Форум PHP

Если предположить, что сайт смогут взломать/слить, то можете ли вы поделится методикой оставления дыр, но так чтобы эти дыры против тебя потом не пошли.

Не очень понятно, что имеется в виду? Какова цель?

PS Вообще оставление дыры или её эксплуатация - это всегда плохой и опасный путь. Писали вы ПО или нет, когда вы манипулируете чужим сервером - это взлом, со всеми вытекающими.

Допустим(всякое бывает) сайт был взломан и его файлы скачаны, хацкер захочет их продать/отдать/использовать чтобы не допустить использование сайта, можно оставить уязвимости, допустим введя в GET свой код и получить доступ к админке(как пример), но опять же это надо спрятать, чтобы умный хацкер не догадался, что в сайте есть намеренные уязвимости.
Это не есть хорошо согласен, но это как последняя стадия защиты, всякое бывает, супер мега системы дают сбой и от взлома ни кто не застрахован.
P.S сайт для себя, а не чужим людям.

зачем оставлять дыры если можно зайти через админку хостинга?

Повторяю еще раз! Твой сайт слили и запустили на другом хостинге и скажут, что он их, а не твой.
Твой сайт продали другим людям, что тут не понятного?
Какие будут твои действия? Писать хостеру, мол это мой сайт? Да выход, но рутино и не всегда хостер честный.

и как тебе поможет такая дыра?

поможет получить судимость :)

и только)

Получишь доступ, аля ?adm=38shk152skls927gska91ox35gvx7s9sy, привет настоящий админ!
Зайдешь и удалишь.

на самом деле ваша причина более чем не убедительна
не оставляйте дыр и никакой хацкер не поломает ваш сайт и не украдет плоды вашей (а скорее всего вообще не вашей, а собранной вами из разных кусков кода коих полно в интернете) "интелектуальной собственности"
на самом деле я больше чем уверен у вас еще ничего нет, но вас уже заботят проблемы "безопасности"

У меня такое ощущение, что ни кто из вас не встречался со взломами.
Понимаю, когда проект разрабатывается для чужих людей и им "большой брат" в виде дыр не потребуется, тут я согласен, но когда проект разрабатывается под свой ключ, то тут не будет грехом улучшить безопасность и предусмотреть даже такие маловероятные случаи.

P.S. Valick, это ни имеет отношение, что разрабатывается и кем и какой уровень кода и бюджет, все пишется с 0 уже длительный срок, шаблоны не использую,
P.S. Больше тролишь чем пишешь по сути.

Посмотрите здесь.

Благодарю.

а я вам еще раз говорю
грамотно написаный сайт (а тем более если он только у вас) целиком можно слить только взломав хостинг
но вас попрежнему интересует бэкдор, который сам по себе и есть подарок хакерам
__
никто не будет разбираться ваш это код или нет если застукают (а это не так сложно как кажется) то автоматом получите "незачёт" от коллегии присяжных заседателей
__
и где вы видели такого хакера который не сможет вычислить и закрыть ваш бэкдор?
__
я тут с 2007года тролю ;)
не грусти а то не будет безопасность расти)

1. Хороший взломщик не ищет уязвимости в ручную, у него есть автоматические инструменты, рано или поздно он найдет эту уязвимость и сломает сайт через неё. Не делайте плохо, делайте хорошо, плохо - само получится.
2. Это не последняя стадия защиты - это удавка вам на шею. Вас даже никто слушать в суде не будет, что это ваша система, что у вас её украли, вас просто посадят за взлом и точка. Обидно, когда вашей разработкой незаконно воспользовались, но когда вас за это еще и осудят - это слов нет. А с таким сценарием - это вполне реальная переспектива. Никогда не лазьте на чужие сервера, даже если там стоит ваша система. Вы же первый кандидатом и будете. Слушать вас никто не будет.
3. Не держитесь за старые системы, в Web нет ничего, за что стоило бы держаться. Делайте новые системы - так вы останетесь на плаву и актуальными, возня за старый код - это дорогое и времязатратное действо. Пока вы возитесь и боретесь все уйдут очень далеко вперед.

На счет 2 пункта - не на столько честен, если я писал в мвд отдел к, по поводу ддоса который шел 2 месяца, с атакой 70 Mbps, меня вызвали для составления дела, все рассказал даже предоставил переписку с ддосером и с угрозой ддоса если не последует оплата, какие финансовые потери мы понесли, через месяц приходит ответ, что мол извините, мы некчемные милиционеры и искать ни кого не будем. После этого у меня нет страха, который имеете вы (видимо знаете истории такие), что мол вы преступник оставляете дыры! Если так думать, то тут больше половины таких преступников.
P.S. ДДоС'ер держал по мимо нашего сайта, еще 5 таких же, клал как детей и хостинги за 3000 р в месяц не спасали, но 1 сайт держался все-таки, потом узнал, что там было 16 gb оперативы, канал 1gb, iptables и шлюз 2 пк, фишка с подменой днс и т.д.

Я в этом не сильно разбираюсь, но мне интересно. Если в тексте лицензии приложения создать пункт, якобы в приложении имеется бэкдур, разработчик этого не скрывает и в случае нарушения лицензии использования он имеет право без ведома пользователя заблокировать приложение. Это будет считаться взломом?

Как повернуть... если вы докажите, что использовался ваше приложение, что заказчик согласился именно с этим договором и подписал его, тогда может и выкрутитесь... но скорее всего ваши пункты лицензии вообще рассматривать не будут, а будут рассматривать сервер, подвергшийся взлому, исполнителя взлома и нанесенный ущерб. Так как у нас в законе явно запрещается создание злономеренного кода, не зависимо от того, что вы пишите в лицензии. А доказать, что черный ход - это злономеренный код, который может эксплуатироваться кем угодно и приводить к ущербу, не так сложно.

А я тоже согласен с ваньком, лажу тут по интернету и читаю всякое, например когда про webmoney читал что у автора 10 000 тыс украли, а менты ему типо,ну как мы его найдем, или когда 900р украли, но он там наследил и его вычислили, так ему даже нечего не сделали за это.
Вообще считаю что все что касаеться инета, то в наше время тут можно делать почти все, и врядли вам сделают что либо,если это не связано с властями =)
Хотя тоже считаю что из за бэкдора ему потом сайт поламают ,лучше защищаться чемто типо привязка по ip итд=)