Разработка CMS

Цитата ("Gritskif"):

Практически - да. Программист не может быть одновременно и спец. по безопасности и программистом - это две разные области. Программист максимум может закрыть 50% общеизвестных "багов" в исходном коде во время разработки. Программист и спец. по без. читают разные книги, статьи, пользуют софт, общаются на разных ресурсах, делают разные вещи, у них разные задачи, спецы по безопасности чаще пользуют С а "программисты" я бы сказал вебмастера используют PHP и ASP...
Практически задача программиста как спеца по безопасности сводится к тому, чтобы закрыть очевидные дыры, чтобы школьники на каникулах на сайте не на гадили

Вот вы как программист часто используете во время выполнения заказа 5-10 утилит для обнаружения бреши в безопасности, ищите в сети сообщения о взломах только, что установленных дополнительных модулей CMS закащику и сами их патчите, делаете апы всем приложениям-серверам на сервере, устанавливаете патчи, у вас есть свои патчи которые залатывают извесные дыры у которых нет еще офиц. пача, тестируете код на поик в нем шелов, бекдоров, делаете так, что заказчику будет приходиться менять все пароли каждые 4 недели и т.п. ? жуть..... я этого не делаю

Вы путаете многие вещи. Программисту не нужно тестировать 5-10 утилитами свой сайт, так как он так знает внутренности. Проверять входящие данные это обязанность программиста. Нет абсолютно безопасных сайтов. Специалист по безопасности не может быть не программистом. На кой хрен человеку нужно знать C, чтобы проверить сайт написанный на php/ruby/python на наличие уязвимости??? Даже если будет отдельный человек проверять сайт на безопасность все уязвимости все равно будет закрывать программист.

В целом осведомленность об возможных атаках и уязвимостях - это показатель компетентности программиста. Тоесть программист высокого уровня просто должен разбираться в вопросах безопасности.

Цитата ("Gritskif"):

спецы по безопасности чаще пользуют С а "программисты" я бы сказал вебмастера используют PHP и ASP

- это че вобще забред? Открою вам секрет ASP - это не язык програмирования, это технология позволяющая применять различные языки программирования (C, C++, C#) для создания приложений и взаимодействия с бд.

art-apple, Смотрите ,

(1)если клиенту нужен сайт новостей, и он на 90% по функциональности такой же как и DataLife, согласен - можно в первую очередь предложить DLE.

(2) Но, приходит второй клиент, хочет заказать сайт для студии (визитка с портфолио), сайт для кинотеатра для онлайн бронирования билетов - их неужели не стоит писать с нуля?

(3) Третих клиент - сайт визитка с 4 страницами + новости. в админке: только редактирование данных страниц и добавление/удаление новостей. - тут ведь парыми файлами можно обойтись, неужели сайт который может весить (без контента) 100кб, взять и поставить на движке который весит 1500кб например.

Дело не в пространстве сервере, это мизерная цифра на сегоднящний день, дело о мусоре который можно было не прицеплять.

Цитата ("vovikov84"):

так как он так знает внутренности. Проверять входящие данные это обязанность программиста.

Вот! Спасибо, именно о таких специфических моментах я и говорю

Цитата ("PerfectoWeb"):

art-apple, Смотрите ,

2 тут опять же исходя из задач, визитку с портфолио вполне можно создать на любой практически cms без особых проблем. Кинотеатр и бронирование, тут нужно смотреть глубже, в зависимости от требований, а также бюджета заказчика.
3 как я и писал CMS нужно выбирать исходя из задач, есть легковесные cms с минимум функционала

И я не против разработки cms под проект, но повторюсь не для простых сайтов, там где целесообразно использовать готовый движок.

Тут еще смотрите какой фактор - время-деньги.
У заказчика допустим фикс бюджет - 500баксов, ему нужна визитка с портфолио.
Ему как правило пофигу будет ли cms написана с нуля и он хочет побыстрее.
Если писать с нуля, то на эту работу уйдет больше времени, а деньги вы получите те же 500. И зачем в таком случае писать с нуля?

Цитата ("art-apple"):

время-деньги.

да
Цитата ("art-apple"):

писать с нуля

ну не имеется же в виду для сайта визитки открыть пустую папку с пустым документом и начать. после самого первого заказа уже будет 2 класса + минимальная админка (итого он будет весить 100кб к примеру).
Для крупных, серьезных и высоко бюджетных проектов - имеет смысл не с нуля а с минус одного. Так как ваша наработка для сайтов визиток окажется совсем не целесообразной для дополнения (как же и КМС, но в отличии ваша схема для визитки будет в разы меньше и проще).

Еще многие клиенты склонны к очень минимальному бюджету, исходя из чего разработчики используют зануленные версии коммерческих скриптов - это еще хуже.

-------
Чтобы тема не стала свалкой бесполезности, думаю уже обсудили мнения и некие важные факторы. Я привожу свои выводи и предпочтения к разработке сайтов, думаю в такой же схеме может каждый выразить свои пункты, а автору (который что то не заходит больше на сайт) и остальным кому интересна данная тема пусть сам решает что ему нужно.

При разработке сайта
(1) Предпочтение к скрипту написанный нами или разработке на основах ранних заготовок ( + опыта, + авторское право, + простота)
(2) При крупных и нестандартных проектах - написать все с нуля ( + опыта, + оптимальность, + чистота кода )
(3) В ситуации когда клиент сам указывает на систему управления, сравнить лучше ли на WP разработать интернет магазин(WP указал клиент) или предложить OpenCart, WebAsyst, а так же и проект с нуля
(4) Стараться всегда писать все самому. Даже если проект 500$, и не стоит тратить время на написание WYSIWYG редактора, постараться написать его минимальным, и со временем все улучшать (+ опыта, + авторское право)

Думаю:Не важно что это работает - важно как это работает.

Цитата ("vovikov84"):

На кой хрен человеку нужно знать C, чтобы проверить сайт написанный на php/ruby/python на наличие уязвимости???

на этом языке написано большинство утилит на тему безопасности. Если посмотреть на популярные то там будет 80%+ C & Python. И большинство IT спец. занют именно C или Python тк сказать джентельменский наборчик

Цитата:

Программисту не нужно тестировать 5-10 утилитами свой сайт, так как он так знает внутренности.

Когда дело касается безопасности, то нужно. Очень легко допустить ошибку. Видно вы этим не занимались....

Цитата ("vovikov84"):

Специалист по безопасности не может быть не программистом.

Он не программист, он должен знать язык или языки программирования но задача у него не программировать а искать и исправлять ошибки в безопасности.
Вот к примеру язык программирования учится старшеклассником за 3 месяца (C можно за 2 недели), но он от этого не становится программистом? Или он программист?

Цитата ("vovikov84"):

Даже если будет отдельный человек проверять сайт на безопасность все уязвимости все равно будет закрывать программист.

Программист сможет изменить. Если ему укажет, что изменять
У IT спец. по безопасности и программистами часто бывает одна сфера работы и могут пересекаться инструменты для выполнения работ, но это не значит, что IT спец. по без. и программист это одно и тоже.

Цитата ("vovikov84"):

В целом осведомленность об возможных атаках и уязвимостях - это показатель компетентности программиста. Тоесть программист высокого уровня просто должен разбираться в вопросах безопасности.

Конечно должен и я об этом писал почитайте повнимательней. Но не на том уровне... или тут все знают в деталях о фишинге, спаме, xss csrq, воровстве cc, дропах, tftp&modem&firmware и прочей хрени и отвисают на IRC канале garage4hacker?


Цитата ("vovikov84"):

Цитата (Gritskif):
спецы по безопасности чаще пользуют С а "программисты" я бы сказал вебмастера используют PHP и ASP

- это че вобще забред? Открою вам секрет ASP - это не язык програмирования, это технология позволяющая применять различные языки программирования (C, C++, C#) для создания приложений и взаимодействия с бд.

Я работал с ASP и не нужно прЕдираться к словам, PHP это тоже не язык программирования


PS многие считают, что программист и хакер&спец. по IT безопасности - это одно и тоже.... да не фига схожесть как у дизайнера с сис админом серверов Linux - оба сидят за пк

Цитата ("Gritskif"):

PHP это тоже не язык программирования

Вы с нашей планеты???

Цитата ("Gritskif"):

на этом языке написано большинство утилит на тему безопасности. Если посмотреть на популярные то там будет 80%+ C & Python. И большинство IT спец. занют именно C или Python тк сказать джентельменский наборчик

Автоматический мониторинг дает очень ограниченную информацию для программы эти создавались с учетом распространенных CMS. Неужели специалисту по безопасности важнее знать, как устроена программа (не то как она работает), а то, как устроен объект анализа и возможные ошибки в его структуре?

Цитата ("Gritskif"):

Программисту не нужно тестировать 5-10 утилитами свой сайт, так как он так знает внутренности.

Скажем сайт на самописной CMS, много использовано ajax, структура нестандартная на сколько будут эфективны эти утилиты? Может с SQL инъекциями хоть как то справяться, но xss, их же столько видов. Как эта утилита может проверить фильтруется символы < или > (причем это на самом примитивном уровне). Особенно, если информация с введенных полей появляется на сайте не сразу?

Цитата ("vovikov84"):

Цитата (Gritskif):
PHP это тоже не язык программирования

Вы с нашей планеты???

PHP - Hypertext Preprocessor, а языком программирования его начали называть только из-за маркетинговых соображений. Ну как то не салидно звучит "Портал разработанный на текстовом препроцессоре"
Так, что не надо ля-ля тут ...
А вообще PHP от AWK отличается большим количеством подключенных библиотек и направленность на веб. Ну вещь конечно хорошая.


Цитата ("vovikov84"):

Автоматический мониторинг дает очень ограниченную информацию для программы эти создавались с учетом распространенных CMS.

Я не знаю не одной такой утилиты, которая тестировала бы определенную CMS. Какой в ней смысл? Сами придумали?
ссылка
- для Joomla ничего подобного нет
И без автоматизации заморитесь все дыры перебирать.


Цитата ("vovikov84"):

Скажем сайт на самописной CMS, много использовано ajax, структура нестандартная на сколько будут эфективны эти утилиты? Может с SQL инъекциями хоть как то справяться, но xss, их же столько видов. Как эта утилита может проверить фильтруется символы < или > (причем это на самом примитивном уровне).

XSS - это одна из десятков ВИДОВ атак которые могут быть проведены даже если CMS в полном порядке. Есть дыры в серверах и ОС...
Как, да как... маны чить - вот как!


Цитата ("vovikov84"):

Особенно, если информация с введенных полей появляется на сайте не сразу?

Вот для этого нужно уметь пользоваться этими утилитами, а краткие ман пейджи там на несколько тысяч скринов.
И знать C и Python для внесения изменений в алгоритмы сканирования если потребуется.