Кому не приходится в сети искать и устанавливать различные скрипты и системы управления, тот «онлайн жизни» не видел и вообще его стыдно называть веб-мастером. Ну а более-менее опытные ребята знают, с чем может столкнуться владелец ресурса после скачивания и установки бесплатного скрипта с «портала».

Приведу пример, что бы было понятно: несколько лет назад решил сделать новый сайт и за основу было принято использовать не всякую там WordPress или Joomla, скаченную с официального сайта, а что-то зарубежное и редкое (наверное, женского внимания не хватало и требовалась нежность от PHP + MySQL). С официального сайта можно было скачать только английскую версию, а вот русифицированный дистрибутив нашёл только на каком-то задрыпаном варез-портале. Стараюсь с таких сайтов ничего не скачивать, но тут пришлось. В итоге уже через сутки я получил гневное письмо от моего любимого Хостинг Центра с требованием убрать скрипт с сайта, иначе меня покарает гневный администратор и придётся искать другой хостинг для CMS, которая вся истыкана XSS-скриптами.

Пришлось сносить скрипт полностью и переносить сайт на Joomla, уже скаченную с проверенных сайтов. А вот кто гарантирует, что сейчас ресурс полностью безопасен? Есть способ проверить скрипты, которые скачены с сайтов, либо написаны программистом. Не важно, ваше это творение или вы заказывали на стороне, но опасность получить «пендаль» от хакера всегда есть.

Недавно нашёл сервис XSS Сканер, который как раз помогает находить уязвимости на сайте, которыми может воспользоваться злоумышленник. Например, я добавил свою скромную CMS, которую разрабатывал для диплома в университете и система нашла аж 114 ошибок и 14 «вниманий».

Ну я не профессиональный программист и не претендую на лавры специалисты по безопасности, да и скрипт мой уже давно заброшен, поэтому смысла исправлять я не вижу, хоть и уже понял, в какую сторону копать. А предположим, мы имеем дело с реальной CMS, которая писалась под реальный ресурс, в перспективе рассчитанный на тысячи или десятки тысяч уников в сутки? Что тогда делать? Проверять и исправлять.

Конечно же, сервис платный и после проверки пользователю предоставляется лишь демо – отчёт. Полная версия со списком ошибок доступна только после отправки SMS сообщения, не ведь защита от взлома не должна быть таким параметром, про который можно забыть – одна SQL injection в ваше коде и вы можете навсегда забыть про доверие пользователей, которым будет рассылаться спам от вашего имени или тем более, кража паролей.

Единственное, что я бы посоветовал автору проекта – это не экономить на дизайне сайта. Проект очень интересный и удобный, но лично меня смущает на коленке слепленный шаблон, отсутствие контактов кроме e-mail адреса и ни единой строчки про стоимость услуги. Сервис такого уровня должен быть идеальным!

Кстати, что за дурацкие смайлики? Точно надо дизайн заказать.

Опубликовано в разделе: Интернет Метки: