Сервис учета сделок с парнерами и личных финансов

Повторю еще раз, уж простите. у меня студия, ВЕБ студия, нам не интересны десктопные проекты, не важно какие они и какого масштаба, я бывший десктопник, писал и на qt и на поверскрипте от сайбаса и на многом чего еще. я специально ушел в веб ( первый коммерческий сайт был krv.ru)

так как мне не интересны продукты с двухзвенной архитектурой, я считаю, что через некоторое время все перейдет в веб в облака и в сервисы, что люди уйдут от вордов и екзелей на компе, а будут покупать время пользования и работать в интернете.

Тогда тем более непонятно, почему выбрано хранение чужой информации в открытом виде. Можно было бы добавить (достаточно легко) шифрование на стороне клиента и передачу на сервер только зашифрованных данных и наоборот соответственно (как во всех приличных сервисах подобного толка), это сняло бы все вопросы по безопасности данных. Но Вы выбрали не делать этого.

Давайте по-порядку

1. щифрование данных - если вы про ссл, то прикрутить его не представляет сложностей, но опять же в начале темы я написал, что пользуйтесь и если у Вас будет интерес будет и развитие, я писал его под свои нужды и как оказалось, что он интересен не только моему окружению.

2. хранение чужой информации в открытом виде - тут я не очень понял, в чем открытость информации, логин пароль, пароль в базе как мд5хеш, вроде как все закрыто. база постгре соответствует стандартам безопасности.

3. портал на джанге, что тоже немаловажно, так как в отличие от пхп разместить исполняемый код невозможно даже теоретически.

Поясните, почему вы считаете портал не защищенным( про ссл я маханул, но опять же поставить его дело 40 минут, ну максимум часа не больше).

я не спорю, что только ваше.

Я о том, что если бы была возможность хранить данные не у вас меня бы заинтересовала эта программа.

Вася создал у Вас проект и разместил там пароль на свой сервер.

Этот пароль будет технически доступен куче народа, т.к. у Вас на сервере он или хранится в том виде в котором размещен (т.е. в открытом) или в лучшем случае у Вас на сервере хранится все что нужно что бы его добыть. Доступен он будет Вам - т.к. Вы владелец (тут рядом на сотни тысяч люди с куда большей репутацией кидали, так что на репутацию ссылки не катят), персоналу который занимается администрированием сервера (в том числе и каким-нибудь начинающим админам, которые пошли проапдейтить ОСЬ, а получают 300 баксов в месяц имея доступ к инфе на миллионы), злым хакерам (которые ломают вообще что ни попадя, и отсутствие пхп не панацея) и так далее. Вопрос - кому это на фиг нужно в серьезных проектах?

Говоря о шифровании на стороне клиента, (к сожалению ничего подходящего под руку не подвернулось сейчас, что бы привести в пример, поэтому грубо своими словами), мы подразумевали, что отправленный клиентом текст "петя, выезжай, срочно, пароль 12345" шифруется в браузере клиента ключем и уходит на сервер в зашифрованном виде типа "фыопрфылрпфыдпр", где в зашифрованном же и сохраняется (тем самым недоступен не Вам, ни админам сервера, ни злым хакерам, ни прочим). И соответственно когда информация клиентом с сервера запрашивается, то приходит она ему в том же (зашифрованном виде) типа "фыопрфылрпфыдпр" и расшифровывается опять же ключем на стороне клиента превращаясь в "петя, выезжай, срочно, пароль 12345".

При чем в принципе это не особо помешает структурированию данных - связывать можно обезличено, хотя несомненно несколько осложнит поиск по вхождению каких-то строк.

p.s.: нечто вроде того о чем речь http://habrahabr.ru/post/113242/ .

Вы совсем не поняли о чем речь, да?

Охохо, все печальнее чем мы думали.

4. При шифровании на стороне клиента - нет, в этом и дело, попробуйте разобраться о чем речь.

5. http://www.thawte.com/ssl/index.html - далеко не самые дешевые сертификаты, 260 долларов на 2 года. Смысла вгонять 260 долларов может и нет, но смысла ссылаться на цену в 1400 евро тоже нет:)

1. пароли не хранятся открытые

2. ссл достаточно, чтоб данные не ушли наружу.

3. "Говоря о шифровании на стороне клиента" - если для вас документы гугла авторитет, то у них ссл, и такой фишки нет.

4. "Этот пароль будет технически доступен куче народа" - доводы, теоретически все тогда доступно всем по вашей логике.

5. https://deal2deal.ru/ - на ссл теперь( не покупной, сейчас нет смысла вгонять 1.400 евро за два года на сертификат)

мы отказались от мегапланаименно из-за его онлайновости

проблему русского бизнеса в том, что он русский

это клеймо несмываемое

сами, не сами, хакеры или сотрудники - рано ли поздно инфа будет слита.

тем более тупо хранить какие либо данные об онлайн проектах

Собственно то поэтому я ее и написал, что не нашел аналогов.

Но в любом случае я услышал коллег. можно сделать как установку на Вашем сервере, если такое будет как кто отнесется ?

AlienZzzz, кстати, как ваш сервис кореллирует с законом о персональных данных?

пока это не планируется( я про аттестацию сервиса).