login  Naam:   Wachtwoord: 
Registreer je!
 Forum

Backdoor bouwen (Opgelost)

Offline Martijn - 28/02/2010 21:56
Avatar van MartijnCrew PHP Ik denk er al een aardige tijd over en besloot zojuist is te kijken hoe andere mensen er tegenover staan:

Een backdoor bouwen. Een klein bewust gaatje in de beveiliging waar alleen jij van weet. Hoe zou jij dat doen en wat zouden acceptabele gevolgen zijn.

Om een voorbeeldje te geven, stel je krijgt een vergoeding in natura over een wat langere periode. Aan het begin van deze periode wil je klant al online zijn. Nadat je dat hebt gedaan, blokkeert ie je toegang tot de bestanden en je krijgt je vergoeding ook niet meer.

Niet alleen deze situatie uiteraard, het kan ook erger of slechter (bijvoorbeeld na het breken van de algemene voorwaarden oid).

Wat zouden jullie doen? Een script ertussen zetten, een database op je eigen server houden? Ik zou graag all purpose antwoorden willen zodat het niet slechts op 1 site werkt.

Denk er ook aan dat het niet zomaar te vinden moet zijn door de klant, dat ie zo je code eruit haalt 

(disclaimer: Dit is er niet voor om elk miepje een site offline te halen!)

17 antwoorden

Gesponsorde links
Offline vinTage - 28/02/2010 22:05 (laatste wijziging 28/02/2010 22:05)
Avatar van vinTage Nieuw lid ideetje:
  1. if(isset($_COOKIE['geheim'])) ///en een aardige value natuurlijk
  2. {
  3. //evil
  4. }

Het cookie set je gewoon bij jezelf met webdevtoolbar.
Offline genkstar - 28/02/2010 22:16 (laatste wijziging 28/02/2010 22:16)
Avatar van genkstar Nieuw lid een ideetje

Ik zou eerst een service based applicatie maken, nadat je je geld hebt of wat dan ook, de echte versie geven + de data die hij heeft toegevoegd etc via de service..
Offline Ontani - 01/03/2010 08:26
Avatar van Ontani Gouden medailleGouden medailleGouden medailleGouden medaille

-1
Ik heb dit geregeld door het eerste jaar de domein registratie in eigen bezit te houden. Je bepaald dan zelf de nameservers waardoor je ook bepaald waar de hosting geplaatst is.

Deze hou je dan het eerste jaar op je eigen hosting, betaald een klant niet haal je gewoon alles offline.

Ik ben jammer genoeg al een paar duizend euro mis gelopen door klanten die hun woord niet nakomen.
Offline Sitebase - 01/03/2010 09:15
Avatar van Sitebase PHP expert Altijd een contract opstellen. In het contact zet je ook een gedetailleerde beschijiving wat jij gaat maken. Zo heb je achteraf ook niet het gedoe van ik dacht dat dit of dat er ook zou bij zitten.
Offline cloudstrife - 01/03/2010 12:10
Avatar van cloudstrife PHP beginner
WMP schreef:
Altijd een contract opstellen. In het contact zet je ook een gedetailleerde beschijiving wat jij gaat maken. Zo heb je achteraf ook niet het gedoe van ik dacht dat dit of dat er ook zou bij zitten.


Dan moet je natuurlijk de mogelijkheid hebben om een contract op te stellen, m.a.w. je moet dus legaal bezig zijn en niet in het zwart. Wat voor velen hier niet het geval is.

Ben je wel legaal bezig, dan is een goed contract het enige wat je nodig hebt. Die backdoors zou ik niet doen, dit kan het omgekeerde effect hebben en tegen u worden gebruikt...
Offline MiST - 01/03/2010 14:04
Avatar van MiST Lid Backdoors zijn wat mij betreft louche praktijken. Mijn visie is dat er in eerste instantie degelijke afspraken gemaakt moeten worden tussen klant en leverancier.

Indien je een product levert, betaalt de klant voor het product en doet hij er daarna mee wat hij wil (conform de licentievoorwaarden). Indien je een service (zoals onderhoud), betaalt je klant gedurende de service loopt en dat is dan wsl onbepaald.

Vanaf een van beide partijen de afspraken breekt, stopt het voor beide. Ik zie niet waarom je een backdoor zou gebruiken. Ik weet zelfs niet of dat zo über legaal is....
Offline Jelmerholland - 01/03/2010 17:17
Avatar van Jelmerholland PHP beginner Gewoon ergens midden in zijn bestanden ofzo 1 pagina maken waar jij als 'bouwer' in kan loggen.

Plaats deze gewoon in zo'n standaard mapje, done.

Ps. is het niet makkelijker dat jij gewoon een reseller neemt en ze dus 'zelf' host? Houd je ook zelf je ftp en DirectAdmin bij elkaar 
Offline jaronneke - 01/03/2010 21:37
Avatar van jaronneke MySQL interesse ergens een verborgen get inzetten .. als je die aanroept krijg je extra functies
Offline kiwi - 01/03/2010 21:40
Avatar van kiwi Nieuw lid Ja ik zou ook gewoon, dat jij alles regeld dus de host en zo,
en dat hij ook een FTP account krijgt, maar jij nog de hoofdadmin bent,

dan betaald hij jou en jij betaald de server, waneer hij stopt met betalen of dergelijke, stop jij gewoon de server, simpel en veilig, als hij je niet geloofd, moet hij maar iemand anders zoeken
Offline Jelmerholland - 01/03/2010 22:40
Avatar van Jelmerholland PHP beginner En daarvoor heb je een KVK nummer nodig ;) Is betrouwbaarder
Offline vinTage - 01/03/2010 23:08
Avatar van vinTage Nieuw lid
jaronneke schreef:
ergens een verborgen get inzetten .. als je die aanroept krijg je extra functies


Zou niet slim zijn he...of had je nog niet in de gaten dat google de urls bekijkt waar je zit?
maw...google indexeerd de url waar jij zit en hoppa, heel de wereld heeft nu die rechten 
Offline valles10 - 27/03/2011 12:50 (laatste wijziging 27/03/2011 12:51)
Avatar van valles10 HTML interesse
Jelmerholland schreef:
Gewoon ergens midden in zijn bestanden ofzo 1 pagina maken waar jij als 'bouwer' in kan loggen.

Plaats deze gewoon in zo'n standaard mapje, done.

Ps. is het niet makkelijker dat jij gewoon een reseller neemt en ze dus 'zelf' host? Houd je ook zelf je ftp en DirectAdmin bij elkaar 

dat mapje met die file heeft ook zelfde effect als een get hé google indexeert het. En als je zo'n file gaat maken, is dat te makkelijk om die te verwijderen...

Vergeleken met een stukje code (zoals die cookie) valt minder op. Je moet het natuurlijk niet 'geheim' of 'backdoorVoorSiteBouwer' gaan heten 
Offline ArieMedia - 28/03/2011 22:29 (laatste wijziging 28/03/2011 22:29)
Avatar van ArieMedia Gouden medaille

PHP ver gevorderde
valles10 schreef:
[..quote..]
dat mapje met die file heeft ook zelfde effect als een get hé google indexeert het. En als je zo'n file gaat maken, is dat te makkelijk om die te verwijderen...

Vergeleken met een stukje code (zoals die cookie) valt minder op. Je moet het natuurlijk niet 'geheim' of 'backdoorVoorSiteBouwer' gaan heten 

vinTage – 01/03/2010 23:08
valles10 – 27/03/2011 12:50

WTF  
Offline larssy1 - 29/03/2011 00:44
Avatar van larssy1 MySQL beginner
valles10 schreef:
[..quote..]
dat mapje met die file heeft ook zelfde effect als een get hé google indexeert het. En als je zo'n file gaat maken, is dat te makkelijk om die te verwijderen...

Vergeleken met een stukje code (zoals die cookie) valt minder op. Je moet het natuurlijk niet 'geheim' of 'backdoorVoorSiteBouwer' gaan heten 

Als je die cookie iets noemt als.. let's say.. "dewReswegE2ecrek"
Denk ik niet dat t erg opvallend is ofzo.. en eerder word beschouwd als een serieuse functie dat er volgt.
Offline Ibrahim - 29/03/2011 01:04 (laatste wijziging 29/03/2011 01:05)
Avatar van Ibrahim PHP expert een bestandje genaamd authenticationtoken.php met inhoud:

  1. eval(base64_decode('amUgc2NyaXB0IG9tIHpuIHNlcnZlciB0ZSBjcmFzaGVuIDpQ'))


^^, alle grappen terzijde, wat je het beste kunt doen is local werken of op je eigen ftp, bij livegang die aan de klant tonen, pas na betaling website overdragen, niet eerder, want dat is gewoon naief...
Offline Maarten - 29/03/2011 14:17
Avatar van Maarten Erelid Je kan je ook gewoon neerleggen bij de risico's van het zwartwerken 
Er is een verschil tussen een website bouwen voor de lokale badmintonclub of grote bedrijven. Bij de ene kan je dit onder de tafel best wel regelen, en als er dan iets mis gaat zoek je die persoon op, schijt je in zijn brievenbus en trek je een kras in z'n auto.
Bij "serieuze" projecten is het zowieso een doolhof van NDA's en contracten, dus dan is dat allemaal geen issue Wij sluiten bijvoorbeeld altijd een supportcontract af, en dat garandeert gedurende dat contract dan ook de toegang tot de klantenomgevingen - weigeren ze die, dan gooien ze hun eigen supportcontract weg.
Verder bestaat er ook nog zoiets als intellectueel eigendom en de overdracht hiervan: als je contract bepaalt dat er geen gedeeltelijke overdrachten zijn maar enkel een definitieve bij de laatste & volledige betaling van de overeengekomen contractprijs, dan kan je met een gerust hart naar een rechtbank stappen 
Offline valles10 - 29/03/2011 16:45
Avatar van valles10 HTML interesse 't viel me ook net op topic is 1j oud xD
maar toch handig voor andere bezoekers van forum dat ze een oplossing vinden...
Gesponsorde links
Je moet ingelogd zijn om een reactie te kunnen posten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.226s