Son zamanlarda, müşterinin faturadan kurtardığı olumsuz bir deneyimim oldu, ancak orta erkeğim zaten yazılımımızı ve tasarımımızı müşteriler sunucusuna yükledi. Müşterinin bilinen bir suçlu olduğu ortaya çıktı ve elbette sunucunun olası tüm şifrelerini değiştirdi.
Bununla birlikte, CMS'nin yönetici paneline hala erişebiliyorum. Ne yazık ki, benim yazılımımın çok güvenli olduğu ortaya çıktı. SQL-enjeksiyonu denedim, resim yükledim, vb. Denedim. Ancak kendi yazılımımı hackleyemiyorum .. Her neyse, bu kişiyi dava etmeye hazırlanıyorum Sorun .. Sadece şimdi düşünüyorum, belki bazı arka uç kendine yöntem yöntemi olması gerektiğini. Yani, benzer bir durum ortaya çıkarsa, yazılımı öldürme seçeneğim var .
Benim fikrim çekirdek dosyalarında bazı fonksiyonları gizlemektir. Base64 ile kodlayın, böylece açık olmaz. Yani böyle bir şey:
eval(base64_decode('ZWNobyAnSGVsbG8gd29ybGQhJzs=')); // echo 'Hello world!';
Ve temelde tüm yazılımın dosyalarını alan küçük bir komut dosyası hazırlayın, emin olmak için chmod's ve sonra onları siler.
CMS'nin daha yeni sürümlerinde, hepsinde daha kolay hackleme için kullanabileceğim dosya yöneticisi var . Peki ya yönetici paneline erişim sınırlıysa.
Çok açık olmak gerekirse , bu sadece geliştirme aşamasındaki yazılımlar için, kişisel sunucumda veya müşteri sunucumda (son kısım etik olarak sorgulanabilir). -yazılım.
Daha da açık olmak gerekirse, bu nadir serbest mesleklerden bahsediyoruz . Bence mantıklı, sözleşmeli iş böyle bir yönteme ihtiyaç duymuyor. Bu yüzden, yalnızca güvenlik modunda olan jumprisk-müşterilerinden bahsediyoruz - proje hazır olduğunda, açıkçası bu , yazılımınızın içinde olması çok çok etik olmayan bir arka kapı olurdu .
- Etik olarak bu iyi bir fikir mi? (Projenin% 100 olduğu ve her şeyin parasını ödediği zaman, bunu açıkça kaldıracağımı unutmayın)
- Müşterilerinizle benzer sorunlar nedeniyle kendi yazılımınızı hacklemek zorunda kaldınız mı?
- Bu fikir, kod ve yöntem hakkında herhangi bir öneriniz akıllıca?
- Kendi kendini imha senaryolarının olası dezavantajları veya yansımaları neler olabilir?
Bu konuda benim sonucum
Biraz üzgün, anlaşılan davalarda tüm cevapları hedef alıyordu. Gerçekten benim hatamdı, sorumu daha da açıklığa kavuşturmamıştım .. sadece düşündüm, açık bir şekilde anlaşılıyor, sözleşmeyle korunuyorsanız ... ... son anahtarında bir nokta yok.
Ancak, eğer bir sözleşme çalışması yapıyorsanız .. o zaman sözleşmede belirtilmelidir - bu, müşterinin kendi sunucusunda bile olsa yasal olmasını sağlar. Ancak, kendi kişisel sunucumda kill-switch'ler olması gerçekten işe yaramaz (gerçekten bilmek istediğim şey bu).
CMS için kill-switch betiği yapmaya karar verdim. Temel olarak, çünkü ilginç bir zorluk gibi görünüyor. Ama aynı zamanda, bunu müşterinin bir arkadaşımın arkadaşı olduğu sözleşmeli olmayan işlerimde kullanabileceğimi düşünüyorum. Muhtemelen bunu müşterinin sunucusunda kullanmayacağım, ama ... müşterilerin ya da bazılarının bulunduğu durumlarda aracıların sunucuma erişimi var .. Yazılımım çalındı ya da "bilgim olmadan taşındı", sonra ödeme alamadım ve yazılımın erişimini kestiler.
Buraya bir sürü konu okudum, burada bir uyarı göndermelerini ve ardından sayfayı incelemelerini tavsiye ediyorlar. Şey, bir insanla uğraştığım zamanki gibi bir problem gördüm .. kim başka bir yere kopyalarsa (belki yeniden markalandırabilir ve satabilirsin) ve bana, aşağıya çekildiğini söyler. Ve ayrıca, "siteyi kapatmak" olmazdı ama silin. Yine de, müşterilerimin sunucusuna erişmek ve silmek için hala yasadışı olduğumu tahmin ediyorum. Ya da en azından FTP'den değil, arka uçtan erişin. Bunun için cevap veren herkese teşekkür ederim.