Аудит безопасности 2-ки. Предлагаю складчину

Все больше проектов выходит на 2-ке и все активнее она развивается, что вызывает и больший интерес у аудитории, в связи с чем встает и актуальный вопрос к безопасности системы. Предлагаю складчину для проведения аудита. Например компания рег.ру предлагает услугу по аудиту www.reg.ru/web-tools/security-audit/plan#complex (стоимость комплексного аудита 35 000 рублей), либо можно выбрать какую еще более специализированную организацию для проведения комплексного аудита. От себя готов вложить 5 000-7 000. Если наберем 5-10 человек, то этих денег хватит для хорошего комплексного аудита.

Кто поддверживает идею и хочет быть уверен в безопасности своих сайтов?

Я поддерживаю. Только заниматься этим должны разработчики.

Имхо, рановато скидываться на аудит движка. Надо дождаться, как минимум форума, конструктора форм и шопа. Может ещё чего-то, через что можно повлиять на содержимое сайта. Иначе потом надо будет заново скидываться.

Только заниматься этим должны разработчики.

провести аудит или что?

всеже мы сообщество и наверное также должны помагать разработчикам, т.к это в интерсах всего сообщества, как разработчиков, так и участников. конечно я за, чтобы разработчики взяли на себя это, но и помочь им с этим я тоже за. Кто за, пишите в этой теме также. Может сами разработчики потом какое пообщрение выпишут в виде лицензии на один из компонентов, н апример видео когда выйдет для 2-ки)

Надо дождаться, как минимум форума, конструктора форм и шопа. Может ещё чего-то, через что можно повлиять на содержимое сайта. Иначе потом надо будет заново скидываться.

это все отдельные компоненты я думаю будут, на само ядро и встроенные компоненты не будет влиять. можно будет просто провести аудит именно этих компонентов. А если они появятся через год или два, то вообще какой смысл ждать, если через 2 года и система притерпит изминения и компонентов будет больше и там можно будет уже 2-ой аудит провести. Всеже 35 000 не такие большие деньги для всего сообщества. Каждый по 1000 переведет (вместо 3 чашек кофе) вот и сумма собрана.

провести аудит или что?

Организовать сбор средств и контролировать работу по аудиту, когда завершится разработка всех премиум компонентов.

2-ой аудит провести

Тут люди из-за 100 р. темы поднимают

это все отдельные компоненты я думаю будут, на само ядро и встроенные компоненты не будет влиять.

Мне нужны "связи", без них меня аудит не интересует. Но готов принять участие во втором сборе средств

Организовать сбор средств и контролировать работу по аудиту

я только за. Думаю разработчики появятся в этой теме и скажут свое везкое слово. А пока решил проявить инициативу.

когда завершится разработка всех премиум компонентов.

всеже ждать все премиум компоненты, если они появятся через год или два думаю не совсем логично, т.к сайты уже многие делают сейчас.

Но готов принять участие во втором сборе средств

напомнило мне соседей с 2-3-4 этажа (я сам живу на пятом под крышей), когда речь зашла о капитальном ремонте дома по ФЗ — мы складываться на ремонт крыши и подвала не будем, нас же не протопит сверху, и с подвала тоже. Т.е по их логике за крышу и подвал долны были платить только 1 и 5 этаж) на что я им ответил — ОК, будет протекать крыша, ставить тазики я не буду, будет топить и вас, мне пол не жалко)

это я так, флуд немного)

я только за. Думаю разработчики появятся в этой теме и скажут свое везкое слово. А пока решил проявить инициативу.

Инициатива похвальна, а написал так, потому что разработчики уже проводили подобную работу с первой веткой.

это я так, флуд немного)

Да я тоже флудил, а так, конечно приму активное участие на любом этапе. А то еще затопите

Предлагаю складчину для проведения аудита

Зачем это нужно? вы как то слабо представляете себе видимо, что такое безопасность. Она всегда есть до определенного уровня и многие "таланты" подходят с своей стороны каждый. Нет такого аудита, который бы смог обезопасить на все 100%. На закрытых форумах кстати, где "интересное" пишут, кстати в основном говорят о подходе к вскрытию хостинга/vps/dedica это в 90% случаев. И что ваш аудит даст?

Она всегда есть до определенного уровня и многие "таланты" подходят с своей стороны каждый. Нет такого аудита, который бы смог обезопасить на все 100%.

даст защиту от базовых и более умных вариантов взлома. За сервак уже отвечать должны админы сервака. Тот же Гугл постоянно устраивает аудиты безопасности, проводя соревнования по взлому. Могли бы не делать, ведь все взламывается. Но подходят к этому вопросу грамотно.

даст защиту от базовых и более умных вариантов взлома

А что у нас есть базовые взломы 2 Инстанта или первого даже? И в процентах насколько бы вы оценили такой аудит? Я бы вот дал ему 1% полезности, так как вижу темы, за эти годы не раз видел взломы и там ситуация такова:

1. Поставил простые пароли — подобрали
2. Неправильно выставил права на папки — залили шелл
3. Не обновлял систему два-три года
4. Дал пароли кому то установить компонент.плагин.модуль — не сменил после работы

Вот как то так. Не в обиду, но давайте смотреть реально на вещи, без выдуманных защит от базовых вариантов взлома. За 5 лет работы, меня взломали 1 раз, это было год в эдак 2012. Пересмотрел именно базовые принципы безопасности — больше проблем не имел. По темам на Инстанте, также видно, что 99% это собственная неграмотность, причем не единожды тут описанная. Но всё равно время от времени кто то начинает нагнетать обстановку. Для чего?

Я бы вот дал ему 1% полезности

Сбор средств добровольный. Оценкой необходимости аудита пущай занимаются разработчики.

По темам на Инстанте, также видно, что 99% это собственная неграмотность

Предлагаю вам организовать работу по борьбе с указанной бедой, в процентном отношении она и правда более актуальна.

всё равно время от времени кто то начинает нагнетать обстановку.

Кто бы это мог быть?

Для чего?

"Меньше знаешь — крепче спишь"… Но пока не узнаешь – фиг заснешь! Так ведь?