Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Защита сайта


TALINOR

Recommended Posts

Тема интересная. И вот, кто скажет, как защитить сайт? Например, нужно к кому то обратиться (дело обычное) и как обезопасить перед тем, как к кому то обращаться? 

Надіслати
Поділитися на інших сайтах


29 минут назад, Gariks сказал:

Тема интересная. И вот, кто скажет, как защитить сайт? Например, нужно к кому то обратиться (дело обычное) и как обезопасить перед тем, как к кому то обращаться? 


Обезопасить - никак. Попытаться орбащаться к тем, кому доверяете.
Можно сделать бэкап сайта до работы и после, и сравнить, что изменено.

Надіслати
Поділитися на інших сайтах


7 минут назад, Shureg сказал:

Обезопасить - никак. Попытаться орбащаться к тем, кому доверяете.

 

Что бы кому то доверять, сначала, нужно проверить человека. А что бы проверить, сначала, нужно обратиться к нему ;)

 

10 минут назад, Shureg сказал:

Можно сделать бэкап сайта до работы и после, и сравнить, что изменено

 

Это да. Только, затем весь код сравнивать?)

Надіслати
Поділитися на інших сайтах


1 минуту назад, Gariks сказал:

Это да. Только, затем весь код сравнивать?)

Ну, а что делать, кому сейчас легко. 
Нет, есть культурные, прогрессивные способы, например, работать через github. Но это само по себе требует квалификации и определенных затрат времени.
Да и ценник за услуги помогающего может резко вырасти.

Надіслати
Поділитися на інших сайтах


Закину свои 5 копеек.

Тема думаю очень актуальная и т.к. не нашёл вообще ничего похоже на форуме, поэтому только когда припекло, предметно написал свой пост.

Как защититить например сайт от программ плана WGET. Которая качает весь фронтенд.

Как защитить сайт, если даёшь доступ по фтп для работы верстальщику. ?

На самом деле примерно так и делал до этого.

Дал ТЗ, человек выполнил работу. Изначально давал полностью доступ на ФТП. Потом выгружал сайт и спрашивал - что, где менялось. После этого смотрел эти файлы и методом поиска через Тотал искал изменнёный текст. Находил почту, ник, ссылки на свои сайты, и т.п. Вообщем путём логики находил следы.

Понять не могу зачем верстальщики осталвяют свои контактные данные в коде. Что бы к ним обратились или показать свою работу ?

Люди которые обращаются вообще не понимают ничего и смысл таких следов?

 

На данный момент стараюсь работать то принципу. Есть тестовая версия сайта, к которой полный доступ. Есть рабочая версия сайта. На него переношу только те файлы, что правят и не даю вообще доступ не к бд, не к админке и т.п. Файлы перед переносом просматриваю. 

Змінено користувачем TALINOR
Надіслати
Поділитися на інших сайтах


20 минут назад, TALINOR сказал:

Закину свои 5 копеек.

Тема думаю очень актуальная и т.к. не нашёл вообще ничего похоже на форуме, поэтому только когда припекло, предметно написал свой пост.

Как защититить например сайт от программ плана WGET. Которая качает весь фронтенд.

Как защитить сайт, если даёшь доступ по фтп для работы верстальщику. ?

На самом деле примерно так и делал до этого.

Дал ТЗ, человек выполнил работу. Изначально давал полностью доступ на ФТП. Потом выгружал сайт и спрашивал - что, где менялось. После этого смотрел эти файлы и методом поиска через Тотал искал изменнёный текст. Находил почту, ник, ссылки на свои сайты, и т.п. Вообщем путём логики находил следы.

Понять не могу зачем верстальщики осталвяют свои контактные данные в коде. Что бы к ним обратились или показать свою работу ?

Люди которые обращаются вообще не понимают ничего и смысл таких следов?

 

На данный момент стараюсь работать то принципу. Есть тестовая версия сайта, к которой полный доступ. Есть рабочая версия сайта. На него переношу только те файлы, что правят и не даю вообще доступ не к бд, не к админке и т.п. Файлы перед переносом просматриваю. 

это просто некомпетентные специалисты, с которыми вообще потом не стоит работать, они не умеют делать нормально и тем более общаться с клиентом и обращаться с чужим.

случай был недавно с клиентом. в общем он сначала просил одного человека что то сделать, тот сделал, потом еще кое что попросил сделать, тот не смог это сделать, клиент находит меня, обращается, я делаю, получаю оплату - все довольны. на след день клиент мне пишет мол можешь еще раз это проделать? я - а в чем дело то, вчера же только поставил? а я говорит отказался тому платить потому что он не выполнил свою работу, которую ты выполнил, за первую говорит работу оплатил а вот вторую выполнил ты а не он, а он взял и удалил и бд и часть файлов с хоста. хорошо бекап бд был. вот такие черти попадаются

Надіслати
Поділитися на інших сайтах

6 часов назад, TALINOR сказал:

На данный момент стараюсь работать то принципу. Есть тестовая версия сайта, к которой полный доступ. Есть рабочая версия сайта. На него переношу только те файлы, что правят и не даю вообще доступ не к бд, не к админке и т.п. Файлы перед переносом просматриваю. 

Я бы с вами работать не стал, это невыносимо. Вообще, все свои доработки и пр. стараюсь оформлять в виде окмодов. То есть, оригинальные файлы я вообще не трогаю, а то, что меняется, вы имеете возможность и посмотреть, и отменить. Плюс - это удобно тем, кто придет после меня. К сожалению, это не всегда возможно. Но я стараюсь :)

Змінено користувачем Shureg
Надіслати
Поділитися на інших сайтах


21 час назад, TALINOR сказал:

что правят и не даю вообще доступ не к бд, не к админке

Можно получить доступ имея только фтп. Также можно получить доступ к файлам и бд имея только админку.

Надіслати
Поділитися на інших сайтах

В 25.12.2020 в 09:11, Shureg сказал:

Правда?  А вот я, скажем, оставлю закладку, которая по запросу с фронта к конкретному товару (отключенному, чтобы кто другой нечаянно не зашел)  зачищает в БД таблицу заказов. Это грубо, конечно, можно и интересней вещи сделать. Расскажите, как вы меня будет фильтровать и мониторить. 

Повторюсь за @spectre это даже не поднасрать - это жиденько пункуть.
У меня все вопросы начинаются с одного главного - бекапы, и с наставления "рут никому не давать".
А по логам найти казуз, в следствии которого магазин лег - не составит труда.

 

Вон тут один известный паренек, думал самый умный, и оставлял в админке у всех своих покупателей дыромаху, и того спалили.

Мало того, после такой закладки и публичной порки с паролями явками и исполнителями - придется с нуля качать репу и долго есть дошик, пока снова нормально заплатят.

  • +1 1
Надіслати
Поділитися на інших сайтах


5 часов назад, Yoda сказал:

Повторюсь за @spectre это даже не поднасрать - это жиденько пункуть.

И к чему вы это?
А если бы в моем примере был вывод  echo 'hello world'  ,  вы написали бы, что это и вовсе ерунда?
Я ведь не варианты подгадить предлагал, а показал, что против уже созданных закладок менять пароли и пр.  недостаточно. И ваши предложения фильтровать и логировать тоже не спасут. 
"Закладчик" может оставить скрипт с какой угодно задачей, и вы ничем не помешаете ему его исполнить, когда он сочтет это нужным.  Либо бэкапы, либо тотальный пересмотр сайта

Змінено користувачем Shureg
Надіслати
Поділитися на інших сайтах


12 часов назад, Shureg сказал:

И к чему вы это?
А если бы в моем примере был вывод  echo 'hello world'  ,  вы написали бы, что это и вовсе ерунда?
Я ведь не варианты подгадить предлагал, а показал, что против уже созданных закладок менять пароли и пр.  недостаточно. И ваши предложения фильтровать и логировать тоже не спасут. 
"Закладчик" может оставить скрипт с какой угодно задачей, и вы ничем не помешаете ему его исполнить, когда он сочтет это нужным.  Либо бэкапы, либо тотальный пересмотр сайта

Дружище, ну все это я видел.
На паре десятков больших проектов я как домовой - только сайтовой. Без моей визы за шлгабаум никого не пустят. Даже @dinox не авторитет будет.
Ну а герои сказок, могут работать с шурегом. Всем тезисы безопасности не донесешь! (тока вот никто из моих друзей  с шуригами не работает, а работает с проверенными временем сециалистами, за сотрудничество с каждым я отвечаю своей репутацией!

Еще раз повторю - обычно по магазинам работает известный пул реализаторов. И если абстрактный шурег устроит rm rf - то найти концы - не проблема!

Надіслати
Поділитися на інших сайтах


2 часа назад, Yoda сказал:

...
Ну а герои сказок, могут работать с шурегом. Всем тезисы безопасности не донесешь! (тока вот никто из моих друзей  с шуригами не работает, а работает с проверенными временем сециалистами, за сотрудничество с каждым я отвечаю своей репутацией!

Еще раз повторю - обычно по магазинам работает известный пул реализаторов. И если абстрактный шурег устроит rm rf - то найти концы - не проблема!


Если абстрактный йода хочет обсудить абстрактного шурига, путь пишет ему в личку, и не засоряет тему.
ТС не спрашивал, как йода работает. ТС спрашивал, что делать, если есть подозрение на закладки. 

Змінено користувачем Shureg
Надіслати
Поділитися на інших сайтах


Что бы не возникало глупых вопросов @Yoda верно уже написал несколько тезисов выше.

А кроме прочего научитесь уже использовать git на своих проектах.

 

С какими разработчиками работать, если проверенных нет и не хочеться попасть на кидалу?

Скажем так на форуме создайте ветку, Вам насоветуют такие парни как Yoda, Spectr, Stickpro нормальных проверенных взрослых специалистов. Да будет не дёшево, но за гарантии и качество есть своя цена.

 

Я себя отношу к адекватным разработчикам и беру от 20$/час.

Могу гарантировать безопасность работы, при выполнении Вами определенных правил.

Надіслати
Поділитися на інших сайтах

2 часа назад, ocdev_pro сказал:

Что бы не возникало глупых вопросов @Yoda верно уже написал несколько тезисов выше.

А кроме прочего научитесь уже использовать git на своих проектах.

 

С какими разработчиками работать, если проверенных нет и не хочеться попасть на кидалу?

Скажем так на форуме создайте ветку, Вам насоветуют такие парни как Yoda, Spectr, Stickpro нормальных проверенных взрослых специалистов. Да будет не дёшево, но за гарантии и качество есть своя цена.

 

Я себя отношу к адекватным разработчикам и беру от 20$/час.

Могу гарантировать безопасность работы, при выполнении Вами определенных правил.

А я не разработчик.

Видел тексты недоджуниор не знаю пхп.

Так вот все правда. Пока ядро линукса пулл-реквестов не наделаю. Ну какой с меня разработчик.

А если по факту - то php +  mysql + nginx  - это такой примитивный стек, в котором все, что может вызвать вопросы, по стопицот раз разжевано, что надо быть реально дебилом, чтобы не стать грамотным специалистом, за какое то вменяемое время, обладая базовым пониманием.... Подчеркиваю - не с бочки с селедкой перейти в программисты.

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.