?

Log in

No account? Create an account
Январь 2019   01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
Легионер

О пользе аудита

Posted on 27.08.2018 at 23:32
Чё-та ржу ). Попросили меня по знакомству провести аудит сайта. Я честно сказал, что опыта у меня в таких вещах ноль, могу опираться только на свои знания как разработчика. Тем не менее, с той стороны захотели узнать мое мнение. Дело было 15-го числа. Я на следующий день набросал план, прикинул трудозатараты, выставил сумму и запросил явки/пароли. И вот тут вопрос как-то подвис. Только 21-го числа дали логин-пароль от CMS (а я спрашивал еще от ftp и БД), но с такими правами, что ни бэкап скачать для изучения, ни системную информацию посмотреть. Впрочем, сама CMS семафорила о том, что в системе используется PHP5.5, чья поддержка заканчивается в этом году, и надо срочно обновляться. Пришлось объяснить сотруднице, запросившей мои услуги, что так я не смогу найти часть проблем, не могу определить их причины и дать советы. Она ушла общаться с людьми, отвечающими за сайт, сказала, что те очень переживают за безопасность. Вопрос опять повис.. Тогда я запросил хотя бы просто бэкап и phpinfo. Сегодня тамошние админы-разработчики таки ожили и создали мне пользователя с полным админским доступом.
И что я вижу? За прошлую неделю PHP обновлен до версии 5.6 самого свежего релиза, Joomla тоже обновлена до июльской версии, версии плагинов не запомнил, но, думаю, тоже обновили. Неделю назад не работало сжатие исходящего трафика на сервере (mod_deflate), теперь работает. Подозреваю, что всю прошлую неделю админы и разработчики усиленно вычищали и вылизывали сайт )))

Comments:


trocepins
trocepins at 2018-08-28 06:10 (UTC) (Ссылка)
Для разработчиков страшен не столько аудит, сколько его угроза. А свои косяки они и сами знают. Думаю, это относится ко всем областям человеческой деятельности.

Мне рассказывал один работник атомной промышленности. У них есть режим товарищеской проверки - работники одной станции приезжают на другую станцию и проводят проверку всяких(тм) функций. В частности, запускают аварийные генераторы. В случае отказа генератора - выдают рекомендацию о замене. Так вот в Японии, не было ни одного случая отказа генератора. Через какое-то время выяснилось, что японцы накануне такой товарищеской проверки проводят собственную проверку, чтобы не ударить в грязь лицом перед иностранцами. Весь смысл товарищеской проверки от них ускользнул, главное - не потерять лицо.
Pilum
pilum at 2018-08-28 23:26 (UTC) (Ссылка)
Японцы такие. Отец рассказывал, как долго пытался чего-то добиться от японцев, когда ездил туда лекции читать. Он просит сделать, японец кланяется, отвечает "Yes" и ничего не делает. Потом выяснилось, что этот японец английский почти не понимает, но менталитет запрещает ему сказать "нет" или "не понимаю".
Попытка осмысления информационного потока
vikrm at 2019-05-15 07:21 (UTC) (Ссылка)
Как в анегдоте про барина и "жесткие указания"..)
Previous Entry  Next Entry