在代碼里面故意留個漏洞，違法嗎？

我看到了三個非常有意思的回答，分享給大家一看。

首先是這個為了防止項(xiàng)目交付后收不到尾款埋下后門的回答：

• 答主：特立獨(dú)行的豬

• 鏈接：https://www.zhihu.com/question/531724027/answer/2487270093

早年給某臺企做外包項(xiàng)目，定制一個Android系統(tǒng)的ROM。開發(fā)費(fèi)用16萬，一年期維護(hù)費(fèi)用2萬。

開發(fā)費(fèi)用分三期打款，訂金4萬，生產(chǎn)環(huán)境ROM交付8萬，驗(yàn)收并交付源碼后打尾款4萬。

生產(chǎn)環(huán)境ROM交付前留了一手，加了時間戳校驗(yàn)，混雜在驅(qū)動程序里，6個月后不能開機(jī)。

果不其然，過了4個月對方也沒把尾款打過來，顯然是用著沒什么毛病，源碼不打算要了，維護(hù)費(fèi)用也一起省了。每次催款都用各種理由搪塞。

又過了2個月，埋的雷爆了，他們的下游客戶開始各種投訴。這才把剩余款項(xiàng)收回來。

懶得說這家公司的名字，挺有名的公司，估計(jì)很多人用過他們的產(chǎn)品。

如果不留這一手，估計(jì)就要吃啞巴虧了，畢竟臺灣省的官司打起來費(fèi)勁兒。在這種情況下，這叫自我保護(hù)，不違法。

這個回答讓我想起了多年前我接私活的時候，給別人開發(fā)的軟件交付后就玩消失的經(jīng)歷，那時候年輕，不知道做個時間限制啥的···不說了，說多了都是淚。

話說回來，真像這位答主這樣弄個后門，違不違法，答主說了不算，還得具體問題具體分析，法院說了才算，不過這種做法還是比較危險(xiǎn)，慎重。

那到底法律如何界定這種問題呢，來看一下網(wǎng)絡(luò)安全界的大佬TK教主的回答：

• 答主：tombkeeper

• 鏈接：https://www.zhihu.com/question/531724027/answer/2539891264

我國沒有僅針對后門本身進(jìn)行處罰的法律。主要原因是“后門”難以客觀界定。

比如，自動更新機(jī)制是不是后門？熱補(bǔ)丁機(jī)制是不是后門？遠(yuǎn)程維護(hù)機(jī)制是不是后門？家里寬帶有問題，你打運(yùn)營商客服電話，運(yùn)營商那邊就能遠(yuǎn)程調(diào)整你的光貓——這是不是后門？

所以現(xiàn)在法律在處理后門相關(guān)問題時，是根據(jù)利用行為定罪的。你留了后門，一輩子不用，沒事。用來干壞事了，那就根據(jù)你具體干了什么壞事定罪量刑。

代碼里面藏后門屬于初級玩家，來看一下高級的后門長啥樣：

• 答主：滄海

• 鏈接：https://www.zhihu.com/question/531724027/answer/2487130220

Ken Thompson在貝爾實(shí)驗(yàn)室的時候，他總是能在一臺裝了Unix的服務(wù)器上黑進(jìn)他人的賬戶，不管他人怎么修改賬戶密碼都沒有用，當(dāng)時貝爾實(shí)驗(yàn)室里面聚集的都是智商爆表、專業(yè)知識過硬的科學(xué)家，Ken的行為無疑讓他們非常不爽。

有個人分析了Unix的代碼之后，找到了后門，重新編譯部署了Uinx，但是讓他們崩潰的事情再次發(fā)生，Ken還是能黑進(jìn)他們的賬戶，這個事情讓他們百思不得其解。

一直到1983年，Ken獲得圖靈獎，在大會上解開了這個秘密，原來這個密碼后門是通過他寫的一個C編譯器植入的，而當(dāng)時那臺Unix的機(jī)器必須通過這個C編譯器編譯之后才能運(yùn)行，所以不管unix怎么修改都沒有用，畢竟是要編譯的。

前幾年發(fā)生的Xcode Ghost事件，就是用類似的方式操作的，所以真正的大神留的黑洞，一般人根本防不住，除非遇到同樣的大神，而且人家告訴你在哪里了，才有可能破解。這就是為啥有的單位，人家不連外網(wǎng)，因?yàn)楦静恢姥b的系統(tǒng)有沒有別人留下的漏洞。

低級的代碼層次

中級的在工具鏈上

高級的在編譯器層次

終極的在機(jī)器內(nèi)部，這個根本防不勝防。

所以對程序員好一點(diǎn)。

這讓我想起了不久前發(fā)生的一件事：有黑客組織在IDA里面投毒。IDA是安全人員逆向分析的重要軟件，給這里面投毒，屬于定向攻擊搞安全的人了，真是防不勝防啊。

各位鐵汁們，你們有過在代碼里藏后門的經(jīng)驗(yàn)嗎，評論區(qū)說說看呢？

推薦閱讀

• 是什么讓Redis“氣急敗壞”回?fù)簦?3年來，總有人想替Redis換套新架構(gòu)！
  
• IntelliJ項(xiàng)目遷移到Java 17！2022.3 版本開始必須Java 17！
  
• 微軟出手，拯救“四分五裂”的Markdown！
  

你好，我是程序猿DD，10年開發(fā)老司機(jī)、阿里云MVP、騰訊云TVP、出過書創(chuàng)過業(yè)、國企4年互聯(lián)網(wǎng)6年。從普通開發(fā)到架構(gòu)師、再到合伙人。一路過來，給我最深的感受就是一定要不斷學(xué)習(xí)并關(guān)注前沿。只要你能堅(jiān)持下來，多思考、少抱怨、勤動手，就很容易實(shí)現(xiàn)彎道超車！所以，不要問我現(xiàn)在干什么是否來得及。如果你看好一個事情，一定是堅(jiān)持了才能看到希望，而不是看到希望才去堅(jiān)持。相信我，只要堅(jiān)持下來，你一定比現(xiàn)在更好！如果你還沒什么方向，可以先關(guān)注我，這里會經(jīng)常分享一些前沿資訊，幫你積累彎道超車的資本。