Jump to content

Recommended Posts

Тема интересная. И вот, кто скажет, как защитить сайт? Например, нужно к кому то обратиться (дело обычное) и как обезопасить перед тем, как к кому то обращаться? 

Share this post


Link to post
Share on other sites
29 минут назад, Gariks сказал:

Тема интересная. И вот, кто скажет, как защитить сайт? Например, нужно к кому то обратиться (дело обычное) и как обезопасить перед тем, как к кому то обращаться? 


Обезопасить - никак. Попытаться орбащаться к тем, кому доверяете.
Можно сделать бэкап сайта до работы и после, и сравнить, что изменено.

Share this post


Link to post
Share on other sites
7 минут назад, Shureg сказал:

Обезопасить - никак. Попытаться орбащаться к тем, кому доверяете.

 

Что бы кому то доверять, сначала, нужно проверить человека. А что бы проверить, сначала, нужно обратиться к нему ;)

 

10 минут назад, Shureg сказал:

Можно сделать бэкап сайта до работы и после, и сравнить, что изменено

 

Это да. Только, затем весь код сравнивать?)

Share this post


Link to post
Share on other sites
1 минуту назад, Gariks сказал:

Это да. Только, затем весь код сравнивать?)

Ну, а что делать, кому сейчас легко. 
Нет, есть культурные, прогрессивные способы, например, работать через github. Но это само по себе требует квалификации и определенных затрат времени.
Да и ценник за услуги помогающего может резко вырасти.

Share this post


Link to post
Share on other sites

Закину свои 5 копеек.

Тема думаю очень актуальная и т.к. не нашёл вообще ничего похоже на форуме, поэтому только когда припекло, предметно написал свой пост.

Как защититить например сайт от программ плана WGET. Которая качает весь фронтенд.

Как защитить сайт, если даёшь доступ по фтп для работы верстальщику. ?

На самом деле примерно так и делал до этого.

Дал ТЗ, человек выполнил работу. Изначально давал полностью доступ на ФТП. Потом выгружал сайт и спрашивал - что, где менялось. После этого смотрел эти файлы и методом поиска через Тотал искал изменнёный текст. Находил почту, ник, ссылки на свои сайты, и т.п. Вообщем путём логики находил следы.

Понять не могу зачем верстальщики осталвяют свои контактные данные в коде. Что бы к ним обратились или показать свою работу ?

Люди которые обращаются вообще не понимают ничего и смысл таких следов?

 

На данный момент стараюсь работать то принципу. Есть тестовая версия сайта, к которой полный доступ. Есть рабочая версия сайта. На него переношу только те файлы, что правят и не даю вообще доступ не к бд, не к админке и т.п. Файлы перед переносом просматриваю. 

Edited by TALINOR

Share this post


Link to post
Share on other sites
20 минут назад, TALINOR сказал:

Закину свои 5 копеек.

Тема думаю очень актуальная и т.к. не нашёл вообще ничего похоже на форуме, поэтому только когда припекло, предметно написал свой пост.

Как защититить например сайт от программ плана WGET. Которая качает весь фронтенд.

Как защитить сайт, если даёшь доступ по фтп для работы верстальщику. ?

На самом деле примерно так и делал до этого.

Дал ТЗ, человек выполнил работу. Изначально давал полностью доступ на ФТП. Потом выгружал сайт и спрашивал - что, где менялось. После этого смотрел эти файлы и методом поиска через Тотал искал изменнёный текст. Находил почту, ник, ссылки на свои сайты, и т.п. Вообщем путём логики находил следы.

Понять не могу зачем верстальщики осталвяют свои контактные данные в коде. Что бы к ним обратились или показать свою работу ?

Люди которые обращаются вообще не понимают ничего и смысл таких следов?

 

На данный момент стараюсь работать то принципу. Есть тестовая версия сайта, к которой полный доступ. Есть рабочая версия сайта. На него переношу только те файлы, что правят и не даю вообще доступ не к бд, не к админке и т.п. Файлы перед переносом просматриваю. 

это просто некомпетентные специалисты, с которыми вообще потом не стоит работать, они не умеют делать нормально и тем более общаться с клиентом и обращаться с чужим.

случай был недавно с клиентом. в общем он сначала просил одного человека что то сделать, тот сделал, потом еще кое что попросил сделать, тот не смог это сделать, клиент находит меня, обращается, я делаю, получаю оплату - все довольны. на след день клиент мне пишет мол можешь еще раз это проделать? я - а в чем дело то, вчера же только поставил? а я говорит отказался тому платить потому что он не выполнил свою работу, которую ты выполнил, за первую говорит работу оплатил а вот вторую выполнил ты а не он, а он взял и удалил и бд и часть файлов с хоста. хорошо бекап бд был. вот такие черти попадаются

Share this post


Link to post
Share on other sites
6 часов назад, TALINOR сказал:

На данный момент стараюсь работать то принципу. Есть тестовая версия сайта, к которой полный доступ. Есть рабочая версия сайта. На него переношу только те файлы, что правят и не даю вообще доступ не к бд, не к админке и т.п. Файлы перед переносом просматриваю. 

Я бы с вами работать не стал, это невыносимо. Вообще, все свои доработки и пр. стараюсь оформлять в виде окмодов. То есть, оригинальные файлы я вообще не трогаю, а то, что меняется, вы имеете возможность и посмотреть, и отменить. Плюс - это удобно тем, кто придет после меня. К сожалению, это не всегда возможно. Но я стараюсь :)

Edited by Shureg

Share this post


Link to post
Share on other sites
21 час назад, TALINOR сказал:

что правят и не даю вообще доступ не к бд, не к админке

Можно получить доступ имея только фтп. Также можно получить доступ к файлам и бд имея только админку.

Share this post


Link to post
Share on other sites
В 25.12.2020 в 09:11, Shureg сказал:

Правда?  А вот я, скажем, оставлю закладку, которая по запросу с фронта к конкретному товару (отключенному, чтобы кто другой нечаянно не зашел)  зачищает в БД таблицу заказов. Это грубо, конечно, можно и интересней вещи сделать. Расскажите, как вы меня будет фильтровать и мониторить. 

Повторюсь за @spectre это даже не поднасрать - это жиденько пункуть.
У меня все вопросы начинаются с одного главного - бекапы, и с наставления "рут никому не давать".
А по логам найти казуз, в следствии которого магазин лег - не составит труда.

 

Вон тут один известный паренек, думал самый умный, и оставлял в админке у всех своих покупателей дыромаху, и того спалили.

Мало того, после такой закладки и публичной порки с паролями явками и исполнителями - придется с нуля качать репу и долго есть дошик, пока снова нормально заплатят.

  • +1 1

Share this post


Link to post
Share on other sites
5 часов назад, Yoda сказал:

Повторюсь за @spectre это даже не поднасрать - это жиденько пункуть.

И к чему вы это?
А если бы в моем примере был вывод  echo 'hello world'  ,  вы написали бы, что это и вовсе ерунда?
Я ведь не варианты подгадить предлагал, а показал, что против уже созданных закладок менять пароли и пр.  недостаточно. И ваши предложения фильтровать и логировать тоже не спасут. 
"Закладчик" может оставить скрипт с какой угодно задачей, и вы ничем не помешаете ему его исполнить, когда он сочтет это нужным.  Либо бэкапы, либо тотальный пересмотр сайта

Edited by Shureg

Share this post


Link to post
Share on other sites
12 часов назад, Shureg сказал:

И к чему вы это?
А если бы в моем примере был вывод  echo 'hello world'  ,  вы написали бы, что это и вовсе ерунда?
Я ведь не варианты подгадить предлагал, а показал, что против уже созданных закладок менять пароли и пр.  недостаточно. И ваши предложения фильтровать и логировать тоже не спасут. 
"Закладчик" может оставить скрипт с какой угодно задачей, и вы ничем не помешаете ему его исполнить, когда он сочтет это нужным.  Либо бэкапы, либо тотальный пересмотр сайта

Дружище, ну все это я видел.
На паре десятков больших проектов я как домовой - только сайтовой. Без моей визы за шлгабаум никого не пустят. Даже @dinox не авторитет будет.
Ну а герои сказок, могут работать с шурегом. Всем тезисы безопасности не донесешь! (тока вот никто из моих друзей  с шуригами не работает, а работает с проверенными временем сециалистами, за сотрудничество с каждым я отвечаю своей репутацией!

Еще раз повторю - обычно по магазинам работает известный пул реализаторов. И если абстрактный шурег устроит rm rf - то найти концы - не проблема!

Share this post


Link to post
Share on other sites
2 часа назад, Yoda сказал:

...
Ну а герои сказок, могут работать с шурегом. Всем тезисы безопасности не донесешь! (тока вот никто из моих друзей  с шуригами не работает, а работает с проверенными временем сециалистами, за сотрудничество с каждым я отвечаю своей репутацией!

Еще раз повторю - обычно по магазинам работает известный пул реализаторов. И если абстрактный шурег устроит rm rf - то найти концы - не проблема!


Если абстрактный йода хочет обсудить абстрактного шурига, путь пишет ему в личку, и не засоряет тему.
ТС не спрашивал, как йода работает. ТС спрашивал, что делать, если есть подозрение на закладки. 

Edited by Shureg

Share this post


Link to post
Share on other sites

Что бы не возникало глупых вопросов @Yoda верно уже написал несколько тезисов выше.

А кроме прочего научитесь уже использовать git на своих проектах.

 

С какими разработчиками работать, если проверенных нет и не хочеться попасть на кидалу?

Скажем так на форуме создайте ветку, Вам насоветуют такие парни как Yoda, Spectr, Stickpro нормальных проверенных взрослых специалистов. Да будет не дёшево, но за гарантии и качество есть своя цена.

 

Я себя отношу к адекватным разработчикам и беру от 20$/час.

Могу гарантировать безопасность работы, при выполнении Вами определенных правил.

Share this post


Link to post
Share on other sites
2 часа назад, ocdev_pro сказал:

Что бы не возникало глупых вопросов @Yoda верно уже написал несколько тезисов выше.

А кроме прочего научитесь уже использовать git на своих проектах.

 

С какими разработчиками работать, если проверенных нет и не хочеться попасть на кидалу?

Скажем так на форуме создайте ветку, Вам насоветуют такие парни как Yoda, Spectr, Stickpro нормальных проверенных взрослых специалистов. Да будет не дёшево, но за гарантии и качество есть своя цена.

 

Я себя отношу к адекватным разработчикам и беру от 20$/час.

Могу гарантировать безопасность работы, при выполнении Вами определенных правил.

А я не разработчик.

Видел тексты недоджуниор не знаю пхп.

Так вот все правда. Пока ядро линукса пулл-реквестов не наделаю. Ну какой с меня разработчик.

А если по факту - то php +  mysql + nginx  - это такой примитивный стек, в котором все, что может вызвать вопросы, по стопицот раз разжевано, что надо быть реально дебилом, чтобы не стать грамотным специалистом, за какое то вменяемое время, обладая базовым пониманием.... Подчеркиваю - не с бочки с селедкой перейти в программисты.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.