Блог разработчика

А знаете что самое интересное? Я уверен что это объявление нормально работает 🙂

RSDN форум про шаровару, первая десятка топиков

Что это куча народу ринулась в шаровару по случаю кризиса, да так стремительно, что некогда регистрироватся? Или народ просто стал шифроватся 🙂

Перерыв затянулся, но все же вернемся к криптографии. Про выбор алгоритма я писал в прошлый раз, в этот раз как это можно реализовать, .

Существует ряд готовых решений\библиотек для реализазиции ассиметричной криптографии, со своими плюсами и минусами. Если мы говорим про с++ то это

OpenSSL – известнейший криптографический пакет с открытым исходным кодом для работы с SSL/TLS. Позволяет создавать ключи RSA, DH, DSA и сертификаты X.509, подписывать их, формировать… и так далее и тому подобное. Написан на чистом С, кроссплатформенный. Помимо самой библиотеки идет набор скомпилированных утилит которые можно использовать для генерации ключей, создания и проверки подписи етс.

Crypto++ – народная библиотека:) с++, ООП, открытость, бесплатность, кросспалтформенность, куча алгоритмов. Примеров использования в интернете мне удалось найти на порядок больше чем для опенссл.

GMP – Я не разбирался, но занимался Сергей Парфенюк  – Реализация RSA при помощи библиотеки GMP. Но беглого взгляда на сайт достаточно что бы увидеть она LGPL, и соответсвенно для наших целей уже не идеальна.

Сам я разбирался с первыми двумя вариантами – покопавшись мне удалось (или почти удалось) подписывать сообщения DSA подписью и проверять их. У обоих библиотек есть большой минус – они добавляют 180-300 килобайт кода к вашему ехе файлу, что не хорошо.

Еще есть виндовое Crypto API некоторые его хвалят, некоторые сильно ругают. Но учитывая что стоит довольно простая задача – только проверять подпись, я думаю что вполне можно использовать – сам не разбирался.

Вообщем идеального варианта нету – первые два сильно раздувают ехешник, третий не устраивает лицензией, четвертый не кроссплатформенный.

Но есть и еще один путь – написать свою реализацию. По слухам, DSA реализовать намного проще чем RSA. Лично я не рискнул, но нашелся человек – Ippi, которому тоже надо и который не убоялся. У него получилось и он поделился, за что выражаю ему огромную благодарность:) В итоге имеем маленькую (всего 5кб) реализацию, к тому же обещают отсутствие проблем с кроссплатформенностью – просто идеал!

Ссылки по теме

OpenSSL – Основы работы с OpenSSL, Использование OpenSSL (ssl security crypt cert mod_ssl apache imap postfix)

Crypto++ –  Compiling and Integrating Crypto++ into the Microsoft Visual C++ Environment, Applied Crypto++: Using the RSA Digital Signature System (Part I), Product Activation Based on RSA Signatures

Crypto API  – Использование Crypto API, Cryptography using the Win32 Cryptography API, MSDN Using Cryptography

“Змеи, змеи кругом – будь им пусто!”
Человек в исспупленье кричал. (с) В.В.

Вчера заметил что сломался форум – phpBB, оба. При попытке отправить сообщение пишет

You don’t have permission to access /forum/posting.php on this server.

Прое*****ся целый день, 8+ часов, оно меня аж до белого каления довело, хотя я вообще спокойный:). Заодно правда, обновил движки до новой версии, обновление там тоже через одно место сделано… В конце кажется выяснил в чем дело, судя по всему хостер включил mod_security и phpBB перестал работать. Вылечилось это отключением мода в .htaccess

SecFilterEngine Off

А позавчера регистрировался на ебей. Эти вообще прикололись – у них нельзя вставить текст в поле ввода е-майла – в результате вместо того что бы быстро вставить e-mail без опечаток – приходится его набирать вручную. Но это еще ладно, мелочи. Но у них нельзя вставить пароль в поле ввода пароля – в итоге все кто хочет сгенерить надежный пароль в любом менеджере идут лесом… я уже было хотел ввести какой-то примитивный. Но вовремя осенило, что в Flashpaste может не только вставлять, но и эмулировать печать символов – таким образом удалось использовать действительно надежный пароль, выкрутился 🙂

Сегодня утром ставил Comodo Internet Security, бесплатный файрвол + антивирус. Дергнуло меня почитать лицензию, нашел интересный пункт про проверку обновлений в интернете. Насколько я помню тексты лицензий не являются объектами авторского права, поэтому недолго думая решил его позаимствовать себе – так с монстров по пункту, простому шароваршику грамотная лицензия:)

The Program contains components that enable and facilitate the use of certain Internet-based update services. You acknowledge and agree that Comodo may automatically check the version of the Program and/or its components that you are utilizing and may provide upgrades or fixes to the Software that will be automatically downloaded to your computer.  You may turn off automatic updates of the Program once installed, but initial settings will cause the Program to download and retrieve updates automatically without further user input.

Правда пришлось ее в итоге сильно передалать под свои нужны, так что чуть ли не половина выкинулась, вот что осталось

The Program contains components that enable and facilitate the use of certain Internet-based update services. You acknowledge and agree that Clipdiary may automatically check the version of the Program that you are utilizing and may notify you about new version.  You may turn off automatic updates of the Program once installed, but initial settings will cause the Program to automatically check for updates.

Теперь Clipdiary с полным правом может проверять апдейты в на моем сайте 🙂

Имел тут недавно день увелекательного секса процесса скрещивания php, системы ipn\idn авангейта и кейгена для аспротекта. Надо сразу сказать что прикрутить внешний кейген к Авангейту, на порядок сложнее чем к плимусу (я подразумеваю человека для которого пхп не родной). Система более сложная в плане передаваемых данных, требует проверки принимаемых и подписывания отправляемых данных, подтверждения получения ipn и подтверждения доставки ключа.

Конечн, о всегда можно использовать статический или даже динамический спискок ключей, но мы не ищем легких путей 🙂

О терминах

IPN – Instant Payment Notification – вызов вашего скрипта с параметрами содержащими данные о продажи

IDN – Instant Delivery Notification – тут уже вы должны вызвать скрипт на сайте авангейта, что бы подтвердить, что вы доставили ключ покупателю. Деньги не снимутся, пока вы этого не сделаете, как альтернатива можно делать руками в контрольной панели)

В принципе у Авангейта  есть пример php скрипта для IPN, но какой-то уж сильно… никакой. Там есть только код для проверки истиности полученных данных (они подписываются)  и отсылки ответа что данные полученны (тоже с  подписью), а учитывая их не самый простой формат данных, было бы хорошо если бы они включили и код для их разбора\интерпретации.  Примера для IDN вообще отсутсвует:(  Правда есть документация для всего этого, так что где наша не пропадала. Примеры и спецификации можно скачать в секции docs.

Теперь необходимый disclaimer

• Код кейгена скорее всего крайне далек от совершенство. Так как пхп у меня со словарем, и вообще это мой второй или третий скрипт, и первый за последнии 4 года:)
• Тем нее менее, код вроде работает и делает все что требуется. Правда у меня он тестировался\работал только в режиме наличия одного продукта, в ордере. Так что по крайне мере в качестве базы для того что бы понять как правильно взаимодейтсвовать с авангейтом его можно взять.
• Ну и разумеется я не несу ответственности за любые ошибки, ущерб ну и так далее.
• С удовольствием приму любые замечания, поправки, комментарии, а также пиво и печеньки 🙂

Скачать скрипт.

Недавно я пытался определиться с политикой лицензирования для новой программы, в частности рассматривался и вариант годовой подписки. Любой нормальный регистратор позволяет создать так называемый recurrent’ый продукт, таким образом что деньги с покупателя будут автоматически с ниматся, каждый раз по истечению срока подписки.

Я пока решил не рисковать и использовать традиционную схему, но тем не менее записал в todo через пару месяцев подумать над таким экспериментом – предложив пользователям выбор либо купить, либо подписатся. А сегодня вот наткнулся на интересный пост на rsdn, marx paul пишет:

Я Вам как закоренелый буржуй скажу: никто не любит самопродляющихся абонементов. Автопродлялка есть веский аргумент против. Вон даже Financial Times прекратила эту практику. Абонемент, конечно остался. Но не продливается автоматом. Ближе к концу срока приходит напминалка с уже заполнеными бланками и маркой на открытке. И все. Усилия “юзера” сведены к решению “опустить открытку в почтовый ящик по дороге на работу или нет?”. Аналогичная тенденция наблюдается и с софтом. Схема, которая себя зарекомендовала:
1) Продаем абонемент на год без автоматического продления (последнее акцентируется)
2) За месяц до истечения срока начинаем слать напоминалки
а) за 30 дней
б) за 14 дней
в) за 1 день до истечения срока
В напоминалке стоит, мол от Вас требуется только ответ в неформальной форме, что Вы хотите продлить абонемент.

3) по истечении срока включается 30ти дневный счетчик “защитного” периода, в течении которого клиент может продлить, как буд-то бы он продлил точно в срок. По истечении этого срока, можно только купить “заново”. (Тут есть варианты с созданием искусственного барьера на выход — эдакого мотиватора. Например, продлить можно по льготным ценам. Купить — по актуальным, немного более высоким. Можно удалять клиентские данные в веб сервисе (но это не ваш случай) и т.п.)

Вот схема (полу?)годового абонемента, о которой я предлагаю подумать…

мотайте на ус.

[12:38:23] <MbIcJIu_B_cJIyX> кто нить уже поставил Windows 7 ?
[12:38:28] <@Begemot> да
[12:38:43] <@Begemot> мне только что анинстал нотес пришел
[12:38:44] <@Begemot> TRY TO USE WITH Windows 7
[12:38:44] <@Begemot> Does’ nt work yet
[12:38:50] <@Begemot> кто-то уже поставил:(
[12:39:04] <MbIcJIu_B_cJIyX> да мне чет тоже подобное пишут
[12:39:12] <MbIcJIu_B_cJIyX> а ты сам себе поставил?
[12:39:20] <@Begemot> нет, но качаю

Новый проблема на голову, теперь еще и совместимость с 7кой обеспечивать, а то еще и с вистой не уверен что я дружу на 100%, а тут уже следующая. Если кто не в курсе, бета доступна на сайте MS – http://msdn.microsoft.com/en-us/dd353271.aspx , можно качать и использовать, работать будет до 1 августа.

Кто-то в сврусе даже сказал что поставил основной системой – если вам не хватает лицензионной винды – чем не выход?:)

Вы уже партнер MS? Мне всегда казалось что это что-то сложное и явно не для простого девелопера-одиночки. На днях в swrus пролетело письмо с более-менее развернутой информацией по возможности партнерства. Я и не знал что всяких программ так много, возможно кому-то пригодится. Письмо приводится с разрешения автора:

Существует несколько программ от Microsoft, но многие начинаются с Registered Member (бесплатно) https://partner.microsoft.com/ukraine и https://partner.microsoft.com/rus/

Это сайт для российских разработчиков, т.к. многие программы идут вместе с государственными инвестициями и российскими инвесторами, но информации можно
почерпнуть много и всему остальному СНГ http://www.ms-start.ru/

вот те программы, которые на мой взгляд самые интересные

http://www.innovateon.com   все просто: регистритесь, создаете сколько угодно проектов, для каждого проекта выбираете технологию (технологии) от МС
и получаете скидки, а иногда и бесплатности =) Что приятно: если продукт не использует технологии МСа, то можно выбрать из технологий Windows Vista и пройти бесплатное тестирование для “Certified for Windows Vista”. Также, если продукт использует хранение данных, то можете добавить, как фичу, хранение под MS SQL и пройти тестирование и лейблирование по данной технологии.

http://www.microsoft.com/BizSpark/    Это вообще супер. Регистрируясь в программе, вы получаете доступ к ограмадному списку продуктов Microsoft на 3-и года. Через 3 года – должны за все это 100 usd. Плюсы описаны на сайте.

Минус –
Как зарегиться: на сайте заполняете заявку, для входа вам не хватает кода партнера. Спустя  некоторое время к вам прийдет письмо от представителя МС по данной программе в вашей стране. В Украине данным вопросом занимается Сергей Байдачный Sergiy.Baydachnyy@microsoft.com при контакте можете сослаться на меня.

По моему мнению – Microsoft раскручивает свой магазин Marketplace, который, начиная с Vista, интегрирован в Windows. Пока от него толку мало, но далее будет… =)

Также следует не забывать, о том, что не подписанные драйвера уже не инсталлятся.

Что мешает МСу не подписанный и не прошедший проверку софт блокировать? Ничего =) Софта много – можно половину и “побрить” =)

MS Solution Profile – дает возможность поиска партнеров.
Certified/Works with Vista – на западе любят, т.к. это гарантия стабильной и безопастной работы. PR жив и жить будет =)

P.S.  Недавно увидел на клавиатуре Microsoft, если перевернуть, сообщение типа: работа на клаве в неудобной позе приводит к болезне суставов. Обратитесь к своему доктору за помощью, если у вас появились первые болевые ощущения…. Что то типа этого. Для нас бред – для конечного пользователя – забота и любовь =)

Ни к чему не агитирую, но играть на стороне большинства всегда приятнее, чем плевать против ветра =)

(с)  Bistriy Andrey / www.bistriy.com

Интересно среди читателей есть те кто состоит в отношениях с MS и имеет с этого бенефиты?

Как обычно провтыкал:) Оставив вопрос с типами лицензий на потом, и вот уже все готово для долгожданного релиза, который мог бы состоятся уже сегодня-завтра. Я начал делать страницу buy now и тут что-то мне попало под хвост 🙂

Изначально планировался простой подход, хорошо зарекомендовавший себя на предыдущей программе – две лицензии (Single и Extended) и бесплатные апдейты. Вторая лицензия стоит +50% и дает возможность ставить на три машины для одного пользователя. Планировалось 20 и $30.

Потом меня в сврусе убедили что мажорные апдейты  должны быть платными, иначе не кайф.

Сегодня начав делать buy now и смотреть сайт других шароваршиков для примера, я заметил что у многих есть Business. И подумал чем я хуже…? В итоге вырисовалась такая картина

1. Single – $20
2. Business – $25
3. Extended – $30 – до 3 компов для 1 пользователя (домашний, рабочий, ноут)

или

Single – $20 и Businees – $30 позволяет использовать в бизнесе, или до 3 ком…

и платные мажорные апдейты.

Не успел я решить хорошая или нет это идея, меня натолкнули на еще более свежую – подписка на год. Дело в том что утилитка вполне может быть массовой, но в принцие достаточно простая – нет уверености что массовый пользователь оценит ее в $20.

Годовую подписку (на использование, не на апдейты), можно продавать по $10\$15 для бизнес версии – в надежде на то что такая сумма мало кого смутит. Так сказать сделать ставку на массовость и продления через год.

Если есть чем поделится, буду благодарен за любой опыт\мысли в комментариях 🙂