VNZ-ROAD
NEXTVNZ
LÀ MỘT SOFTWARE DEVELOPER, BẠN CÓ THƯỜNG ĐỂ LẠI BACKDOOR TRONG CODE CỦA BẠN KHÔNG?
Trả lời: Ẩn danh
=======================================
Có một lần tôi để lại backdoor trong một ứng dụng Android, vì tôi đang làm việc với một bên khách hàng mà tôi không biết họ có tính trả tiền cho tôi hay không. Tôi đã nghe một dev khác nói rằng họ để anh ta làm phần mềm và cướp đi nó, rồi không bao giờ trả tiền cho anh ta.
Nó giống như thế này, mỗi khi app này khởi động nó sẽ tiến hành như thông thường, nhưng mà ở background (nền) thì nó sẽ gửi một yêu cầu đến một trong những máy chủ của tôi. Nếu yêu cầu đó đến máy chủ và phản hồi lại là code 200 thì mọi thứ vẫn còn ổn, tôi vẫn sẽ đợi khoản thanh toán. Còn phản hồi là 201 thì có nghĩa là tôi không được trả tiền, nó sẽ làm sập app, xóa sạch preferences [SharedPreferences trong Android để giúp lưu trữ dữ liệu trong quá trình chạy của ứng dụng] và thay đổi url [liên kết mạng] được lưu trong preferences, làm cái app này vĩnh viễn không thể sử dụng được nữa. Nếu là 203 thì tôi đã được thanh toán đầy đủ, và yêu cầu sẽ không bao giờ gửi về máy chủ của tôi nữa.
Dự đoán của tôi đã đúng, tôi làm xong cái app, chưa gửi code đến bên khách hàng (họ cũng không cần, nó đã là một ứng dụng đầy đủ rồi), họ bắt đầu sử dụng nó, nói với tôi vài thứ, tôi sửa lại. Mọi thứ đã hoàn thành, họ rất thích cái app, nó còn tốt hơn họ mong đợi, tôi thậm chí còn tạo miễn phí thêm cho họ một trang quản trị [admin dashboard] với cả mớ công cụ phân tích để kiểm soát mọi dữ liệu của họ, như là một cách để khiến họ thích làm việc với tôi trong tương lai, và thậm chí tôi còn tặng kèm thêm cả 3 tháng fix bug nếu có bug. Họ vô cùng hài lòng với nó.
Thế rồi đột nhiên họ biến mất. Tôi chờ đợi họ liên lạc trong hai tuần, chẳng có gì cả, còn chẳng còn bảo tôi hãy đợi họ. Cứ như là họ đã chết sạch trong một cơn cuồng phong hay gì đó, họ còn đổi mật khẩu server họ để tôi không thể xâm nhập vào và phá nó. Như vậy là đã đủ bằng chứng rằng họ rõ ràng đã chạy trốn với phần mềm của tôi. Tôi gửi mã 201 từ server của tôi và cái app bị đóng băng, mọi khách hàng mà họ kết nối tới không thể sử dụng nó được nữa. Lập tức ngay hôm sau họ cố gắng liên lạc với tôi, tôi thì tăng giá lên gấp ba lần sau khi thấy họ đã muốn chơi đểu tôi. Họ thanh toán đủ trong hôm đó bằng Western Union [một dịch vụ tài chính], tôi gửi cái app hoàn thiện và không có backdoor, với đầy đủ mã nguồn. Và tới đây là chấm dứt, tôi sẽ không bao giờ làm việc với bên đó một lần nào nữa.
Tôi sẽ đặt backdoor nếu bạn là một khách hàng tồi tệ, nếu bạn là khách hàng tốt và trả trước thì tôi sẽ chẳng đặt gì cả, hoặc nếu chúng ta đang ở trong cùng một đất nước vì tôi biết tôi có thể kiện bạn. Thật ra tôi ghét backdoor vì nó quá mạo hiểm, cho dù tôi có cố gắng cách mấy để bảo vệ nó. Việc nó có tồn tại cũng là một vấn đề rồi.
Bài dịch từ Quora Việt Nam
=======================================
Có một lần tôi để lại backdoor trong một ứng dụng Android, vì tôi đang làm việc với một bên khách hàng mà tôi không biết họ có tính trả tiền cho tôi hay không. Tôi đã nghe một dev khác nói rằng họ để anh ta làm phần mềm và cướp đi nó, rồi không bao giờ trả tiền cho anh ta.
Nó giống như thế này, mỗi khi app này khởi động nó sẽ tiến hành như thông thường, nhưng mà ở background (nền) thì nó sẽ gửi một yêu cầu đến một trong những máy chủ của tôi. Nếu yêu cầu đó đến máy chủ và phản hồi lại là code 200 thì mọi thứ vẫn còn ổn, tôi vẫn sẽ đợi khoản thanh toán. Còn phản hồi là 201 thì có nghĩa là tôi không được trả tiền, nó sẽ làm sập app, xóa sạch preferences [SharedPreferences trong Android để giúp lưu trữ dữ liệu trong quá trình chạy của ứng dụng] và thay đổi url [liên kết mạng] được lưu trong preferences, làm cái app này vĩnh viễn không thể sử dụng được nữa. Nếu là 203 thì tôi đã được thanh toán đầy đủ, và yêu cầu sẽ không bao giờ gửi về máy chủ của tôi nữa.
Dự đoán của tôi đã đúng, tôi làm xong cái app, chưa gửi code đến bên khách hàng (họ cũng không cần, nó đã là một ứng dụng đầy đủ rồi), họ bắt đầu sử dụng nó, nói với tôi vài thứ, tôi sửa lại. Mọi thứ đã hoàn thành, họ rất thích cái app, nó còn tốt hơn họ mong đợi, tôi thậm chí còn tạo miễn phí thêm cho họ một trang quản trị [admin dashboard] với cả mớ công cụ phân tích để kiểm soát mọi dữ liệu của họ, như là một cách để khiến họ thích làm việc với tôi trong tương lai, và thậm chí tôi còn tặng kèm thêm cả 3 tháng fix bug nếu có bug. Họ vô cùng hài lòng với nó.
Thế rồi đột nhiên họ biến mất. Tôi chờ đợi họ liên lạc trong hai tuần, chẳng có gì cả, còn chẳng còn bảo tôi hãy đợi họ. Cứ như là họ đã chết sạch trong một cơn cuồng phong hay gì đó, họ còn đổi mật khẩu server họ để tôi không thể xâm nhập vào và phá nó. Như vậy là đã đủ bằng chứng rằng họ rõ ràng đã chạy trốn với phần mềm của tôi. Tôi gửi mã 201 từ server của tôi và cái app bị đóng băng, mọi khách hàng mà họ kết nối tới không thể sử dụng nó được nữa. Lập tức ngay hôm sau họ cố gắng liên lạc với tôi, tôi thì tăng giá lên gấp ba lần sau khi thấy họ đã muốn chơi đểu tôi. Họ thanh toán đủ trong hôm đó bằng Western Union [một dịch vụ tài chính], tôi gửi cái app hoàn thiện và không có backdoor, với đầy đủ mã nguồn. Và tới đây là chấm dứt, tôi sẽ không bao giờ làm việc với bên đó một lần nào nữa.
Tôi sẽ đặt backdoor nếu bạn là một khách hàng tồi tệ, nếu bạn là khách hàng tốt và trả trước thì tôi sẽ chẳng đặt gì cả, hoặc nếu chúng ta đang ở trong cùng một đất nước vì tôi biết tôi có thể kiện bạn. Thật ra tôi ghét backdoor vì nó quá mạo hiểm, cho dù tôi có cố gắng cách mấy để bảo vệ nó. Việc nó có tồn tại cũng là một vấn đề rồi.
Bài dịch từ Quora Việt Nam
