Безопасность. Бэкдоры в файлах под зендом от сторонних разработчиков.

Вот все мы покупаем разработки сторонних разработчиков.

А как насчет безопасности, вдруг недобросовестный разработчик встроит в свою разработку бэкдор и закодирует его зендом?

Как можно уберечься от этого? И есть ли какие-то способы определить это?

Остается только доверять :)

Интересная тема… в виду того что пошла мода все шифровать

или платить за расшифровку с целью убедиться что все нормально

Уже поймали кого то? -Нет. А чего тогда поднимаете пустой трёп?

А как насчет безопасности, вдруг недобросовестный разработчик встроит в свою разработку бэкдор и закодирует его зендом?

надеюсь не спалю тему, но например для дле есть моды за копейки или бесплатные под зендом, с расчетом на то что их будут ставить массово, а разраб поимеет некий бонус😊

вообще для себя давно уже поставил жесткое условие — ни каких кодированных разработок на сервере. какой бы разраб не был, как бы он не кодил, даже если там нет бэкдора, от простых банальных ошибок никто не застрахован. одно простой sql инъекции будет достаточно…

любой сторонний мод -потенциальная угроза, закодированный — десятикратная угроза.

плюс к этому, нет возможности при обновлении движка поправить код под новую версию и тд. разработчики часто бросают свои доработки или приходится по полгода ждать обновлений.

Уже поймали кого то? -Нет. А чего тогда поднимаете пустой трёп?

А как поймать?)

вообще для себя давно уже поставил жесткое условие — ни каких кодированных разработок на сервере. какой бы разраб не был, как бы он не кодил, даже если там нет бэкдора, от простых банальных ошибок никто не застрахован. одно простой sql инъекции будет достаточно…

+1 делаю исключение только премиум компонентам.

Как можно уберечься от этого? И есть ли какие-то способы определить это?

А как поймать?)

Если говорить о легальных методах (не пытаться посмотреть код =)) то нужно принять во внимание одну простую вещь:
клиент (браузер) не умеет читать ни php, не тем более php под кубом.
Это все делает сервер, и отдает уже html + ...
Потому способов масса. От просмотра исходного кода в браузере до выявления внешних запросов\соединений .
Идём в фаербаг и смотрим сеть. Кто там такой резвый и куда рвется))
Ctr+Shift+I >>> network
Ну или… там как то ещё…

Есть сервисы буржуйские, которые готовы расшифровать присланный файл. в среднем 5 баксов стоит декодить один файл, потом идет по нисподающей (типа опт).

Как можно уберечься от этого? И есть ли какие-то способы определить это?

А как поймать?)

Если говорить о легальных методах (не пытаться посмотреть код =)) то нужно принять во внимание одну простую вещь:
клиент (браузер) не умеет читать ни php, не тем более php под кубом.
Это все делает сервер, и отдает уже html + ...
Потому способов масса. От просмотра исходного кода в браузере до выявления внешних запросов\соединений .
Идём в фаербаг и смотрим сеть. Кто там такой резвый и куда рвется))
Ctr+Shift+I >>> network
Ну или… там как то ещё...

Самый дельный совет. Благодарю :)

никогда не ставлю кодированые файлы и не рекомендую! Оплата только за раскодированые или потом декодирую через знакомых. Пилять конечно приходиться много, но это гарантия что вы не завалите свой сайт.

надеюсь не спалю тему, но например для дле есть моды за копейки или бесплатные под зендом, с расчетом на то что их будут ставить массово, а разраб поимеет некий бонус

да да, есть такая тема. а еще все кому не лень пихают хайд ссылки на свои сайты и не по одной. В свое время даже утилиту пришлось накорябать для проверки всего этого мусора. Меня очень удивило, что никто из сообщества InstantCMS в своих паблик разработках ничего такого не пихал. А если и пихал, то просил не удалять. Пока все это расползется по DLE посвященным сайтам, где это и находят заинтересованные лица, обрастает такой бородой, что мама не горюй…

Уже поймали кого то? -Нет. А чего тогда поднимаете пустой трёп?

А где здесь пустой треп? Я ни про кого конкретно не писал, просто поднял тему для обсуждения! Если она вам не интересна — можете просто пройти мимо!

lokanaft, поддерживаю.