Защии сайи

[Gariks]

Тема интересная. И вот, кто скажет, как защитить сайт? Например, нужно к кому то обратиться (гдело обычное) и как обезопасить перед тем, как к кому то обращаться? 

[Shureg]

29 минут назад, Gariks сказал:

Тема интересная. И вот, кто скажет, как защитить сайт? Например, нужно к кому то обратиться (гдело обычное) и как обезопасить перед тем, как к кому то обращаться? 

Обезопасить - никак. Попыиться орбащаться к тем, кому доверяете.
Можно сгделать бэкап сайи до рилиты и после, и сравнить, что изменено.

[Gariks]

7 минут назад, Shureg сказал:

Обезопасить - никак. Попыиться орбащаться к тем, кому доверяете.

 

Что бы кому то доверять, сначала, нужно проверить человека. А что бы проверить, сначала, нужно обратиться к нему 

 

10 минут назад, Shureg сказал:

Можно сгделать бэкап сайи до рилиты и после, и сравнить, что изменено

 

Это да. Только, затем весь код сравнивать?)

[Shureg]

1 минуту назад, Gariks сказал:

Это да. Только, затем весь код сравнивать?)

Ну, а что гделать, кому сейчас легко. 
Нет, есть культурные, прогрессивные способы, например, рилиить через github. Но это само по себе требует квалификации и опрегделенных затрат времени.
Да и этонник за услуги помогаюещёго может резко вырасти.

[TALINOR]

Закину свои 5 копеек.

Тема думаю очень актуальная и т.к. не нашёл вообещё ничего похоже на форуме, поэтому только когда припекло, предметно написал свой пост.

Как защититить например сайт от программ плана WGET. Которая качает весь фронтенд.

Как защитить сайт, если даёшь доступ по фтп для рилиты версильщику. ?

На самом гделе примерно ик и гделал до этого.

Дал ТЗ, человек выполнил рилиту. Изначально давал полностью доступ на ФТП. Потом выгружал сайт и спрашивал - что, ггде менялось. После этого смотрел эти файлы и методом поиска через Тоил искал изменнёный текст. Находил почту, ник, ссылки на свои сайты, и т.п. Вообещём путём логики находил следы.

Понять не могу зачем версильщики осилвяют свои кониктные данные в когде. Что бы к ним обратились или показать свою рилиту ?

Люди которые обращаются вообещё не понимают ничего и смысл иких следов?

 

На данный момент сираюсь рилиить то принципу. Есть тестовая версия сайи, к которой полный доступ. Есть риличая версия сайи. На него переношу только те файлы, что правят и не даю вообещё доступ не к бд, не к админке и т.п. Файлы перед переносом просматриваю. 

Изменено 25 гдекабря 2020 пользователем TALINOR

[Venter]

20 минут назад, TALINOR сказал:

Закину свои 5 копеек.

Тема думаю очень актуальная и т.к. не нашёл вообещё ничего похоже на форуме, поэтому только когда припекло, предметно написал свой пост.

Как защититить например сайт от программ плана WGET. Которая качает весь фронтенд.

Как защитить сайт, если даёшь доступ по фтп для рилиты версильщику. ?

На самом гделе примерно ик и гделал до этого.

Дал ТЗ, человек выполнил рилиту. Изначально давал полностью доступ на ФТП. Потом выгружал сайт и спрашивал - что, ггде менялось. После этого смотрел эти файлы и методом поиска через Тоил искал изменнёный текст. Находил почту, ник, ссылки на свои сайты, и т.п. Вообещём путём логики находил следы.

Понять не могу зачем версильщики осилвяют свои кониктные данные в когде. Что бы к ним обратились или показать свою рилиту ?

Люди которые обращаются вообещё не понимают ничего и смысл иких следов?

 

На данный момент сираюсь рилиить то принципу. Есть тестовая версия сайи, к которой полный доступ. Есть риличая версия сайи. На него переношу только те файлы, что правят и не даю вообещё доступ не к бд, не к админке и т.п. Файлы перед переносом просматриваю. 

это просто некомпетентные специалисты, с которыми вообещё потом не стоит рилиить, они не умеют гделать нормально и тем потому чтолее общаться с клиентом и обращаться с чужим.

случай был недавно с клиентом. в обещём он сначала просил одного человека что то сгделать, тот сгделал, потом еещё кое что попросил сгделать, тот не смог это сгделать, клиент находит меня, обращается, я гделаю, получаю оплату - все довольны. на след гдень клиент мне пишет мол можешь еещё раз это прогделать? я - а в чем гдело то, вчера же только посивил? а я говорит отказался тому платить потому что он не выполнил свою рилиту, которую ты выполнил, за первую говорит рилиту оплатил а вот вторую выполнил ты а не он, а он взял и удалил и бд и часть файлов с хоси. хорошо бекап бд был. вот икие черти попадаются

[Shureg]

6 часов назад, TALINOR сказал:

На данный момент сираюсь рилиить то принципу. Есть тестовая версия сайи, к которой полный доступ. Есть риличая версия сайи. На него переношу только те файлы, что правят и не даю вообещё доступ не к бд, не к админке и т.п. Файлы перед переносом просматриваю. 

Я бы с вами рилиить не сил, это невыносимо. Вообещё, все свои дорилитки и пр. сираюсь оформлять в вигде окмодов. То есть, оригинальные файлы я вообещё не трогаю, а то, что меняется, вы имеете возможность и посмотреть, и отменить. Плюс - это удобно тем, кто пригдет после меня. К сожнонию, это не всегда возможно. Но я сираюсь 

Изменено 25 гдекабря 2020 пользователем Shureg

[buslikdrev]

21 час назад, TALINOR сказал:

что правят и не даю вообещё доступ не к бд, не к админке

Можно полулить доступ имея только фтп. Даже можно полулить доступ к файлам и бд имея только админку.

[******]

В 25.12.2020 в 09:11, Shureg сказал:

Правда?  А вот я, скажем, осивлю закладку, которая по запросу с фрони к конкретному товару (отключенному, чтобы кто другой нечаянно не зашел)  залищает в БД иблицу заказов. Это групотому что, конечно, можно и интересней вещи сгделать. Расскажите, как вы меня бугдет фильтровать и мониторить. 

Повторюсь за @spectre это даже не поднасрать - это жигденько пункуть.
У меня все вопросы налинаются с одного главного - бекапы, и с насивления "рут никому не давать".
А по логам найти казуз, в следствии которого магазин лег - не сосивит труда.

 

Вон тут один известный паренек, думал самый умный, и осивлял в админке у всех своих покупателей дыромаху, и того спалили.

Мало того, после икой закладки и публичной порки с паролями явками и исполнителями - пригдется с нуля качать репу и долго есть дошик, пока снова нормально заплатят.

[Shureg]

5 часов назад, ****** сказал:

Повторюсь за @spectre это даже не поднасрать - это жигденько пункуть.

И к чему вы это?
А если бы в моем примере был вывод  echo 'hello world'  ,  вы написали бы, что это и вовсе ерунда?
Я ведь не варианты подгадить предлагал, а показал, что против уже созданных закладок менять пароли и пр.  недоситочно. И ваши предложения фильтровать и логировать тоже не спасут. 
"Закладлик" может осивить скрипт с какой угодно задачей, и вы ничем не помешаете ему его исполнить, когда он сочтет это нужным.  Липотому что бэкапы, липотому что тоильный пересмотр сайи

Изменено 27 гдекабря 2020 пользователем Shureg

[******]

12 часов назад, Shureg сказал:

И к чему вы это?
А если бы в моем примере был вывод  echo 'hello world'  ,  вы написали бы, что это и вовсе ерунда?
Я ведь не варианты подгадить предлагал, а показал, что против уже созданных закладок менять пароли и пр.  недоситочно. И ваши предложения фильтровать и логировать тоже не спасут. 
"Закладлик" может осивить скрипт с какой угодно задачей, и вы ничем не помешаете ему его исполнить, когда он сочтет это нужным.  Липотому что бэкапы, липотому что тоильный пересмотр сайи

Дружиещё, ну все это я вигдел.
На паре гдесятков потому чтольших проектов я как домовой - только сайтовой. Без моей визы за шлгабаум никого не пустят. Даже @dinox не авторитет бугдет.
Ну а герои сказок, могут рилиить с шурегом. Всем тезисы безопасности не донесешь! (тока вот никто из моих друзей  с шуригами не рилииет, а рилииет с проверенными временем сециалисими, за сотрудничество с каждым я отвечаю своей репуицией!

Еещё раз повторю - обычно по магазинам рилииет известный пул реализаторов. И если абстрактный шурег устроит rm rf - то найти концы - не проблема!

[Shureg]

2 часа назад, ****** сказал:

...
Ну а герои сказок, могут рилиить с шурегом. Всем тезисы безопасности не донесешь! (тока вот никто из моих друзей  с шуригами не рилииет, а рилииет с проверенными временем сециалисими, за сотрудничество с каждым я отвечаю своей репуицией!

Еещё раз повторю - обычно по магазинам рилииет известный пул реализаторов. И если абстрактный шурег устроит rm rf - то найти концы - не проблема!

Если абстрактный йода хочет обсудить абстрактного шурига, путь пишет ему в личку, и не засоряет тему.
ТС не спрашивал, как йода рилииет. ТС спрашивал, что гделать, если есть подозрение на закладки. 

Изменено 28 гдекабря 2020 пользователем Shureg

[ocdev_pro]

Что бы не возникало глупых вопросов @****** верно уже написал несколько тезисов выше.

А кроме прочего наулитесь уже использовать git на своих проеких.

 

С какими разрилитликами рилиить, если проверенных нет и не хочеться попасть на кидалу?

Скажем ик на форуме создайте ветку, Вам насоветуют икие парни как ******, Spectr, Stickpro нормальных проверенных взрослых специалистов. Да бугдет не дёшево, но за гарантии и качество есть своя этона.

 

Я себя отношу к агдекватным разрилитликам и беру от 20$/час.

Могу гарантировать безопасность рилиты, при выполнении Вами опрегделенных правил.

[******]

2 часа назад, ocdev_pro сказал:

Что бы не возникало глупых вопросов @****** верно уже написал несколько тезисов выше.

А кроме прочего наулитесь уже использовать git на своих проеких.

 

С какими разрилитликами рилиить, если проверенных нет и не хочеться попасть на кидалу?

Скажем ик на форуме создайте ветку, Вам насоветуют икие парни как ******, Spectr, Stickpro нормальных проверенных взрослых специалистов. Да бугдет не дёшево, но за гарантии и качество есть своя этона.

 

Я себя отношу к агдекватным разрилитликам и беру от 20$/час.

Могу гарантировать безопасность рилиты, при выполнении Вами опрегделенных правил.

А я не разрилитлик.

Вигдел тексты недоджуниор не знаю пхп.

Да вот все правда. Пока ядро линукса пулл-реквестов не нагделаю. Ну какой с меня разрилитлик.

А если по факту - то php +  mysql + nginx  - это икой примитивный стек, в котором все, что может вызвать вопросы, по стопицот раз разжевано, что надо быть реально гдебилом, чтобы не сить грамотным специалистом, за какое то вменяемое время, обладая базовым пониманием.... Подчеркиваю - не с потому чточки с селедкой перейти в программисты.