Backdoor dla autora w aplikacji PHP, dla zabezpieczenia wlasnych interesów Opcje

[Orzeszekk]

Witam ,wlasnie koncze jeden moj dosc duzy projekt. Byly male zgrzyty miedzy mną a klientem, zastanawiam sie czy jak dostarcze finalna wersje produktu, to klient nie zmieni passów na FTP a nastepnie przestanie sie odzywac zamiast przelac pieniadze.

Metody silowe mogą zawiesc, no a tak w ogole to lipa dla mnie bo bede mial jakis wyrok, problemy z policja itd.

Postanowilem byc mądry zawczasu i umiescic w aplikacji jakis zaszyty tylko sobie znany backdoor ktory bedzie w miare trudny do znalezienia dla osoby niewdrożonej w projekt, ktory pozwoli mi np odpowiednim linkiem wykasowac zdalnie cały serwis.
ewentualnie dodalbym tez drugi link ktory usunąłby backdoora gdyby klient okazal sie uczciwy, zeby nie bylo luki.


pisal ktos cos takiego i moze sie podzielic doswiadczeniami?

wg mnie powinien byc to niepozorny pliczek php zagubiony w gąszczu klas, przekazujacy parametry z url do jakiejs rownie niepozornej umieszczonym na 2 koncu projektu klasy (mam autoloader), ktory jezeli parametry z url sie zgadzaja (mysle zaszyc w kodzie jakies 4-5 dlugich guidów zeby raczej tego nikt sam z siebie nie zgadł i nie wpisal i nie wykasowal portalu), to wykona rmdir_recursive na katalogu "/". wiadomo ze jak ktos dobrze przysiadzie to to znajdzie, chodzi mi o to zeby "kolega kolegi" ktoremu on da stowke za znalezienie tego i ktory cos tam kiedys w pehapie naskrobal i postawil kilka for dyskusyjnych na phpBB mial z tym problem.

moze ktos ma lepszy pomysl? tak jak mowie, to ma sluzyc tylko do zabezpieczenia mojego interesu, jak dostane kase to ta luka mi nie bedzie wiecej potrzebna do szczescia.

[darko]

Takie praktyki są nielegalne. Nie lepiej odpowiednio wcześniej podpisać umowę i wziąć zaliczkę? Oczywiście możesz próbować na własną rękę zaszyć np. jakąś wstawkę curlową, która z każdym przebiegiem aplikacji będzie pobierać z Twojego serwera hash i porównywać go z np. sumą kontrolną jakiegoś pliku zawsze obecnego w projekcie (oczywiście ten plik nie może zostać zmodyfikowany).

[Orzeszekk]

mam umowe, wzialem zaliczke, jednak pewnie bedzie problem z jej wyegzekwowaniem i wiecej mi kasy zejdzie na jej egzekwowanie niż sam projekt jest wart. spoznilem sie troche z portalem, poniewaz klient zachowywal sie jak ciota i zmienial zdanie co do juz napisanych modułów ktore pisalem od nowa pod jego widzimisie - nie do konca wiedzialem jak sie pisze dobra umowe i ta nasza pozwolila na takie machloje.. i on moze sie wypiac ze przekroczylem termin o iles tam i nie zaplacic mi nic w majestacie prawa. podejrzewam ze klient moze miec do mnie zal o to ze nie zarywalem nocy zeby skonczyc portal przed czasem i sprobowac sie wymigac od zaplaty. tym bardziej ze wkurwiony tym calym zamieszaniem w koncu wzialem sie do innej lepiej platnej pracy i porzucilem projekt na pare miesiecy a wrocilem do niego bo raz ze jest mi potrzebna kasa, dwa ze nikt go raczej za mnie nie dokonczy.
a tak - klient nie zaplaci to delete - i jak chcesz portal z powrotem to płać. terminy przekroczone ale nie tylko z mojej winy, jak sie kogos najmuje do pracy za 40% jego wartosci to nawet umowa tu cudow nie zdziala ze wszystko zostanie dotrzymane, co zobaczylismy ostatnio przy budowie autostrad, a kasa za wykonana prace sie mimo wszystko nalezy. a tam w umowie jest taki sprytny zapis że za kazdy dzien spoznienia jest iles tam odciete kasy.

z drugiej strony moglbym sie sądowac ze faktyczna implementacja tego co jest w umowie nastapila dluuugo przed przekroczeniem terminu bo wielu rzeczy ktore zrobilem po prostu w umowie i załączniku nie ma a umowilismy sie na nie w dobrej wierze ze jedno drugiego nie wychuja, ale tak jak juz pisalem sądowanie sie bedzie dlugie i nieskuteczne w najlepszym wypadku wyjde na zero a goscio bedzie mial portal za darmo.

z tym curlem to wydaje mi sie ze strasznie duzo roboty a jak ktos bedzie sprytny to usunie fragment walidujacy tą sume kontrolną i voila:) tym bardziej ze ma sie to uruchamiac za kazdym razem wiec debugger puszczony przez caly lifetime requestu szybko znajdzie ten element w kodzie i moze on sie wydac komus podejrzany gdyz nic pozytecznego nie robi.

Ten post edytował Orzeszekk 10.06.2012, 01:47:35

[d3ut3r]

Jak dla mnie za dużo kombinowania z takim backdoorem zwłaszcza gdy masz podpisaną umowę więc z prawnego punktu widzenia jesteś zabezpieczony. Co do samego problemu to czy nie ma takiej opcji, żeby klient testował projekt na twoim serwerze ? (jeżeli nie masz hostingu załóż konto testowe gdzieś. Zazwyczaj dają 7-14 dni za free bez zobowiązań ).

[!*!]

1. projekt końcowy i tak musi być pokazany na Twoim serwerze
2. jeśli realizacja projektu jest opóźniona i to nie z Twojej winy, tylko klienta, to on łamie umowę
3. umowa jasno powinna określać to co masz zrobić i do czego jesteś zobowiązany

Jeśli któryś z wyżej wymienionych punktów u Ciebie leży, to najzwyczajniej dałeś się wydymać, szczególnie jeśli musisz przekazać projekt na serwer klienta, przed dokonaniem płatności. Jak zaszyjesz cokolwiek w kodzie, to narażasz na szkodę nowego właściciela, tym samym łamiesz prawo. Dogadaj się z Nim, spuść z ceny i sprawa załatwiona, ewentualnie podpiszcie jakiś aneks. A jak nie, oddaj mu zaliczkę i zapomnij o tym.

tym bardziej ze wkurwiony tym calym zamieszaniem w koncu wzialem sie do innej lepiej platnej pracy i porzucilem projekt na pare miesiecy a wrocilem do niego bo raz ze jest mi potrzebna kasa, dwa ze nikt go raczej za mnie nie dokonczy.

Po przeczytaniu tego, szerze mówiąc mam nadzieje że klient dopnie swego, nawet przed sądem i że będziesz musiał mu oddać zaliczkę, razem z projektem, bez otrzymania zapłaty.

Ten post edytował !*! 10.06.2012, 08:08:01

[deha21]

Kwestia takich klientów to osobna sprawa. Też miałem kiedyś takiego dla którego zrobiłem właściwie całą stronę (przy jego akceptacji), a potem powiedział, że jednak chce inną, bo spodobała mu się jakaś którą zobaczył na necie. A głupi byłem bo umowy nie podpisałem (zresztą to było moje pierwsze zlecenie dla ledwo co założonej firmy). Ale dałem sobie spokój bo nie chciałem mieć już z gościem do czynienia, a że chodziło akurat o 200 zł to nie takie duże pieniądze żeby się sądzić.

Jeśli strona jest w sieci to ja bym mu podmienił index.php z komunikatem "Panie X, prosimy o uregulowanie należności. Miłego dnia!"

[Orzeszekk]

no tutaj nie chodzi o 200 zł niestety tylko o znacznie wiekszy hajs (ktory tak naprawde na ilosc pracy i tak jest groszowy).

Po przeczytaniu tego, szerze mówiąc mam nadzieje że klient dopnie swego, nawet przed sądem i że będziesz musiał mu oddać zaliczkę, razem z projektem, bez otrzymania zapłaty.

padla z mojej strony taka propozycja jednak nie spotkała sie ze zrozumieniem.

jednak nie wiem skąd taka nienawiscią zapałałeś - nie znasz całej sytuacji. W takim razie ja ci zycze takiego projektu jak ten, zebys go spierdolil nie ze swojej winy i oddal go wraz z karą umowną.

a ja mam doskonałą nauczkę na przyszlosc - dlaczego nie mozna polegac na zadnych slownych umowach, dlaczego specyfikacja techniczna do umowy powinna miec 30 stron a nie jedną i byc wyczerpująca i dlaczego nie nalezy robic nic czego nie ma w umowie.

Ten post edytował Orzeszekk 10.06.2012, 10:41:58

[!*!]

Ogarnij się, nie piszesz do kolegów w piaskownicy.

Swoja droga to w sytuacji kiedy spora czesc umowy po prostu zakladala bezproblemową współpracę miedzy nami, a po 3 miesiacach prac gdy liczyles ze skonczysz projekt przed czasem, dowiadujesz sie ze to co pisales 3 miesiace jest do dupy, bo klient troche nie umial przekazac swojej wizji i robisz ten moduł od nowa, bo przeciez klientowi taka strona jak zrobiles sie nie przyda i musisz to poprawiac jak chcesz to dopiąć do konca - tez bys sie wkurwil, majac obok projekt za 2 tyle lepsze pieniadze z nieco powazniejszym podejsciem do ciebie i twojego czasu.

To do kogo Ty masz pretensje? Nie potrafisz zadbać o swój interes i teraz marudzisz? To o czym piszesz wymaga renegocjacji warunków umowy i to załatwia sprawę.

Nie ma opcji na publisha na moim kompie, musi byc na publicznym FTP.

Nie ma czegoś takiego jak publiczny FTP, ale zakładam że chodzi Ci o FTP klienta, cóż, Twoja wina. Teraz cierp.

Przytaczasz że firma X bierze kilka razy więcej, to prawda, ale nawet nie masz się co z nią porównywać.

W takim razie ja ci zycze takiego projektu jak ten, zebys go spierdolil nie ze swojej winy i oddal go wraz z karą umowną.

Dzięki, ale nawet dzieci w przedszkolach wiedzą jak zadbać o swoje kredki.

Ten post edytował !*! 10.06.2012, 10:42:49

[Orzeszekk]

Dzięki, ale nawet dzieci w przedszkolach wiedzą jak zadbać o swoje kredki.

spoko. nie obcuje z dziecmi w przedszkolach, bo jakos mnie do nich nie ciagnie, wiec nie zauwazylem tego. ale na przyszlosc bede wiedzial.

z mojej strony EOT w strone !*!, nie bede sie dawal prowokowac trolowi. Jesli ktos ma cos rzeczowego do napisania jeszcze zamiast swoich moralnych dyrdymałów i przekonania jaki to on nie jest szpec, to zapraszam.

Ten post edytował Orzeszekk 10.06.2012, 10:48:29

[!*!]

Oceniłem Cie po tym co napisałeś i w jakim stylu, a jest on niski. Nie interesują mnie Twoje umiejętności, tylko po prostu zostałeś z ręką w nocniku i teraz starasz się ją wyjąć głupim sposobem, w dodatku nielegalnym.