[SP-pm] Trava de sistema

Jarbas Brito jbmsegundo at gmail.com
Fri May 15 05:28:51 PDT 2015 

Da pra fazer um mini "web Server" em alguma linguagem compilada com alguns
PLUS de segurança na compilação,  onde ele terá a regra de validar a
chave.  C?  C++?  Até mesmo c# usando mono ;-)

On Fri, May 15, 2015, 9:01 AM Fernando Corrêa <fernandocorrea at gmail.com>
wrote:

>  Se o seu código for criptografado, sem internet o q vc pode fazer é:
>
> exit if $password_from_file ne sha256(join " ", $client_id, $salt, time %
> (60 * 60 * 24 * 30 * 3));
>
> E de 3 em 3 meses o sistema vai ficar inoperante até q a nova senha seja
> escrita no arquivo...
>
> Em 15/05/2015 08:17, Fernando Corrêa escreveu:
>
>   Nós tivemos q implementar tb o nosso próprio "use" q decriptografava o
> código a ser "incluindo" antes de fazê-lo.
>
> Esse nosso "use" tb continha a chave criptográfica, mas como o mesmo
> estava criptografado, não tinha como o cliente descobrir qual era a chave.
>
> Agora eu lembrei q implementamos toda a parte de código criptografado e
> apenas planejamos essa consulta à url... (Assim como tb planejamos a compra
> on-line de novos módulos, onde esses seriam criptografados com a chave do
> cliente antes do download, facilitando a compra de novos módulos e
> impedindo o compartilhamento de 1 módulo comprado p/ vários clientes) essas
> 2 partes planejadas nunca foram implementadas, pq o projeto morreu antes
> disso...
>
> Em 14/05/2015 21:54, Fernando Corrêa escreveu:
>
>  Na verdade eu não lembro se chegamos a implementar ou se apenas
> planejamos.
>
> Em 14/05/2015 21:50, Fernando Corrêa escreveu:
>
>  Hi Ricardo,
>
> Como vc vai fazer qq coisa nesse sentido? Se pedirá senha nova basta o
> cliente abrir o código e descobrir como gerar a nova senha...
>
> Eu já trabalhei num lugar onde agente tinha um "compilador Perl
> customizado" (usando lib perl) e todo nosso código era criptografado. A
> chave ficava no binário e esse decriptografava o código antes de jogar p/ o
> eval do libperl.
> Esporadicamente esse binário tb acessava uma url da empresa q retornava a
> um módulo da data atual concatenada com outras informações e criptografado
> com a mesma chave... Se isso não batesse ele morria e não rodava nada...
> A informação retornada pela url era criptografiada justamente p/ o cliente
> não poder botar um dns na rede dele e se passar pela url da empresa...
>
> Em 14/05/2015 20:33, Ricardo Stock escreveu:
>
>  Então Daniel, é exatamente isso que estou implementando. No meu ultimo
> emprego, havia um software assim. a cada seis meses o mesmo expirada, e era
> necessário ligar para a empresa, solicitando uma nova senha para pode
> "destravar" o mesmo.
>
> A implementação é feita utilizando um serial gerado através de data +
> alguma coisa. No sistema, ao receber este serial,o mesmo é verificado se
> esta valido. Se valido libera.
>
> Agora a pergunta.
> Gero a senha, no servidor terei que deixar uma contra senha também para
> validar a senha. ;-)
>
> Renan, Utilizando a validação com token através de algorítimo de de crypt
> / descryp eu posso fazer isso sem utilizar conexão com a internet. Que é
> justamente o que preciso fazer. Por isto falei de utilizar números primos
> ou validações com senha.
>
> A minha grande preocupação é justamente não depender de internet para
> liberar, pois poderia travar o sistema remotamente. Mas e senao tiver
> internet:-)
>
> Mesmo assim agradeço por todas as opiniões, são todas validas. Vou começar
> a rascunhar, tenho um mês ainda...
> Obrigado a todos que estão contribuindo.
>
>
> Ricardo Stock
> ricardostock at bol.com.br
> Um bom programador tem um desafio
> Um programador mediano, tem um problema.
>
>
>
>
> De: dan.vinciguerra at gmail.com
> Enviada: Quinta-feira, 14 de Maio de 2015 19:32
> Para: saopaulo-pm at mail.pm.org
> Assunto: [SP-pm] Trava de sistema
>
> Ja vi casos onde o software trabalhava com uma chave local que tinha uma
> determinada validade e  ao termino dessa validade o usuário precisava ligar
> para a empresa do software para "comprar" uma nova chave, revalidando o
> sistema por mais X tempo.
>
> Não sei como a implementação era feita mas a chave era o hash de alguma
> coisa!
>
>
> Daniel Vinciguerra (@dvinciguerra)
> Web solution architect, perl dev, vegetarian, geek and co-founder at Bivee
> bivee.com.br  -  github.com/Bivee
>
>
> 2015-05-14 17:32 GMT-03:00 Renan Carvalho <
> renan.azevedo.carvalho at gmail.com>:
> Ricardo,
> O servidor seria o ideal, principalmente para gerar uma nova chave válida,
> porque se for local quando expirar a chave você terá que já ter um novo
> token cadastrado ou terá que realizar uma manutenção para inserir uma nova.
>
>
> Em 14 de maio de 2015 17:08, Ricardo Stock <ricardostock at bol.com.br>
> escreveu:
>
>
>
>
> Exatamente isso o que quero eveitar, por algum motivo a empresa ficar sem
> internet justamente no período que o sistema esta para vencer. E com
> certeza
> estarei viajando a milhas de distancia
>
> Ou seja, quero evitar problemas e dores de cabeça.
>
> Ricardo
> Stock
> www.stocksistemas.com.br
>
>
>
>
> From: Jarbas Brito
> Sent: Thursday, May 14, 2015 11:59 AM
> To: saopaulo-pm at mail.pm.org
> Subject: Re: [SP-pm] Trava de sistema
>
>
> Nesse caso,  se o servidor por regras de infraestrutura não
> tiver acesso a Internet, ferrou.
>
>
> On Thu, May 14, 2015, 11:57 AM Frederico Recsky <frederico at frederico.me>
> wrote:
>
>
>
>
> Você ta tentando fazer um trial?
>
> Porque voce não coloca uma
> chamada contra um servidor na internet para validar?
>
>
> Se não tiver como autenticar o produto contra um servidor no melhor
> estilo microsoft genuine, da para usar com criptografia. Não precisa fazer
> na
> mao usando numeros primos, com chaves assimetricas ja da para fazer
> isso.
>
>
>
> 2015-05-14 11:30 GMT-03:00 Ricardo Stock <ricardostock at bol.com.br>:
>
>
>
>
>
>
>
>
>
>
>
>
>     Bom dia monges.
>
>     Gostaria da opinião e sugestões de vocês quanto a
> trava de sistema. Em breve irei colocar em servidor com um sistema em um
> cliente, e desejo colocar uma trava no sistema, afim de o mesmo só abrir
> por
> um tempo determinado, passando este tempo que determinarei em dias seja
> necessário a digitação de uma senha.
>
>     Sei que posso criar um algoritmo com números primos
> para gerar uma senha que siga uma validação. Porém gostaria da opinião de
> vocês e sugestões sobre o que já utilizam. Claro o sistema estará rodando
> sob Linux e o cliente não terá acesso as pastas do sistema. somo mente um
> usuário para deligar o equipamento (em emergências) utilizando sudo.
>
>     O backup da base de dados será criptografado, porém
> será local. Sei que devo tomar um cuidado adicional sobre isso
>
>     Obrigado e no aguardo
>
>
> Ricardo
> Stock
> www.stocksistemas.com.br
>
>
>
>
>
>
>
>
>
> Este
> email foi escaneado pelo Avast antivírus.
> www.avast.com
>
>
>
> =begin
> disclaimer
>    Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
> SaoPaulo-pm mailing list: SaoPaulo-pm at pm.org
> L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
> =end
> disclaimer
>
> =begin disclaimer
>
> Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
> SaoPaulo-pm mailing list: SaoPaulo-pm at pm.org
> L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
> =end
> disclaimer
>
>
>
>
> =begin disclaimer
>    Sao Paulo Perl Mongers:
> http://sao-paulo.pm.org/
> SaoPaulo-pm mailing list:
> SaoPaulo-pm at pm.org
> L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
> =end
> disclaimer
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
> Este email foi escaneado pelo Avast antivírus.
>
> www.avast.com
>
>
>
>
>
>
>
>
>
> =begin disclaimer
>
>    Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
>
>  SaoPaulo-pm mailing list: SaoPaulo-pm at pm.org
>
>  L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
>
> =end disclaimer
>
>
>
>
>
> =begin disclaimer
>
>    Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
>
>  SaoPaulo-pm mailing list: SaoPaulo-pm at pm.org
>
>  L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
>
> =end disclaimer
>
>
>
>
> =begin disclaimer
> Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
> SaoPaulo-pm mailing list: SaoPaulo-pm at pm.org
> L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
> =end disclaimer
> =begin disclaimer
> Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
> SaoPaulo-pm mailing list: SaoPaulo-pm at pm.org
> L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
> =end disclaimer
>
>     =begin disclaimer
>    Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
>  SaoPaulo-pm mailing list: SaoPaulo-pm at pm.org
>  L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
> =end disclaimer
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mail.pm.org/pipermail/saopaulo-pm/attachments/20150515/f8fb2d4c/attachment-0001.html>

More information about the SaoPaulo-pm mailing list