Deaktivacia na zaklade pohladu niekam von je nezmysel. To sa da vyhodit a nefunguje to vzdy dobre, aj keby ste na obidvoch serveroch mali 100% uptime.
Ja pouzivam zadne vratka, ktore sa tvaria ako bug, ale musela by nastat uzasna zhoda nahod, aby sa do toho niekto trafil. Ked sa aj niekto trafi, tak by tym nemal dokazat robit velmi vela. Zneuzitie toho bugu musi obsahovat moznost plausible deniality.
Nakoniec z toho vyjde nieco ako, ze ked je u zmeny uzivatela meno prazdne, priezvisko obsahuje zakazane znaky a pritom sa nahrava zakazany avatar, tak sa to dostane na taku code-path, ze sa pri tom zmaze inak vybrany uzivatelsky subor. Je to cele spravene ako bug, takze tam nie je explicitny "if" na tento pripad.
Subory odporucam obfuskovat a to tak, aby nasledne ich zmena alebo zmena adresaru sposobila nemoznost deobfuskacie. Kludne to xorujte par znakmi hashu index.php, zoznamu suborov v aktualnom adresari, __FILE__ a kludne este niecim. Takto bude obfuskovany aj sam index.php. Fantazii sa medze nekladu a taketo nieco odradi pomerne vela utocnikov, lebo ak si niekam pridaju debug vypis, tak im to bude vracat nezmysly.
Na druhu stranu to chce trochu chytristiky, ako vymysliet ten zakladny subor (index.php). S trochou snahy a trochou bruteforce to nebude problem ;-).
Akurat si potom treba dat pozor na update, ze sa vzdy nahradia vsetky subory.
51 Odpovědí
6583 Zhlédnutí