Взлом сайта на DLE через VAuth 8. Бэкдор в модуле

Если бы я писал модуль под WP, то на dream-notes.ru стоял бы WP

Если бы я писал модуль под Drupal, то на dream-notes.ru стоял бы Drupal

Если бы я писал модуль под Joomla, то на dream-notes.ru стоял бы Joomla

Это демосайт к 5 версии модуля.

Она свободно доступна для скачивания/распространения/модификации на этом-же сайте.

Какой смысл покупать "серверную ос" для демонстрации "просмотрщика изображений" к ней?

Я бы мог использовать демоверсию, но она зазендена (не открыта). А установка модуля требует модификации некоторых файлов движка.

Есть ещё сайты вида:

vauth6.dream-notes.ru

vauth7.dream-notes.ru

vauth8.dream-notes.ru

vauth9.dream-notes.ru

на них тоже можете покричать ;)

Да, это не совсем правильно. Но тем не менее. Пользуясь такими продуктами мы осознаём все возможные опасности.

И если так получится, что с сайта удалится база, случится ахтунг, или бадабум.

Я не побегу кидаться какашками на форумы и кроме себя никого не буду винить в этом.

Потому что это мой выбор, я выбрал "не правильную" копию. И риски, связанные с ней несу я.

А наша тема посвящена другим людям, которые готовы использовать модуль для "не купленных" сайтов, а потом бежать и обвинять на форумах всех, кроме себя.

Бред какой-то...

В модуле бэкдор тчк ☝ Вы умышленно заражаете сайты клиентов, взламываете их по своему усмотрению.

Ну не совсем так однозначно. Бэкдор, который можно эксплуатировать при определенных условиях.

А теперь поговорим про разработку уникального коммерческого продукта для экосистемы DataLife Engine.

8 версию модуля я писал больше месяца. За это время пришлось провести рефакторинг кода 7 версии, изучить огромное количество документации OAuth 2.0, написать необходимые модули, протестировать, написать стили к кнопкам и элементам модуля, разработать документацию и алгоритмы обновления со старых версий.

Стоимость часа PHP разработчика 250 рублей.

На написание я тратил всё свободное время, а это порядка 7-8 часов в день.

Теперь немного математики:

7 часов * 30 дней * 250 рублей = 52 500 рублей.

За сколько я должен продавать модуль?

Каковы мои риски?

Например я продал модуль человеку за 1 000 рублей, а он оказался редиской.

В результате я получил 1 000 рублей, а потерял 51 500 рублей.

Безусловно, в таком раскладе есть и свои плюсы, например я смог бы регистрироваться на 40% новостных сайтах рунета в 2 клика, без нудного заполнения форм.

Но у нас же коммерческий продукт.

Я сторонник открытого кода, ведь удобно поправить модуль под свои нужды. Вследствие этого такие методы защиты как Zend и IonCube мной были отвергнуты.

Как можно обезопасить себя от рисков?

Сделать работу модуля безопасной на тех сайтах, для которых он был куплен, а остальное переложить на совесть и знания халявщиков.

На мой взгляд это наиболее рациональное решение. Да и мне спокойнее.

Модуль с 1 социальной сетью, поддержкой при настройке и установке стоит 100 рублей, а это чуть дороже пачки сигарет Kent.

При покупке модуля с 10 социальными сетями для нескольких доменов действует гибкая система скидок, которые достигают 50%.

Таким образом мы получаем отличный, стабильный, мультиязычный продукт с открытым исходным кодом, который радует своих покупателей.

Спасибо за внимание.

vk.com/vauth

Ну если при таких условиях: Статья 272 УК РФ. Неправомерный доступ к компьютерной информации, то - да. Пусть использует 😂 😂 😂

И не забывайте, что у Каннуникова DLE Nulled - он сам вор ☝

---------- Добавлено 04.04.2013 в 17:08 ----------

Каннуников, а вы прекратите расписывать свои портянки. У вас с ТСом был уговор и вы его нарушили + преступили закон. Вы, вообще, осознаёте, что на вас уголовная статья повисла? Про вас всё известно и вы ещё компромат на себя продолжаете писать *facepalm Дай Бог, всё обойдётся, если ТС в ментовку не напишет...

Бэкдор найден, вы не отрицаете взлома, т.к. сами признались, и всячески подчёркиваете свою крутость.

---------- Добавлено 04.04.2013 в 17:10 ----------

PS да, забыл спросить проверяющих: в модуле кроме бэкдора есть стучалки?

SiteProd, Вы, случаем, не клон аккаунта Minaev_su? У Вас есть что-то общее в суждениях, тупая упёртость...

А про лиценз DLE, как и многих коммерческих двигов, так это как в анекдоте про алкоголика:

-Пить хочешь?

-Нет.

-Наливать?

-Да.

Это к тому, что так или иначе процентов 80 юзают нули... И смысл гнать "вор - не вор"? Это серьёзное обвинение и за словами надо учиться следить, а то так и зубы можно потерять в процессе эксплуатации языка...

MiraMaX166

Ваш ответ многое разъясняет... Читайте книги, общайтесь больше вне сети, иначе Ваши дети "превзойдут" Вас в интеллекте... За сим, отчаливаю, приятных бесед...

SiteProd, +500. На протяжении чтения всей темы - по моему единственный адекватный человек, который понимает суть проблемы и излагает ее в правильном русле.

MiraMaX166, lifeart, складывается такое ощущение что я чего то не понимаю, как будто с переводчиком сижу (перевожу с не известного мне языка) и получаю совсем иной смысл уговора ТС с разработчиком.

При покупке модуля ТС'ом, разработчик не ограничивал его использование лишь на одном домене, а более того писал что: "на свои сайты ставьте сколько захочется" (отказ в поддержке, ответственности и т.п. не в счет, ибо ТС покупал законченный продукт, и по сути ему возможно эта поддержка на других доменах и не нужна). Какое право Автор скрипта имел ставить в этот модуль какой-то бекдор и не предупредить о данной уязвимости ТС перед покупкой?

Кстати, о какой халяве на протяжении всего топика идет речь? ТС покупал модуль? Покупал. Автор скрипта не ограничивал его использования на других своих доменах? Нет! В чем халява и неправомерное использование скрипта ТС'ом?

Вот если бы автор изначально ограничивал использование скрипта только на одном домене (как cms dle), тогда ДА, ТС был бы не прав. А так..

Реально не понимаю ничего. Хотел такой модуль себе, но после данного топика (кстати искал контакты автора для нескольких вопросов - наткнулся на него), покупать его не собираюсь. Чего и другим советую.

Если кому интересен модуль имеющий 100% функционал VAuth

http://prowebber.ru/buy/buyscripts/15021-loginme-avtorizaciya-cherez-socseti-v-dle.html

http://www.maultalk.com/topic148879.html

Чудесным образом одинаковые функции и количество сетей, как-раз то, которое тут выложили.

А ещё он под IonCube)

Скупой платит дважды, имхо)

P.S. Всех, кому интересна бесплатная авторизация через социальные сети, представленные в модуле LoginMe, приглашаю 21 апреля на страничку модуля VAuth вконтакте. vk.com/vauth

Вас там будет ждать:

1.) Открытый исходный код

2.) Понятная документация

3.) Дружелюбный коллектив

4.) Отсутствие бекдоров/стучалок

5.) Поддержка от автора