Сообщений в теме: 56

[urban]

JONSYS (19 Февраль 2012 - 03:28) писал:

"Любые встроенные защиты и защитные функции имеют уязвимости, как бы профессионально они ни были реализованы. Их ахиллесова пята может быть спрятана глубоко в недрах кода, распределена по нескольким десяткам процедур или же совершенно неочевидна - однако она есть. Достаточно обнаружить ее и нанести точный удар - и защита развалится как карточный домик."
В серьезной защите нет смысла: "школота" не обладает достаточными знаниями, а для спецов -это вопрос решаемый.
К тому же проект изначально GPL и наживаться на нем некорректно

P.S. На мой взгляд опимально размещение части кода на своем серваке, тогда и уход в паблик станет значительно затруднен.
---
ВСЕ ВОЗМОЖНО

Ни кто о наживе и не говорил... Хотелось бы просто регулировать использование чата...

Да и реклама(спам).. К черту его.. Создать сайт каталог чатов.. Кто нормально лицензированно его использует(чат), может вывесить объявление о своем чате на сайте.. Можно сделать подразделы рекламы чата, типо:
- Города
- Игры
- Фанаты и т.д.

Сайт можно адаптировать как под web так и под wap. Так же модно сделать отдельного бота, где так же будет висеть реклама о доступных чатах...
Следственно - юзеру не надо бороздить просторы интернета, мучиться в поисках чата в его ICQ клиенте... просто забежал на сайт и посмотрел.... Думаю этим, если тоже хорошо заняться, можно решить проблему со спамом...

[Black_Kot]

urban , насчет каталога я как то не подумал... надо будет такое тоже сделать..
под web я писать не умею)) я умею писать только под wap(мне это интереснее даже...).
если есть желание у кого то попробывать то посмотрите CppCMS(не реклама).

[nek]

Простите, а чем отличается wap от web?

[Ar2r]

nek, жжож. Хватит троллить шлоло)))
Хотя нет, я б у этого верстальщика, пальцы херакнул бы между косяком и дверью

Сообщение отредактировал Ar2r: 19 Февраль 2012 - 22:09

[sanchez]

Ну самый простой алгоритм защитить свою поделку от тупого школьника:
У клиента(бота) есть логин и пароль, эти данные он посылает на сервер, сервер должен обработать данные и если все нормально дать команду на запуск.

Реализация:
В пакете ru.jimbot удалим StartBot.java и добавим следующие классы:

Скрытый текст

package ru.jimbot;

import java.io.IOException;
import java.io.InputStream;
import java.io.OutputStream;
import java.io.PrintStream;
import java.net.InetSocketAddress;
import java.net.Socket;
import java.nio.ByteBuffer;
import java.util.Vector;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import ru.jimbot.modules.WorkScript;
import ru.jimbot.modules.http.Server;
import ru.jimbot.util.CryptoUtil;
import ru.jimbot.util.MainProps;
import ru.jimbot.util.SystemErrLogger;

/**
* Класс посылает серверу пароль, если все нормально запускает бота
* @author sanchez_t@jabber.org
* @version 0.1
*/

public class JClient implements Runnable {
	private String login;
	private String password;
	private String server_address;
	private int server_port;

	private Socket socket;
	private InputStream input;
	private OutputStream output;

	private Thread thread;

	//private final byte [] _HEADER = {4, 9, 1, 5, 7, 2};
	private final String _PASS_SC = "getlogin";
	private final String _PASS_CS = "mylogin";
	private final String _HELLO_CS = "Hello JServer";
	private final String _NOT_CORRECT_IP_SC = "not correct ip";
	private final String _YES_SC = "yes";
	private final String _NO_SC = "no";
	private final String[] errore = {"no access to the program's", "incorrect login or password"};

	private static final SecretKey key64 = new SecretKeySpec(
		new byte[] { 0x00, 0x01, 0x02, 0x03, 0x04, 0x05, 0x06, 0x07 }, "Blowfish");

	private boolean isHello = false;

	public JClient(){
		login = JClientUtil.get("LOGIN");
		password = JClientUtil.get("PASSWORD");
		// TODO: т.к. сервер public нет смысла писать в файл
		// server и port указываем в коде
		server_address = "127.0.0.1";
		server_port = 5555;
		//server_address = JClientUtil.get("server_addres");
		//server_port = Integer.parseInt(JClientUtil.get("server_port"));
		socket = new Socket();
	}

	public void ConnectToServer(){
		try{	
			System.out.println("Connect to server - " + server_address + ":" + server_port);
			socket.connect(new InetSocketAddress(server_address, server_port));
			input = socket.getInputStream();
			output = socket.getOutputStream();		  
			thread = new Thread(this, "JClient");
			thread.setPriority(Thread.MIN_PRIORITY);
			thread.start();
					  //TODO: разобрать исключения!
		}catch(IOException e){
			System.err.println("Unable to connect. Server not running?");
			System.err.println("Error connect: " + e.getMessage());
		}
	}

	@Override
	public void run() {	  
		ByteBuffer buffer = ByteBuffer.allocate(64);
		byte header[] = new byte[6];
		byte data[] = new byte[64];								  
		while (!socket.isClosed()) {			
			try {		  
				// send hello
				if(!isHello){  
					System.out.println("!!! send is _HELLO_CS !!!");
					buffer.put(divideNumber(_HELLO_CS.length()));
					buffer.put(_HELLO_CS.getBytes());	
					send(buffer.array());
					buffer.clear();
					isHello = true;
				}

				if (input.available() >= 1) {
				   input.read(header, 0, 6);//header		  
				   int datalen = raiseNumber(header);
				   input.read(data, 6, datalen);//code
				   String code = new String(data, 6, datalen);

				   if(code.equals(_NOT_CORRECT_IP_SC)){						
					   System.err.println(errore[0]);
					   close();
					   break;
				   }else if(code.equals(_PASS_SC)){
						System.out.println("!!! it is _PASS_SC !!!");
						byte[] encode = CryptoUtil.encode(password, key64);
						buffer.put(divideNumber(_PASS_CS.length()));;						
						buffer.put(_PASS_CS.getBytes());					
						buffer.put(divideNumber(login.length()));
						buffer.put(login.getBytes());
						buffer.put(divideNumber(encode.length));				  
						buffer.put(encode);						
						send(buffer.array());
						buffer.clear();
						System.out.println("!!! send is _PASS_CS !!!");
					}else if(code.equals(_YES_SC)){
						System.out.println("!!! it is _YES_SC !!!");
						startBot();
						close();					  
					}else if(code.equals(_NO_SC)){
						System.out.println("!!! it is _NO_SC !!!");
						System.err.println(errore[1]);
						close();
					}else{
						System.err.println("unknown data " + input.available() + " byte's");
						input.read(data);// просто прочтем
					}
				} else {
					Thread.sleep(2000);
				}						  
		}catch (IOException e) {			
			if ("Socket closed".equals(e.getMessage())) {				
				 break;
			}
			close();
			System.err.println("Error run: " + e.getMessage());
		}catch (InterruptedException e) {
			System.err.println("Error run: " + e.getMessage());
		}
		}
	}	

	/**
	 * Отправляем данные
	 * @param data
	 */  
	public synchronized void send(byte[] data) {
		try {					
			output.write(data);
			output.flush();
		} catch (IOException e) {			
			System.err.println("Error send: " + e.getMessage());
		 }
	}

	public synchronized void close() {		
		if (socket != null && !socket.isClosed()) {
			try {
				socket.close();	
				input.close();
				output.close();
				thread = null;
				notify();
			} catch (IOException e) {
				System.err.println("Error close: " + e.getMessage());
			}
		}
	}

	public synchronized byte[] divideNumber(int i){
		byte[] result = new byte [6];
		result[0] = (byte) (i & 0x000000FF);
		result[1] = (byte) (i >> 2 & 0x000000FF);
		result[2] = (byte) (i >> 4 & 0x000000FF);
		result[3] = (byte) (i >> 8 & 0x000000FF);
		result[4] = (byte) (i >> 16 & 0x000000FF);
		result[5] = (byte) (i >> 24 & 0x000000FF);
		return result;
	}

	public synchronized int raiseNumber(byte[] i){
		int result;
		result = i[5] << 24 & 0x000000FF;
		result |= i[4] << 16 & 0x000000FF;
		result |= i[3] << 8 & 0x000000FF;
		result |= i[2] << 4 & 0x000000FF;
		result |= i[1] << 2 & 0x000000FF;
		result |= i[0] & 0x000000FF;
		return result;
	}

	@Override
	protected void finalize() throws Throwable {
			super.finalize();
			close();
		}

/**
		 * Входная точка бота
* @param args
*/
	public static void main(String[] args) {
			JClient jclient = new JClient();
			jclient.ConnectToServer();
		}	

	private synchronized void startBot(){
			System.setErr(new PrintStream(new SystemErrLogger(), true));
			MainProps.load();
			Manager.getInstance();
			if(MainProps.getBooleanProperty("main.StartHTTP"))				
				try {
					Vector<String> v = WorkScript.getInstance("").listHTTPScripts();
					String[] s = new String[2+v.size()*2];
					s[0] = "/";
					s[1] = "ru.jimbot.modules.http.MainPage";
					for(int i=0;i<v.size();i++){
						s[i*2+2] = v.get(i);
						s[i*2+3] = "ru.jimbot.modules.http.HTTPScriptRequest";
					}
						Server.startServer(s);
					} catch (Exception ex) {
						ex.printStackTrace();
					}
					try {
				  Manager.getInstance().startAll();
					} catch (Exception ex) {
				  ex.printStackTrace();
					}		  
	}

	}

Скрытый текст

package ru.jimbot;

import java.io.FileInputStream;
import java.io.IOException;
import java.util.Properties;

/**
* @author sanchez_t@jabber.org
*/
public class JClientUtil {
		private static final String CONFIG_FILE = "./jclient.properties";		  
		private static Properties properties = new Properties();
		private static boolean loaded = false;

		public static void load() {
				try {
						properties.load(new FileInputStream(CONFIG_FILE));
						loaded = true;
				}catch (IOException e) {
						throw new IllegalStateException("Could not fail " + CONFIG_FILE);
				}
		}

		public static String get(String property) {
				if (!loaded)
						load();

				if (!properties.containsKey(property))
						throw new IllegalStateException("Could not find property " + property);

				return properties.getProperty(property);
		}	
}

В пакете ru.jimbot.util добавим класс:

Скрытый текст

package ru.jimbot.util;

import java.io.UnsupportedEncodingException;
import java.security.Key;
import java.security.NoSuchAlgorithmException;
import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;



public class CryptoUtil {

  /**
   * Алгоритм шифрования. Возможны варианты:
   * DES: Digital Encryption Standard
   * DESede: Triple DES Encryption
   * Blowfish: The block cipher designed by Bruce Schneier
   * и другие
   */
  private static final String ALGORITHM_KEY = "Blowfish";

  /**
   * Режим работы алгоритма. Режимов много, например:
   * DES/CBC/PKCS5Padding
   * DES/PCBC/PKCS5Padding
   * DESede/ECB/PKCS5Padding
   * DESede/ECB/PKCS5Padding
   * Blowfish/CBC/PKCS5Padding
   * и много других
   */
  private static final String ALGORITHM = "Blowfish/PCBC/PKCS5Padding";  

  /**
   * Параметр инициализации алгоритма шифрования. Значения байтов могут
   * быть разными, но одинаковыми для шифрации и дешифрации одних и тех
   * же данных
   */
  private static final byte[] SALT = new byte[]{
	  (byte) 0xc7, (byte) 0x73, (byte) 0x21, (byte) 0x8c,
	  (byte) 0x7e, (byte) 0xc8, (byte) 0xee, (byte) 0x99};

   /**
   * 64 bit secret key from raw bytes
   */
  private static final SecretKey key64 = new SecretKeySpec(
		new byte[] { 0x00, 0x01, 0x02, 0x03, 0x04, 0x05, 0x06, 0x07 }, ALGORITHM_KEY);

   /**
   * 192 bit secret key from raw bytes
   */
  private static final SecretKey key192 = new SecretKeySpec(new byte[] { 0x00, 0x01, 0x02, 0x03, 0x04, 0x05, 0x06,
		0x07, 0x08, 0x09, 0x0a, 0x0b, 0x0c, 0x0d, 0x0e, 0x0f, 0x10, 0x11, 0x12, 0x13, 0x14, 0x15,
		0x16, 0x17 }, ALGORITHM_KEY);  

  /**
   * Кодирование заданного текста алгоритмом ALGORITHM с использованием
   * сгенерированного ключа
   *
   * @param cleartext текст для шифрования
   * @param key	   ключ, используемый при шифровании
   * @return байтовый массив
   * @see CryptoUtil#generateKey
   */
  public static byte[] encode(String cleartext, Key key) {
	try {
	  return crypt(cleartext.getBytes("UTF-8"), key, Cipher.ENCRYPT_MODE);
	} catch (UnsupportedEncodingException e) {
	  e.printStackTrace();
	}
	return null;
  }

  /**
   * Кодирование заданного текста алгоритмом ALGORITHM с использованием
   * сгенерированного ключа
   *
   * @param data данные для шифрования
   * @param key	   ключ, используемый при шифровании
   * @return байтовый массив
   * @see CryptoUtil#generateKey
   */
  public static byte[] encode(byte[] data, Key key) {
	  return crypt(data, key, Cipher.ENCRYPT_MODE);
  }  

  /**
   * Метод для дешифрования текста.
   *
   * @param ciphertext зашифрованный текст в виде байтового массива
   * @param key		ключ, использованный при шифровании текста
   * @return дешифрованный текст
   * @see CryptoUtil#generateKey
   */
  public static String decode(byte[] ciphertext, Key key) {
	try {
	  return new String(crypt(ciphertext, key, Cipher.DECRYPT_MODE), "UTF-8");
	} catch (UnsupportedEncodingException e) {
	  e.printStackTrace();
	}
	return null;
  }

  /**
   * Метод генерации ключа, используемого в алгоритме шифрования
   *
   * @return ключ для шифрования
   */
  private static SecretKey generateKey() {
	try {
	  return KeyGenerator.getInstance(ALGORITHM_KEY).generateKey();
	} catch (NoSuchAlgorithmException e) {
	  e.printStackTrace();
	}
	return null;
  }


  /**
   * Метод шифрования/дешифрования текста в зависимости от параметра mode
   *
   * @param input входной байтовый массив для шифрования
   * @param key   секретный ключ, используемый при шифровании
   * @param mode  режим работы алгоритма (шифрование/дешифрование)
   * @return зашифрованный или дешифрованный текст в виде байтового массива
   */
  private static byte[] crypt(byte[] input, Key key, int mode) {
	IvParameterSpec iv = new IvParameterSpec(SALT);
	Cipher c;
	try {
	  c = Cipher.getInstance(ALGORITHM);
	  c.init(mode, key, iv);
	  return c.doFinal(input);
	} catch (Exception e) {

	  // вообще-то может возникать несколько типов исключений и их нужно
	  // обрабатывать соотв. образом. Но в примере это не важно
	  e.printStackTrace();
	}
	return null;
  }

}

В корневой папке бота должен лежать файл jclient.PROPERTIES с следующим содержимым:

#login
LOGIN=test
#password
PASSWORD=test

Думаю тут все понятно.
Далее качаем сервер - http://narod.ru/disk...Server.rar.html

1)Ложим в users.txt данные наших пользователей в следующем виде:

login;pass;ip

Пример:
test;test;127.0.0.1
test123;test123;127.0.0.1

2)Запускаем сервер


Если в jserver.PROPERTIES, флаг CHEKIP установлен на true то будет пропускать тока те ip,
которые указаны в users.txt

Вроде все!

Забыл про исходник сервера http://narod.ru/disk...01/src.rar.html

А еще кое-что, адрес и порт до сервера указывается в коде клиента!

Сообщение отредактировал sanchez: 20 Февраль 2012 - 00:58

[Black_Kot]

не надо менять бить... я вообще версткой html страничек не люблю заниматься поэтому и пишу под wap(писать там меньше надо).

sanches не плохо. но нет стата по чатам, хостерам и прочему, да и на java сервер такой писать не очень хорошая идея(вдруг нагрузки не выдержит)

[sanchez]

Что должно быть в этой статистике?
Спокойно выдержит, можно даже пошуметь на него, посмотреть.

[scano]

sanchez (20 Февраль 2012 - 00:58) писал:

Ну самый простой алгоритм защитить свою поделку от тупого школьника:
У клиента(бота) есть логин и пароль, эти данные он посылает на сервер, сервер должен обработать данные и если все нормально дать команду на запуск.

Простая и взлом простой.

[sanchez]

угу, да и смысла не вижу жестко привязывать бота.

[nek]

Black_Kot (20 Февраль 2012 - 01:44) писал:

не надо менять бить... я вообще версткой html страничек не люблю заниматься поэтому и пишу под wap(писать там меньше надо).

Нет, ну все же, общественности интересно, в чем отличие?

[urban]

Под WEB каталог.... я готов заняться... немног шарю... Но тогда и дизайнер нужен... Один я не справлюсь..

[urban]

nek (20 Февраль 2012 - 17:28) писал:

Нет, ну все же, общественности интересно, в чем отличие?

по мне так нет разницы. Код один и тот же. Разве что для wap сайтов он поменьше и попроще. Одна и та же херь..

Да и полноценный веб сайт по мне лучше чем вап... Возможностей больше, да и сам процесс написания интересен.

[urban]

ну вот и ладненько. я как комп залечу,займусь этим и вам сообщю. еще дизайнер нужен.

[urban]

ну так пойдет кто дизайнером?

[urban]

Походу нет фотошоперов. Или жопятся все. Идея то хорошая. Требует развития.

[scano]

urban (20 Апрель 2012 - 10:23) писал:

Походу нет фотошоперов. Или жопятся все. Идея то хорошая. Требует развития.

Фотошоперы есть и навыки по 2d and 3d моделированию.
Только не вижу причины по которой человек в здравом уме будет тратить своё время на некую работу и собственно работать на какого-то буквально бесплатно. Идеальная защита не подсилам новичкам, они лишь блещут умом о фантастики которая требует долгового времени на реализацию и принятия каких-либо решений (как например наши чиновники на одобрение законов в нашей стране).
open_1 or open_2

[urban]

ладно. думаю что с тобой многие соглясятся. .. я всеравно займусь этой мыслью. может и один, но займусь. кому интересно, или хотие помочь, пишите...