 |
|
23/09/2005
Как говориться : если у вас паранойя - это не значит что вас никто не преследует :)
Пароли надо поменять. Но если есть бэкдор - не поможет. Бекдор делают не обиженные сотрудники, а маньяки. Маньяки не более распространены чем те которые в парке оголяются и прутся. Вы таких видели своими глазами? Ну вот. Не переживайте. Все будет ок.
Или у вас уже есть "звоночки"? кто -то предлагает охрану сайта за деньги, а если не наймете - то хуже будет?
Короче: валерьянка. Или давайте выкладывайте что за звоночки звенят.
Пароли надо поменять. Но если есть бэкдор - не поможет. Бекдор делают не обиженные сотрудники, а маньяки. Маньяки не более распространены чем те которые в парке оголяются и прутся. Вы таких видели своими глазами? Ну вот. Не переживайте. Все будет ок.
Или у вас уже есть "звоночки"? кто -то предлагает охрану сайта за деньги, а если не наймете - то хуже будет?
Короче: валерьянка. Или давайте выкладывайте что за звоночки звенят.
|
|
|
24/09/2005
Если человек сразу продумывает тему, то он, скорее всего, намеренно допустит пару неочевидных ошибок в скрипте, с помощью которых потом сможет установить на сайте RemView, например.
Простая проверка кода не поможет, смотреть должен квалифицированный человек, способный заметить не только явный бэкдор, но и несекьюрный алгоритм.
IMHO, если есть такие сомнения, то лучше сразу обратиться в какую-нибудь веб-студию покрепче, и пусть они поддерживают ваш магазин, и голова болит у их админов.
Простая проверка кода не поможет, смотреть должен квалифицированный человек, способный заметить не только явный бэкдор, но и несекьюрный алгоритм.
IMHO, если есть такие сомнения, то лучше сразу обратиться в какую-нибудь веб-студию покрепче, и пусть они поддерживают ваш магазин, и голова болит у их админов.
|
|
|
26/09/2005
Как сказал один человек: ".. знаешь, кто хуже врагов и предателей? - Параноики." ..
Друзья, действительно, как тут было сказано, заказывать проекты нужно у солидных фирм и людей. А зодно можно и вторично нанять человека для проверки кодов :) .. и третьего.. и четвертого... Не страдать параноей сказано!! И не общаться с кем попало :)
Друзья, действительно, как тут было сказано, заказывать проекты нужно у солидных фирм и людей. А зодно можно и вторично нанять человека для проверки кодов :) .. и третьего.. и четвертого... Не страдать параноей сказано!! И не общаться с кем попало :)
|
|
|
26/09/2005
Скажу как человек с немалым бэкграундом в программинге, что бэкдор - вещь частая. В основном, не корысти ради, а исключительно из-за удобства.
Хотите пример? При доработках проекта часто необходимо обновлять структуру БД, вводить новые значения в справочники. Обновление заказчик производит собсвенными силами, т.к. это его сервера. Но после обновлений у заказчика появляются ошибки, а на разработческом клоне все работает. Прямого доступа к базе конечно нет. А посмотреть, что они там обновили надо. Конечно, по ТЗ такого быть не должно, но...
И еще: если программер выполняет индивидуальный заказ с оплатой по факту, то бэкдор - это его гарантия на случай, если его кинут.
Согласен, что паранойей страдать не стоит, но и игнорировать методы предохранения :) тоже не стоит.
Хотите пример? При доработках проекта часто необходимо обновлять структуру БД, вводить новые значения в справочники. Обновление заказчик производит собсвенными силами, т.к. это его сервера. Но после обновлений у заказчика появляются ошибки, а на разработческом клоне все работает. Прямого доступа к базе конечно нет. А посмотреть, что они там обновили надо. Конечно, по ТЗ такого быть не должно, но...
И еще: если программер выполняет индивидуальный заказ с оплатой по факту, то бэкдор - это его гарантия на случай, если его кинут.
Согласен, что паранойей страдать не стоит, но и игнорировать методы предохранения :) тоже не стоит.
|
|
|
26/09/2005
Мда... Защитить код автора отсамого автора - это совсем смешно. Эти "задние двери, жучки и паучки" есть в каждом коде.
Уже говорили в этой ветке - самый лучший способ не иметь головной боли - это договор на передачу имущественных прав на код. Естесственно, должен быть наемный и оплачиваемый труд. К тому же в ТЗ обязательно должен быть пункт о возможности поддержки и изменению кода третьими лицами (то бишь, комментарии и подробное описание всех операторов должно присутствовать, и на родной речи заказчика:) )
Уже говорили в этой ветке - самый лучший способ не иметь головной боли - это договор на передачу имущественных прав на код. Естесственно, должен быть наемный и оплачиваемый труд. К тому же в ТЗ обязательно должен быть пункт о возможности поддержки и изменению кода третьими лицами (то бишь, комментарии и подробное описание всех операторов должно присутствовать, и на родной речи заказчика:) )
|
|
|
26/09/2005
Арелав, если с программера требовать подробные комментарии и описание всех операторов, да еще на родной речи заказчика, то боюсь стоимость заказа удвоится.
В теории в программинге много чего должно быть, однако по жизни реально рабочие проекты делаются на коленке, т.к. на то, как надо обычно нет времени, людей, и денег у заказчика.
Раньше я думал, что это войственно только для копеечных проектов, а у IT-грандов все по-взрослому. Я работал в двух топовых IT-компаниях, участвовал в нескольких проектах для акул российского бизнеса с бюждетами проектов свыше лимона долларов и могу открыть страшную тайну, что лучше солидные конторы делают только юзер-интерфейс и внешнюю документацию. Начинку лучше делают небольшие профессиональные команды или даже одиночки. Качество солидных контор - это миф. За этот тезис коллеги по цеху меня конечно оплюют, но бог им судья. В конце концов, хорошая программа - это не та, которая без ошибок и удобна, а та, которая устраивает клиента за те деньги, которые он на нее потратил.
В теории в программинге много чего должно быть, однако по жизни реально рабочие проекты делаются на коленке, т.к. на то, как надо обычно нет времени, людей, и денег у заказчика.
Раньше я думал, что это войственно только для копеечных проектов, а у IT-грандов все по-взрослому. Я работал в двух топовых IT-компаниях, участвовал в нескольких проектах для акул российского бизнеса с бюждетами проектов свыше лимона долларов и могу открыть страшную тайну, что лучше солидные конторы делают только юзер-интерфейс и внешнюю документацию. Начинку лучше делают небольшие профессиональные команды или даже одиночки. Качество солидных контор - это миф. За этот тезис коллеги по цеху меня конечно оплюют, но бог им судья. В конце концов, хорошая программа - это не та, которая без ошибок и удобна, а та, которая устраивает клиента за те деньги, которые он на нее потратил.
|
|
|
26/09/2005
Самое главное, закрыть ФТП по IP адресу, после создания сайта через .ftpaccess
закрыть страницу администрирования через php (блок на IP) и через .htaccess/
Лучше сделать это через Хостера, чтобы файлы никто кроме админов Хостинга править не мог. Даже вы.
2. Поанализировать код php во всех файлах!
3. Пригнать X-Спайдер на свой сайт, для того, чтобы он его проанализировал.
4. Если прием электронной валюты - НИ В КОЕМ СЛУЧАЕ не оставлять на кошельках крупные суммы.
5. Подумать, все ли вы сделали и все ли проверили. На последок, сменить все коды доступов.
P.S. Нет гарантии!!! Что. проверяющий орган не добавит свою "ДЫРУ" в ваш сайт, даже если там её и не было!
Если заинтересует все это более подробно - стоимость примерная 200 у.е. и вас "не сломают". Проверим ВСЁ.
закрыть страницу администрирования через php (блок на IP) и через .htaccess/
Лучше сделать это через Хостера, чтобы файлы никто кроме админов Хостинга править не мог. Даже вы.
2. Поанализировать код php во всех файлах!
3. Пригнать X-Спайдер на свой сайт, для того, чтобы он его проанализировал.
4. Если прием электронной валюты - НИ В КОЕМ СЛУЧАЕ не оставлять на кошельках крупные суммы.
5. Подумать, все ли вы сделали и все ли проверили. На последок, сменить все коды доступов.
P.S. Нет гарантии!!! Что. проверяющий орган не добавит свою "ДЫРУ" в ваш сайт, даже если там её и не было!
Если заинтересует все это более подробно - стоимость примерная 200 у.е. и вас "не сломают". Проверим ВСЁ.
|
|
|
27/09/2005
А давайте посмотрим на этот вопрос с другой стороны. Большая часть советов - это как выйти из такой (теоретической) ситуации...
Я бы порекомендовал подумать, как в ней не окащзаться...
Один совет уже упоминался - это договор. По опыту прошлых работ я теперь вообще ни шагу не сделаю без договора, неважно, мне закажут что-либо, или я закажу у кого-либо.
Думаю, всё-же значительная часть гарантии добросовестности девелопера - это справедливая оплата его труда. Увы, и мой опыт, и опыт многих других веб-мастеров показывает, что у нас любят не заплатить за сделанное.
Далее, даже крупные фирмы, и с именем тоже не любят перетруждаться и очень часто не любят платить своим сотрудникам. Так что имя фирмы - это довольно таки слабое утешение в случае всяких форс-мажоров. Более того, имя фирмы не означает, что заказчик должен выключить свои мозги. Ведь 100% гарантию никто ни от чего дать не может (кроме похоронного бюро ;) ).
Г-н Figu правильно взял в кавычки <не сломают> - на безопасность надо тоже ПОСТОЯННО выделять и средства, и силы и время.
Очень сильно облегчить жизнь может использование широко распространённых фришных движков, потому как у наиболее популярных уже есть довольно большое коммьюнити юзеров/девелоперов.
Там можно будет и грамотную консультацию получить, и вообще узнать много интересного.
Но всёж в итоге еще раз хочу подчеркнуть в 99% подламывают тех, кто сам виновать в этом.
Я бы порекомендовал подумать, как в ней не окащзаться...
Один совет уже упоминался - это договор. По опыту прошлых работ я теперь вообще ни шагу не сделаю без договора, неважно, мне закажут что-либо, или я закажу у кого-либо.
Думаю, всё-же значительная часть гарантии добросовестности девелопера - это справедливая оплата его труда. Увы, и мой опыт, и опыт многих других веб-мастеров показывает, что у нас любят не заплатить за сделанное.
Далее, даже крупные фирмы, и с именем тоже не любят перетруждаться и очень часто не любят платить своим сотрудникам. Так что имя фирмы - это довольно таки слабое утешение в случае всяких форс-мажоров. Более того, имя фирмы не означает, что заказчик должен выключить свои мозги. Ведь 100% гарантию никто ни от чего дать не может (кроме похоронного бюро ;) ).
Г-н Figu правильно взял в кавычки <не сломают> - на безопасность надо тоже ПОСТОЯННО выделять и средства, и силы и время.
Очень сильно облегчить жизнь может использование широко распространённых фришных движков, потому как у наиболее популярных уже есть довольно большое коммьюнити юзеров/девелоперов.
Там можно будет и грамотную консультацию получить, и вообще узнать много интересного.
Но всёж в итоге еще раз хочу подчеркнуть в 99% подламывают тех, кто сам виновать в этом.
|
|
|
28/09/2005
Готовые движки имеют готовые баги. Тот же С-панель хостинга у нас ломали уже ни раз. А глупую панель Мастерхоста самодельную - ни разу!
|
|
|
28/09/2005
С-Panel можно сломать только если на хостинге плохой админ. Это касается любой панели управления.
|
|
|
28/09/2005
Вот же человек! Слышит то, что хочет услышать!
Кто сказал, что готовые движки не надо дорабатывать напильником?
Что же до хостнига - так кто мешает вложиться по-человечески в colocation?
Кто сказал, что готовые движки не надо дорабатывать напильником?
Что же до хостнига - так кто мешает вложиться по-человечески в colocation?
|
|
|
28/09/2005
Платить ему зарплату (хорошую) за дальнейшую поддержку проэкта и естественно вводить изменения чтобы он без дела не сидел.
|
|
|
17/03/2006
Мой сайт ломают уже год!
Каждый раз находят новую лазейку!
Главная из них но долгая подбор пароля на FTP так это всегда в десятку!
На сайте лежат пароли к админу или к базе в которой пароли и тд.
Первое что нужно сделать это длинный пароль на FTP.
Есле уж подбирут так куча времени пройдет!
Каждый раз находят новую лазейку!
Главная из них но долгая подбор пароля на FTP так это всегда в десятку!
На сайте лежат пароли к админу или к базе в которой пароли и тд.
Первое что нужно сделать это длинный пароль на FTP.
Есле уж подбирут так куча времени пройдет!
|
|
|
18/03/2006
1. Челу создавшему интересен результат работы его детяща, а именно - клиентская база например.
2. Значит можно подворовыавть клиенскую базу незаметно дял заказчика
3. Не должно быть прямых лазеек и бэкдоров.
4. Пример реализации: сделать в какой-либо форме для закачки файлов на сайте, которая в общеим доступе, напр. заказчка картинок или фотографий или на форуме,
такую штуку: не проверять что закачивается нужный формат, напр. .jpeg или .gif, и не прописать в .htaccess запрет на исполнение в этой директории php-файлов.
После чего закачиваем пшп-скрипт, который просматривает директории, находим файл с паролями, делаем скачку данных из базы, удаляем логи. все. повторяем процедуру по необходимости.
А жертва траит силы на поиск клиентов и т.д., а тут просто можно предложить конкуренту их по 10$ за штуку, но может и подешевле.
2. Значит можно подворовыавть клиенскую базу незаметно дял заказчика
3. Не должно быть прямых лазеек и бэкдоров.
4. Пример реализации: сделать в какой-либо форме для закачки файлов на сайте, которая в общеим доступе, напр. заказчка картинок или фотографий или на форуме,
такую штуку: не проверять что закачивается нужный формат, напр. .jpeg или .gif, и не прописать в .htaccess запрет на исполнение в этой директории php-файлов.
После чего закачиваем пшп-скрипт, который просматривает директории, находим файл с паролями, делаем скачку данных из базы, удаляем логи. все. повторяем процедуру по необходимости.
А жертва траит силы на поиск клиентов и т.д., а тут просто можно предложить конкуренту их по 10$ за штуку, но может и подешевле.
Форум закрыт. Написание сообщений ограничено
последние материалы
23/04/2024
Новое на форуме
06:21
23/04/2024
23/04/2024