをリクエストする
  • 私のハッシュはファイルにありますか？
  • YESの場合、「DEAD」のハッシュ+ salt +タイムスタンプを保存します（1日に切り捨てられ、時間+日+分を保存する必要はありません）
  • NOの場合、「LIVE」+ソルト+タイムスタンプのハッシュを保存（切り捨て）
• IsKeyAlive
  • 「LIVE」+ salt +切り捨てられたタイムスタンプからハッシュを作成
  • DeadAliveハッシュを読み込む
  • 彼らは同意しますか？
  • はいの場合、私たちは生きています。TRUEを返します。
  • NOの場合、死んでいる可能性がありますが、タイムスタンプウィンドウ内にいる可能性があります。
    • タイムスタンプから1日を減算し、ハッシュを繰り返します。
    • 今同意しますか？
    • はい？TRUEを返す
    • タイムスタンプに日を追加し、ハッシュを繰り返します
    • 今同意しますか？
    • はい？TRUEを返す
  • この時点で、一致するタイムスタンプの範囲を超えています。FALSEを返します。（殺害アプリ）

さて、善は、これが失敗する可能性がある百万と一つの方法があることを知っています。考えられるすべての方法を検討し、信頼できるシステム（ブラックリストファイルをダウンロードできない場合にクライアントが正しいと想定するシステムを含む）を構築します。テスト、テスト、テストを行い、展開する前にさらにテストを行います。失敗した場合、クライアントの信頼が失われるためです。

他の答えはすでに技術的な側面をカバーするのに良い仕事をしました。しかし、法的側面も考慮してください。

支払いを行わない場合、アプリをブロックする権利さえありますか？契約の中でこれを前もって言及しなかった場合、支払いが期限切れになったとしても、あなたはそれを行う権利を持たない可能性があります（あなたが販売したものを取り戻す権利を必ずしも持っていないなど）。また、多くの国には「コンピュータープログラムの操作」を禁止する特別な法律があります。あなたがすることはそのように考えられ、刑事責任にさらされることさえあります。

だから、私は最初に弁護士に相談して、お湯につかないようにすることをお勧めします。

最終的には、法制度に頼る方が良いかもしれません。彼らが支払いも交渉もしないなら、それが助けにならないなら、ただ訴えなさい。多くの国では、契約の状況が明確な場合、訴訟は比較的痛みがなく、安価です（ドイツでは、たとえば20ユーロ未満でマヘンベシェイドを入手できます）。

内部でホスティングしている場合、これを出荷する他のソフトウェアとどのように違いますか？たとえば、デスクトップインベントリ表示アプリケーションを出荷している場合に何をするかを考え、それを実行します。

システムに依存します。Magnetoのような既存のフレームワークを拡張しましたか、それともアプリケーション全体をゼロから作成しましたか？後者であれば、ライセンス要件を組み込むのはそれほど難しくありません。短期ライセンスでアプリケーションを配信するだけです。短期ライセンスは、請求後45日で有効期限が切れ、その後永久ライセンスを付与します。

これは、ソースも引き継がないことを前提としています。:)

システムが内部でホストされている場合、リモートサーバーとの通信を含む上記のソリューションの多くは機能しない可能性があります。

代わりに、有効期限を含むライセンスファイルをプロジェクトに含めないでください。システムクロックが有効期限を超えると、システムは機能しなくなります。ファイルを保護するには、コンテンツを暗号化して改ざんを防ぎます。ユーザーが支払いを行うか、1年以上更新する場合、新しいライセンスファイルを送信します。

PHPを使用している場合、ユーザーはコードを簡単に編集できるので、どのようなセキュリティを導入しても、ユーザーは簡単にコードを削除できます。ASP.NETまたはその他のコンパイルされた言語を使用している場合、コードは変更できないため、これは問題になりません。

（開示- ライセンスマネージャーシステムのプロバイダーであるAgilis Softwareで働いています）。

最も効果的なソリューションは、ライセンスリースを使用した自動製品アクティベーションを使用することです。すぐに使用できるようになります：

• 顧客のライセンスを自動的にアクティブ化します。アクティベーション時に、各インスタンスはターゲットシステムの選択したパラメーターに自動的にロックされ、それらに設定したライセンス制限がアプリケーションに適用されます（機能の設定、全体的なトライアルまたはサブスクリプションの制限時間の設定など）。
• 「リース間隔」を設定します。これは、1つのアクティベーションイベントの最大有効期間です。クレジットが疑われるお客様の場合は、たとえば2週間に設定できます。つまり、2週間ごとにアプリがバックグラウンドで自動的に「電話で帰宅」し、ライセンスが再検証されます。支払い期限が過ぎている場合、ホストされているサーバーでライセンスを無効にすると、次の電話ホームでの実行が停止します。
• ターゲットシステムからのネットワーク接続がない場合、任意のWeb端末での暗号化されたファイルの交換によるユーザーセルフサービスのアクティベーションプロセスがあります。ユーザーがこの位置にいる場合は、リースの間隔を長くして、ユーザーへの不便さと支払いを受ける必要性のバランスを取ることをお勧めします。彼らが支払いをしたら、あなたは好きな限り、永久にリース間隔を作ることができます。