-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Можно/нужно ли вставлять зловредный код для защиты интеллектуальной собственности?
- Автор темы tony2001
- Дата начала
tony2001
TeaM PHPClub
>Вопрос именно в ответом шаге, а не в первом.
>Каким он должен быть, чтобы другой раз было неповадно.
если вы покупаете водку в подворотне - вы будете потом рыскать продавца по всем подворотням, когда поймете, что она паленая?
если вы покупаете ее в магазине - приносите и официально разбираетесь.
никаких ответных шагов не понадобится, если делать все изначально правильно.
в конце концов, можно работать через знакомого частного предпринимателя, но с заключением договоров и т.п.
и вам же лучше, и заказчику спокойней будет.
а то, что вам лень это делать, но не лень делать бэкдоры - это чисто русская традиция, видимо.
точней, советская.
>Каким он должен быть, чтобы другой раз было неповадно.
если вы покупаете водку в подворотне - вы будете потом рыскать продавца по всем подворотням, когда поймете, что она паленая?
если вы покупаете ее в магазине - приносите и официально разбираетесь.
никаких ответных шагов не понадобится, если делать все изначально правильно.
в конце концов, можно работать через знакомого частного предпринимателя, но с заключением договоров и т.п.
и вам же лучше, и заказчику спокойней будет.
а то, что вам лень это делать, но не лень делать бэкдоры - это чисто русская традиция, видимо.
точней, советская.
Krisha
pain in the neck
Мужики, в общем, я был неправ, бэкдор нельза рассматривать как средство защиты, это всё равно, что если тебе не дали зарплату ты пришел с битой, открыл офис ключем который тайно изготовил и побил всю аппаратуру. Всем спасибо за интерессную дискуссию, для себя я сделал выводы....
Scarab
Guest
Не нужно никакого зловредного кода, это все происки врагов.
Нормальный программер устраивается на работу и пишет там код. При этом все права на код принадлежат фирме, где он работает - это типовой контракт, а может, даже и законодательно где-то уже обосновали. Программер имеет обычно на этот код только авторские права - что ему позволяет говорить "а вот это написал я". Да и то не всегда. Да и не нужно оно - написал, получил деньги - и все. Будут его код использовать, не будут, или его потом десять человек перепишут по-своему - какая разница?
А защита интеллектуальной собственности в этом случае - проблема организации. И как они будут ее решать - это уже совсем другой вопрос.
Нормальный программер устраивается на работу и пишет там код. При этом все права на код принадлежат фирме, где он работает - это типовой контракт, а может, даже и законодательно где-то уже обосновали. Программер имеет обычно на этот код только авторские права - что ему позволяет говорить "а вот это написал я". Да и то не всегда. Да и не нужно оно - написал, получил деньги - и все. Будут его код использовать, не будут, или его потом десять человек перепишут по-своему - какая разница?
А защита интеллектуальной собственности в этом случае - проблема организации. И как они будут ее решать - это уже совсем другой вопрос.
ForJest
- свежая кровь
Хорошая дискуссия и полезная. Конечно всем нужно доверять и работать так, чтобы не возникала потребность в бэкдорах.
Я например в большинстве случаев спокоен насчет неоплаты.
Потому что заказчик обычно хочет работающий продукт, который я ему намерен предоставить. Поэтому ему нет смысла меня кидать - в случае обнаружения какой-либо ошибки он обратится ко мне - привлечение стороннего разработчика повлечет за собой потерю времени и денег.
Если же возникают опасения я практикую вставку "зловредного" кода. Просто в одном-двух особо запутанных участках программы вставляю проверки. Если я эти проверки не убрал - продукт перестает работать как должно - возникают сами собой "ошибки". Дальше человек либо обратится ко мне и мы поговорим о деньгах. Либо у него не будет работающего продукта.
Это не ограда под током и не отравленная водка. Просто если вор украл из моего дома фамильные часы или мой музкальный центр, то через некоторое время они перестают правильно работать. Вор ничего не получает - ни каких либо повреждений, ни какой либо выгоды от своей деятельности. Он просто потерял некоторое количество времени. Он пострадал морально - у него все было хорошо, а стало плохо.
Я же к этой ситуации не имею ни малейшего отношения. Если отношения нормальные - то все хорошо - и мы решаем "проблемы". Если отношений нет - то кидальщику не к кому обратится.
Такая вот хитрая и развернутая позиция. Хотя я всегда заказчикам верю и мелких багов находится и так достаточно, чтобы дорабатывать их уже после получения денег, а моя защита оказывается ненужной. Чего и вам все желаю.
Я например в большинстве случаев спокоен насчет неоплаты.
Потому что заказчик обычно хочет работающий продукт, который я ему намерен предоставить. Поэтому ему нет смысла меня кидать - в случае обнаружения какой-либо ошибки он обратится ко мне - привлечение стороннего разработчика повлечет за собой потерю времени и денег.
Если же возникают опасения я практикую вставку "зловредного" кода. Просто в одном-двух особо запутанных участках программы вставляю проверки. Если я эти проверки не убрал - продукт перестает работать как должно - возникают сами собой "ошибки". Дальше человек либо обратится ко мне и мы поговорим о деньгах. Либо у него не будет работающего продукта.
Это не ограда под током и не отравленная водка. Просто если вор украл из моего дома фамильные часы или мой музкальный центр, то через некоторое время они перестают правильно работать. Вор ничего не получает - ни каких либо повреждений, ни какой либо выгоды от своей деятельности. Он просто потерял некоторое количество времени. Он пострадал морально - у него все было хорошо, а стало плохо.
Я же к этой ситуации не имею ни малейшего отношения. Если отношения нормальные - то все хорошо - и мы решаем "проблемы". Если отношений нет - то кидальщику не к кому обратится.
Такая вот хитрая и развернутая позиция. Хотя я всегда заказчикам верю и мелких багов находится и так достаточно, чтобы дорабатывать их уже после получения денег, а моя защита оказывается ненужной. Чего и вам все желаю.
KR
alive in new life
ForJest.
Когда я начал читать твой последний пост и прочел про "ошибки", то естественно сразу вспомнилась уже не новая идея привязки кодированного кода к конкретному хосту по заголовку Host.
Если на этом остановиться, то все прекрасно.
Ты сдал проект, заказчик тебе заплатил деньги.
При попытке переноса вор получает вместо сайта х..й, который у меня выглядит как стандартная 403 ошибка, что даже опытных администраторов на пару часов ставит в тупик.
Но тут возникает второй вопрос.
Да, сайт у вора не работает.
Да, когда ты договаривался с заказчиком, заключал договор, etc, ты ему сказал, что сайт закроешь и привяжешь к хосту.
Да, ты сделал (и уведомил об этом заказчика в договоре), что данный программный продукт предназначен для работы на этом и только этом хосте (хостах).
НО.
Однажды, одним солнечным утром, когда заказчик в очередной раз оценил достоинства твоего программного продукта и хотел бы использовать его в дальнейшем, ему в голову приходит идея приблизительно следующего содержания:
"Я уже один раз заплатил, у меня уже есть то, что мне нравится и то, что я хочу использовать. Так зачем же мне платить дважды?"
Итогом данного хода мысли будет являться попытка переноса твоего сайта на другой хост, и естественно посыл.
Следствием данной неудачной попытки переноса будет являться нарушение условий договора, пункты об оплате которого уже выполнены.
И все так и останется "на доверии", если ты об этой небольшой блаже заказчика не узнаешь.
Он и в следующий раз может к тебе обратиться и заказать еще что-нибудь.
Так вот, если ты получишь письмо, автоматически сгенерированное системой о том, что попытка переноса все-таки была, то возникает
Момент первый:
Ты можешь в следующий раз отказать этому заказчику не вдаваясь в подробности, но в вежливой форме.
Момент второй (менее распространенный):
Ты можешь намекнуть заказчику на то, что у тебя есть сведения о попытке переноса.
Если заказчик виноват, то отвалит сам и мы возвращаемся к первому моменту, а если с его серваков кто-то действительно тащит коды (будь это его собственный админ или сторонний хакер), то он даже может сказать тебе спасибо за вовремя предоставленную информацию о возможной дыре его серваков.
P.S. Я не говорю, что бэкдоры это хорошо, я просто хочу показать обе стороны медали.
Когда я начал читать твой последний пост и прочел про "ошибки", то естественно сразу вспомнилась уже не новая идея привязки кодированного кода к конкретному хосту по заголовку Host.
Если на этом остановиться, то все прекрасно.
Ты сдал проект, заказчик тебе заплатил деньги.
При попытке переноса вор получает вместо сайта х..й, который у меня выглядит как стандартная 403 ошибка, что даже опытных администраторов на пару часов ставит в тупик.
Но тут возникает второй вопрос.
Да, сайт у вора не работает.
Да, когда ты договаривался с заказчиком, заключал договор, etc, ты ему сказал, что сайт закроешь и привяжешь к хосту.
Да, ты сделал (и уведомил об этом заказчика в договоре), что данный программный продукт предназначен для работы на этом и только этом хосте (хостах).
НО.
Однажды, одним солнечным утром, когда заказчик в очередной раз оценил достоинства твоего программного продукта и хотел бы использовать его в дальнейшем, ему в голову приходит идея приблизительно следующего содержания:
"Я уже один раз заплатил, у меня уже есть то, что мне нравится и то, что я хочу использовать. Так зачем же мне платить дважды?"
Итогом данного хода мысли будет являться попытка переноса твоего сайта на другой хост, и естественно посыл.
Следствием данной неудачной попытки переноса будет являться нарушение условий договора, пункты об оплате которого уже выполнены.
И все так и останется "на доверии", если ты об этой небольшой блаже заказчика не узнаешь.
Он и в следующий раз может к тебе обратиться и заказать еще что-нибудь.
Так вот, если ты получишь письмо, автоматически сгенерированное системой о том, что попытка переноса все-таки была, то возникает
Момент первый:
Ты можешь в следующий раз отказать этому заказчику не вдаваясь в подробности, но в вежливой форме.
Момент второй (менее распространенный):
Ты можешь намекнуть заказчику на то, что у тебя есть сведения о попытке переноса.
Если заказчик виноват, то отвалит сам и мы возвращаемся к первому моменту, а если с его серваков кто-то действительно тащит коды (будь это его собственный админ или сторонний хакер), то он даже может сказать тебе спасибо за вовремя предоставленную информацию о возможной дыре его серваков.
P.S. Я не говорю, что бэкдоры это хорошо, я просто хочу показать обе стороны медали.
ForJest
- свежая кровь
А зачем мне знать - украл этот продукт кто-то или нет? Мне заплатили бабки - я убрал защиту. Это конечно относится только к "одноразовым" скриптам. Если же это распространяемый скрипт - я никода не стану делать 403 или вид что это совсем не работает. Просто появится "неправильное функционирование". Неправильное функционирование не налагает на меня никаких обязательств/привлечения к ответственности. Просто мой святой долг как разработчика - исправить баги. Если ко мне никто не обратился - значит багов нету. Если кто-то обратился - значит я узнаю все подробности, приведшие к "ошибке".
Мне не интересно - украл кто-то или не украл. Заказчику априори неинтресно ковыряться в кишках моего продукта. Зачем явно и четко приводить заказчика к мысли, что я это сделал специально? Пусть все работает чудесно, кроме одной/двух важных функций. Просто неправильная обработка формы. Просто неправильные вычисления - ну с кем не бывает?
Каждый отвечает сам за себя. Я отвечаю за свой продукт, заказчик отвечает за его использование. Продукт отвечает за то, чтобы связывать меня и заказчика. Всем хорошо, все друг друга любят и все друг другу верят.
Хотя на практике я еще не встречался с написанием "мультипродажных" скриптов.
Кстати о птичках - кто мешает нам, славянским дикарям и пиратам украсть vBulletin? Есть ли в нем какая-либо защита? Почему его честно покупают?
Мне не интересно - украл кто-то или не украл. Заказчику априори неинтресно ковыряться в кишках моего продукта. Зачем явно и четко приводить заказчика к мысли, что я это сделал специально? Пусть все работает чудесно, кроме одной/двух важных функций. Просто неправильная обработка формы. Просто неправильные вычисления - ну с кем не бывает?
Каждый отвечает сам за себя. Я отвечаю за свой продукт, заказчик отвечает за его использование. Продукт отвечает за то, чтобы связывать меня и заказчика. Всем хорошо, все друг друга любят и все друг другу верят.
Хотя на практике я еще не встречался с написанием "мультипродажных" скриптов.
Кстати о птичках - кто мешает нам, славянским дикарям и пиратам украсть vBulletin? Есть ли в нем какая-либо защита? Почему его честно покупают?
ONK
Пассивист PHPСluba
ForJest, кто тебе сказал что его честно покупают?
Тебе навалить ссылок на краденные версии и инструкции по занулению?. Поищи в поисковикакх.....
За vB платят только в двух случаях:
1. Когда берут под серьёзный проект (типа этого).
2. Когда служба отлова нелецинзированных версий находит через поисковики более менее раскрученный форум и капает провайдеру...
Тебе навалить ссылок на краденные версии и инструкции по занулению?
. Поищи в поисковикакх.....За vB платят только в двух случаях:
1. Когда берут под серьёзный проект (типа этого).
2. Когда служба отлова нелецинзированных версий находит через поисковики более менее раскрученный форум и капает провайдеру...
YRusinov
Филин Ух
ForJest, я не могу согласиться с тем, что при опасениях за оплату надо умышленно вставлять какую-то ошибку, которая может привести в принципе к более непредсказуемым последствиям, чем можно представить вначале. На мой взгляд в таком случае надо ограничиться пунктом в договоре (или джентельменском соглашении и т.п.), что до оплаты разработчик предоставляет только демо-версию, которая работает в течение n суток (или на n запусков), которая после получения денег становится полнофункциональной.