哪些技术用于许可服务器?

时间:2015-11-25 15:24:20

标签: licensing

我需要为我的应用程序创建许可服务器。 应用程序应该ping许可服务器,如果许可证到期停止工作。 应该如何安全地完成?我还没有找到任何关于此的文章。 更确切地说,令我困惑的是如何防止攻击者做以下事情

  1. 查看我提出请求的地方(使用fiddler例如。)

  2. 创建自己的服务器

  3. 使用etc / host文件将他的PC指向该服务器。

  4. 关于此的任何最佳做法?

1 个答案:

答案 0 :(得分:1)

您可以通过在服务器上启用HTTPS来执行此操作。您的应用程序需要验证HTTPS证书,以确保远程主机不是虚假许可服务器。

This article描述了您提到的攻击,以及如何使用HTTPS来避免攻击。

这是一个有用的示例:

  

击败活跃攻击者

     

验证服务器的真实性是击败活跃攻击者的关键。幸运的是,TLS也涵盖了这一点。您记得,HTTPS实际上只是在TLS上运行的HTTP。正确实施HTTPS后,主动攻击者会遇到这种情况。

     

HTTP active attacker redirecting traffic to phony server.

     

因为合法服务器的证书颁发机构(CA)会进行验证   域名所有权(yourwebsite.com),主动攻击者不能   伪造证书。加密可防止攻击者阅读或   修改任何截获的数据。简而言之,整个中情局三合会都是   满意,被动和主动攻击者都被击败了。

在您的情况下,角色略有不同:用户是您的应用程序,而潜在的攻击者是不想支付费用的应用程序用户执照。 ;)