Аудит безопасности 2-ки. Предлагаю складчину

#1 11 сентября 2015 в 22:20
Все больше проектов выходит на 2-ке и все активнее она развивается, что вызывает и больший интерес у аудитории, в связи с чем встает и актуальный вопрос к безопасности системы. Предлагаю складчину для проведения аудита. Например компания рег.ру предлагает услугу по аудиту www.reg.ru/web-tools/security-audit/plan#complex (стоимость комплексного аудита 35 000 рублей), либо можно выбрать какую еще более специализированную организацию для проведения комплексного аудита. От себя готов вложить 5 000-7 000. Если наберем 5-10 человек, то этих денег хватит для хорошего комплексного аудита.

Кто поддверживает идею и хочет быть уверен в безопасности своих сайтов?
#2 11 сентября 2015 в 22:27
Я поддерживаю. Только заниматься этим должны разработчики.
#3 11 сентября 2015 в 22:27
Имхо, рановато скидываться на аудит движка. Надо дождаться, как минимум форума, конструктора форм и шопа. Может ещё чего-то, через что можно повлиять на содержимое сайта. Иначе потом надо будет заново скидываться.
#4 11 сентября 2015 в 22:33

Только заниматься этим должны разработчики.

DzurDzuk
провести аудит или что?

всеже мы сообщество и наверное также должны помагать разработчикам, т.к это в интерсах всего сообщества, как разработчиков, так и участников. vконечно я за, чтобы разработчики взяли на себя это, но и помочь им с этим я тоже за. Кто за, пишите в этой теме также. Может сами разработчики потом какое пообщрение выпишут в виде лицензии на один из компонентов, н апример видео когда выйдет для 2-ки)
#5 11 сентября 2015 в 22:34

Надо дождаться, как минимум форума, конструктора форм и шопа. Может ещё чего-то, через что можно повлиять на содержимое сайта. Иначе потом надо будет заново скидываться.

Loadырь
это все отдельные компоненты я думаю будут, на само ядро и встроенные компоненты не будет влиять. можно будет просто провести аудит именно этих компонентов. А если они появятся через год или два, то вообще какой смысл ждать, если через 2 года и система притерпит изминения и компонентов будет больше и там можно будет уже 2-ой аудит провести. Всеже 35 000 не такие большие деньги для всего сообщества. Каждый по 1000 переведет (вместо 3 чашек кофе) вот и сумма собрана.
#6 11 сентября 2015 в 22:37

провести аудит или что?

yury
Организовать сбор средств и контролировать работу по аудиту, когда завершится разработка всех премиум компонентов.
#7 11 сентября 2015 в 22:39

2-ой аудит провести

yury
Тут люди из-за 100 р. темы поднимают laugh
#8 11 сентября 2015 в 22:42

это все отдельные компоненты я думаю будут, на само ядро и встроенные компоненты не будет влиять.

yury
Мне нужны "связи", без них меня аудит не интересует. Но готов принять участие во втором сборе средств laugh
#9 11 сентября 2015 в 22:43

Организовать сбор средств и контролировать работу по аудиту

DzurDzuk
я только за. Думаю разработчики появятся в этой теме и скажут свое везкое слово. А пока решил проявить инициативу.

когда завершится разработка всех премиум компонентов.

DzurDzuk
всеже ждать все премиум компоненты, если они появятся через год или два думаю не совсем логично, т.к сайты уже многие делают сейчас.
#10 11 сентября 2015 в 22:47

Но готов принять участие во втором сборе средств

DzurDzuk
напомнило мне соседей с 2-3-4 этажа (я сам живу на пятом под крышей), когда речь зашла о капитальном ремонте дома по ФЗ — мы складываться на ремонт крыши и подвала не будем, нас же не протопит сверху, и с подвала тоже. Т.е по их логике за крышу и подвал долны были платить только 1 и 5 этаж) на что я им ответил — ОК, будет протекать крыша, ставить тазики я не буду, будет топить и вас, мне пол не жалко)

это я так, флуд немного)
#11 11 сентября 2015 в 22:58

я только за. Думаю разработчики появятся в этой теме и скажут свое везкое слово. А пока решил проявить инициативу.

yury
Инициатива похвальна, а написал так, потому что разработчики уже проводили подобную работу с первой веткой.

это я так, флуд немного)

yury
Да я тоже флудил, а так, конечно приму активное участие на любом этапе. А то еще затопите laugh
#12 12 сентября 2015 в 00:37

Предлагаю складчину для проведения аудита

yury

Зачем это нужно? вы как то слабо представляете себе видимо, что такое безопасность. Она всегда есть до определенного уровня и многие "таланты" подходят с своей стороны каждый. Нет такого аудита, который бы смог обезопасить на все 100%. На закрытых форумах кстати, где "интересное" пишут, кстати в основном говорят о подходе к вскрытию хостинга/vps/dedica это в 90% случаев. И что ваш аудит даст?
#13 12 сентября 2015 в 00:57

Она всегда есть до определенного уровня и многие "таланты" подходят с своей стороны каждый. Нет такого аудита, который бы смог обезопасить на все 100%.

letsgo
даст защиту от базовых и более умных вариантов взлома. За сервак уже отвечать должны админы сервака. Тот же Гугл постоянно устраивает аудиты безопасности, проводя соревнования по взлому. Могли бы не делать, ведь все взламывается. Но подходят к этому вопросу грамотно.
#14 12 сентября 2015 в 01:27

даст защиту от базовых и более умных вариантов взлома

yury

А что у нас есть базовые взломы 2 Инстанта или первого даже? И в процентах насколько бы вы оценили такой аудит? Я бы вот дал ему 1% полезности, так как вижу темы, за эти годы не раз видел взломы и там ситуация такова:

1. Поставил простые пароли — подобрали
2. Неправильно выставил права на папки — залили шелл
3. Не обновлял систему два-три года
4. Дал пароли кому то установить компонент.плагин.модуль — не сменил после работы

Вот как то так. Не в обиду, но давайте смотреть реально на вещи, без выдуманных защит от базовых вариантов взлома. За 5 лет работы, меня взломали 1 раз, это было год в эдак 2012. Пересмотрел именно базовые принципы безопасности — больше проблем не имел. По темам на Инстанте, также видно, что 99% это собственная неграмотность, причем не единожды тут описанная. Но всё равно время от времени кто то начинает нагнетать обстановку. Для чего?
#15 12 сентября 2015 в 06:09

Я бы вот дал ему 1% полезности

letsgo
Сбор средств добровольный. Оценкой необходимости аудита пущай занимаются разработчики.

По темам на Инстанте, также видно, что 99% это собственная неграмотность

letsgo
Предлагаю вам организовать работу по борьбе с указанной бедой, в процентном отношении она и правда более актуальна.

всё равно время от времени кто то начинает нагнетать обстановку.

letsgo
scratchКто бы это мог быть? laugh

Для чего?

letsgo
"Меньше знаешь — крепче спишь"… Но пока не узнаешь – фиг заснешь! Так ведь? laugh
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.