- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Если специалист дырку оставил, то найти ее очень и очень сложно и она будет далеко не очевидная. А то что тут рекламируют открытый код, так это не панацея. Многие из бесплатных CMS содержат потенциальные уязвимости заложенные изначально в ядро и именно из-за того, что разрабатывают их тысячи разработчиков. К таким уязвимостям просто дописать якобы нужный кусок для работы сайта, а далее эксплуатируйте наздоровье и никаким DIFF'ом ничего не определите.
Но такие дырки специально встраивать сложно и долго, поэтому ждите их только, если
у программера хорошая квалификация
&&
(у вас отсутствует хорошая предоплата
||
вы заказчик-зануда, готовый высосать кровь программера за свои пять копеек)
Если специалист дырку оставил, то найти ее очень и очень сложно и она будет далеко не очевидная. А то что тут рекламируют открытый код, так это не панацея. Многие из бесплатных CMS содержат потенциальные уязвимости заложенные изначально в ядро и именно из-за того, что разрабатывают их тысячи разработчиков. К таким уязвимостям просто дописать якобы нужный кусок для работы сайта, а далее эксплуатируйте наздоровье и никаким DIFF'ом ничего не определите.
Но такие дырки специально встраивать сложно и долго, поэтому ждите их только, если
у программера хорошая квалификация
&&
(у вас отсутствует хорошая предоплата
||
вы заказчик-зануда, готовый высосать кровь программера за свои пять копеек)
Да я не рекламирую опенсорс. Сам с удовольствием продаю свою прогу сейчас за нормальные деньги... И проблема бывает не только в заказчике. Хиторо..х программеров тоже хватает.
Я предлагал способ контроля действий разработчика, с которым приходится иметь дело. Т.е. берем известный код, и поручаем его установку потенциальному негодяю... А потом, имея на руках все тот же самый изначальный код, вооружившись диффкой, смотрим, что он там модифицировал.
Так по крайней мере можно выпалить, что он Вам гадить реально пытается - и сделать с ним за это... что-нибудь противоестественное. Чтобы неповадно было.
Повесить у него над головой камеру с горящим светодиодом (хотя бы муляж), повесить в трей прогу, позволяющую подключаться к консоли в любое время (без индикации), и смотреть, что на экране делается. Ежедневно требовать отчет о проделанной работе... Ну и после этого можно "доверить" ему что-то сделать, если он еще не уволился :D
samb100, если есть знания в PHP (хоть небольшие), то в поиске уязвимостей Вам поможет PHP bug scanner
А если такой вариант:
заключить договор с фрилансером-программистом (как ИП с физическим лицом), будет ли такой договор иметь юридическую силу, учитывая что у меня (ИП) нет официальных наемных
работников и заводить их я не собираюсь (гемор) ?
будет ли такой договор иметь юридическую силу
По идее будет, почему нет. Только Вам охота потом будет по судам бегать? Может нанять другого программиста, который проанализирует код на предмет возможных лазеек?
Я предлагал способ контроля действий разработчика, с которым приходится иметь дело. Т.е. берем известный код, и поручаем его установку потенциальному негодяю... А потом, имея на руках все тот же самый изначальный код, вооружившись диффкой, смотрим, что он там модифицировал.
diff только от банально встроенных дыр. :)
diff только от банально встроенных дыр. :)
Диффкой можно легко найти ВСЕ изменения в файлах. Ясное дело, что нужно еще проанализировать суть этих изменений.
Все, что непонятно - подозрительно. Новые файлы (особенно с исполняемым кодом внутри) тоже повод для вопросов. Права доступа недолго перелопатить как положено.
Глупости админа не учитываем - не про него разговор.
Куда еще можно засунуть гадость, если не имеешь доступа ни к чему кроме файлов в папке проекта?
Диффкой можно легко найти ВСЕ изменения в файлах. Ясное дело, что нужно еще проанализировать суть этих изменений.
А вот докапаться до сути, если писалось с головой, может и не получиться. Грамотно вообще написать миловидный кодик ничего серьезного не делающий, но с несколькими последовательными и далеко не очевидными логическими ошибками, которые и приведут к желаемому результату. Кстати, во многих системах управления работа с файлами уже встроена и нужно только поднять привилегии.
А если найдете и ткнете программера носом, то он разведет руками и скажет, что вы, уважаемый заказчик, маньяк, помешанный на безопасности, а я от чистого сердца писал, старался и ничего плохого не замышлял и вместо того, чтобы заниматься всякой фигней, лучше бы докинул денег за хорошо выполненный проект. :)
Проверьте доступы, чтобы они были только у Вас, и хостинг и домен важно чтобы были зарегестрированы с Вашего e-mail на Вас.
Если этого недостаточно просмотрите код, или наймите другого программера чтобы код просмотрел, чтобы все "шпионские" скрипты убрал, если они есть.
И работайте с порядочными программистами.
И не храните пароли усебя в ftp клиенте. А то могут украсть и взломать сайт.
А вот докапаться до сути, если писалось с головой, может и не получиться. Грамотно вообще написать миловидный кодик ничего серьезного не делающий, но с несколькими последовательными и далеко не очевидными логическими ошибками, которые и приведут к желаемому результату. Кстати, во многих системах управления работа с файлами уже встроена и нужно только поднять привилегии.
А если найдете и ткнете программера носом, то он разведет руками и скажет, что вы, уважаемый заказчик, маньяк, помешанный на безопасности, а я от чистого сердца писал, старался и ничего плохого не замышлял и вместо того, чтобы заниматься всякой фигней, лучше бы докинул денег за хорошо выполненный проект. :)
Я говорил про установку готового опенсорс продукта, а не про разработку чего-то с нуля. Модификации должны быть абсолютно минимальны. Никакой несогласованной доработки быть не должно. Такие доработки я никогда не оплачиваю и требую все удалить (восстановить как было).
Так что, в случае добросовестного исполнения, для анализа остаются мелкие тривиальные вещи, в которые ничего не запрячешь. А если он что-то намутил - то это будет очевидно.
Но это все к вопросу, как доказать, что негодяй таковым является. А если он уже есть и уже понаписал всякого, что уже деньги считает или хотя бы клиентам что-то показывает, то тут то его выгонять и стремно, ибо он уже мог столько всякого запрятать в коде...
В таком случае я решил бы расширить штат на еще одного программера, и для ввода в курс нового сотрудника в принудительном порядке ввел бы парное программирование и полный рефакторинг ранее написанного софта.
А чтобы они не спелись, немного погодя запустил бы слух, что некий новый проект срывается, и второе место программера окажется лишним...
Главное - второго программера нормального найти, а то получите проблемы в квадрате 😆