Сделал ли программист защиту от взлома на сервере?

Посоветуйте знающие программисты :-)

Заказал я у программиста серверную часть проекта (программист предложил 2 варианта: 1. Лиж бы работал. 2. Все будет на 5 с плюсом и быстрая оптимизированная работа, и мало ресурсов сервера потребляющее , и без дырок в коде что хакерам взломать все будет очень сложно. Я выбрал конечно второй вариант т. к. не хотел чтобы этот проект взломали.)

Но вчера я узнаю от программиста который делает всю остальную часть проекта что серверная часть для этого проекта стоит 10-20% от суммы (он имел введу обычную серверную часть с обычной защитой от хакеров , которую бы сделал сам если сроки позволяют.) которую запросил программист серверной части (он пока работает без предоплаты).

Посоветуйте, что мне теперь делать?

Возможно, ли что защита от хакеров и оптимизация стоит 80-90% от всей цены серверной части?

И как можно проверить сделал ли он вообще оптимизацию и защиту от хакеров?

Цитата ("m1rucus_1st"):

Возможно, ли что защита от хакеров и оптимизация стоит 80-90% от всей цены серверной части?

Да, если проект большой. Оптимиация - это не так то просто для больших проектов.

Цитата ("m1rucus_1st"):

И как можно проверить сделал ли он вообще оптимизацию и защиту от хакеров?

Обращайтесь к хакерам. Или тестерам. Или хотя бы к другим программистам. Есть как элементарные проверки так и глубокие =)
А по поводу оптимизации - если будет много посетителей - вы сами это увидите.

Вполне возможно что защита будет стоить 80% от стоимости проэкта
я занимаюсь щас оптимизацией одного проэкта, уже 3-й месяц мы пытаемся оптимизировать бд, так как они не маленькая.. порядка 26гиг весит база, в ней около 56миллионов записай (база на битриксе) на входе в проэкт поиск вообще неработал на сайте так как просто напросто мускль неуспевал найти ничего за max_execution_time
через 3 месяца нам удалось оптимизировать поиск до 0,8 секунд разница чувствуется ?
вот для таких проєктов стоимость самого ядра может составлять и 1% от оптимизации

Такое возможно - оптимизация во многих случаях действительно намного более сложный и длительный процесс, чем написание программы. Но странно, что программист не пишет сразу хороший код. Обычно так делают нормальные программисты. Если писать - то качественно.

Не далее как вчера в руки попался чей-то скрипт на 40 строк, который умудрялся генерировать более 40тыс запросов в базу. После оптимизации выполнялся всего лишь один, большой, но один. А за такую нагрузку иногда хостер может выселить вас с сервера.
В вашем случае трудно оценить, т.к. нет информации о специфики проекта. Для проверки лучше создавать отдельный проект и выбирать профи, который займется тестированием.

Я наверное не то слово употребил, я имел введу что он говорил что просто все будет быстро работать.
Проект делают с нуля, его пока там нечего оптимизировать.

Цитата ("Serget"):

Такое возможно - оптимизация во многих случаях действительно намного более сложный и длительный процесс, чем написание программы. Но странно, что программист не пишет сразу хороший код. Обычно так делают нормальные программисты. Если писать - то качественно.

Дело в трудоёмкости, одно дело просто писать модуль, а другое дело, настроить для него кеширование, оптимизировать sql-запросы, проводить нагрузочные тесты на хостинге.
Очевидно, что оптмиизация предполагает как минимум такие работы.

Всё это можно делать и сразу, но такая работа занимает в 3 раза больше времени и сил, и потому должна стоить намного дороже.

Цитата ("Anexroid"):

А по поводу оптимизации - если будет много посетителей - вы сами это увидите.

А как узнать до того как будет много посетителей? Вполне вероятно что я его уже не найду к тому времени.

Цитата ("m1rucus_1st"):

И как можно проверить сделал ли он вообще оптимизацию и защиту от хакеров?

По оптимизации можно провести нагрузочные тесты на хостинге, для этого есть специальные утилиты, но потребуется эксперт, умеющий проводить такое тестирование.

По безопасности можно нанять хакера или обратиться в контору по безопасности, заказать услугу аудит сайта на безопасность.
Они проведут тоже ряд тестов.

Цитата ("Serget"):

Но странно, что программист не пишет сразу хороший код. Обычно так делают нормальные программисты. Если писать - то качественно.

А как сразу проверить на сколько он хороший программист? Просто переплачивать в 10 раз больше чем стоит эта серверная часть не разумно.

Цитата ("Lisio"):

Для проверки лучше создавать отдельный проект и выбирать профи, который займется тестированием.

Что лучше всего написать в этом проекте (как лучше сформулировать?), чтобы профи не решил в 10 раз превысить цену за тестирование?

Цитата ("m1rucus_1st"):

Цитата ("Lisio"):

Для проверки лучше создавать отдельный проект и выбирать профи, который займется тестированием.

Что лучше всего написать в этом проекте (как лучше сформулировать?), чтобы профи не решил в 10 раз превысить цену за тестирование?

Лучше дайте обьяву, мол кто взломает, тому даш деньги) Гляди каждый что-то своё попробует и возможно что-то и получиться)

Цитата ("VOPLI"):

Лучше дайте обьяву, мол кто взломает, тому даш деньги) Гляди каждый что-то своё попробует и возможно что-то и получиться)

В этом что-то есть.

А если не получится, то при большом обещанном вознаграждении DDoS обеспечен ))

Если взять расценки с неофициального прайса соседнего ресурса.
Цитата:

АНАЛИЗ ЗАЩИЩЕННОСТИ САЙТА ПО ТИПУ "ЧЕРНЫЙ ЯЩИК" – от 40уе за суточный анализ (каждый сайт требует своего подхода и определенного времени)
АНАЛИЗ ИСХОДНОГО КОДА НА УЯЗВИМОСТИ – от 50уе за сутки.
Данные расценки – минимальны для движков без наворотов и кучей модулей. Проверка строго движка, не сервера!

m1rucus_1st, дело в том, что каждый программист по-своему оценивает свой труд.
Первый программист готов сделать работу за X у.е., второй - за Y у.е. При этом X может быть равно или двум Y, или трем, или еще больше.

Выделить стоимость оптимизации из работы в данном случае практически невозможно. Так как нельзя написать так, чтобы "лишь бы работало", а потом оптимизировать "на отлично". Можно только сразу "на отлично" написать.

Цитата ("m1rucus_1st"):

И как можно проверить сделал ли он вообще оптимизацию и защиту от хакеров?

Нанять другого программиста для аудита проекта.

Не важно сколько это стоит, если вы уже согласились работать с тем кодером на первоначальных условиях, то поздно уже спрашивать. Он уже начал работать над проектом?

Цитата ("m1rucus_1st"):

Заказал я у программиста серверную часть проекта (программист предложил 2 варианта: 1. Лиж бы работал. 2. Все будет на 5 с плюсом и быстрая оптимизированная работа, и мало ресурсов сервера потребляющее , и без дырок в коде что хакерам взломать все будет очень сложно.

Это забавно. Вариант "лишь бы работал" (извините, поправил орфографию) - это как? Работал в одном случае из 10? Или работал только в присутствии автора? Или работал при условии, если автор отлучался не более чем на XX минут в сутки? Второй вариант тоже вызывает несколько вопросов, например, кто будет ставить оценку "пять" или даже "пять с плюсом" и по каким критериям? Что значит "быстрая оптимизированная работа"? Сколько запросов в сек. должен обеспечивать Ваш сайт? При какой средней задержке? Какова будет нагрузочная характеристика сайта? Насчет "мало ресурсов" - вы договаривались, какова будет нагрузка на сервер, какие будут потребны объемы памяти и дискового пространства? И насчет дырок: как-то было оговорено, какова будет плотность "дырок" в коде (и, кстати, что такое "дырка" и насколько сложно это будет ломаться? Если Вы не оговаривали с программистом никаких характеристик разрабатываемого программного продукта, то Вам надо готовиться к тому, что программист сделает его так как ему, программисту, будет удобнее (или, например, выгоднее), а не так, как Вам нужно.

Цитата ("m1rucus_1st"):

... (он имел введу обычную серверную часть с обычной защитой от хакеров , которую бы сделал сам если сроки позволяют.)...

Интересно, что же такое "обычная защита" и чем она отличается от "необычной"? Наверное, "обычная защита" помогает от "обычного" хакера, а "необычная" защита от ммм... хакера "необычного"?

Цитата ("m1rucus_1st"):

Возможно, ли что защита от хакеров и оптимизация стоит 80-90% от всей цены серверной части?

Возможно. Если Вы хотите оценить стоимость защиты, сначала оцените Ваши потери от одного часа или одного дня простоя сайта и сопоставьте их со стоимостью защиты и временем потребным на ее реализацию. С другой стороны, имеет смысл оценить ущерб от, например, хищения с Вашего сайта базы данных Ваших покупателей с номерами кредитных карт, адресами и т.д. и сопоставить величину урона со стоимостью разработки "устойчивого" кода. Если максимальная величина ущерба составляет $100, то вкладывать в разработку хороших программ более $1000 (при условии, что Ваш сайт за время его жизни сломают раз 10), очевидно, смысла не имеет. Если величина урона от простоя сайта и хищения данных составляет десятки-сотни тысяч то, наверное, имеет смысл потратить деньги на хороших программистов и начать с составления хорошего (детального и проверяемого) ТЗ.

Цитата ("m1rucus_1st"):

И как можно проверить сделал ли он вообще оптимизацию и защиту от хакеров?

Никак. Если Вы договаривались на уровне "на пять с плюсом" и "обычной защитой от хакеров", то никак. Если Вы договаривались на уровне "XX запросов/сек", "не более 5G RAM" и "время на несанкционированное проникновение на защищенные страницы не менее XX часов", то достаточно провести независимый анализ полученного программного продукта и, при обнаружении недостатков, или заставить исполнителя устранить их или отказаться от оплаты работ..

Стоит спросить у программиста что именно будет "оптимизироваться", если вы не в теме - то можно привлечь стороннего эксперта для проверик того что предлагает программист.

Цитата ("m1rucus_1st"):

Цитата ("Anexroid"):

А по поводу оптимизации - если будет много посетителей - вы сами это увидите.

А как узнать до того как будет много посетителей?

Это как-раз просто: Вы проводите нагрузочное тестирование (или stress testing), анализируете результаты и сопоставляете их с требуемыми показателями Вашего сайта.

Цитата ("m1rucus_1st"):

Вполне вероятно что я его уже не найду к тому времени.

В идеале, работа по любому проекту должна строиться с учетом того, что любой специалист может уволиться в установленные контрактом (или законом) сроки. Ключевые моменты в разработке "с защитой от пропадания разработчика" это: планирование, документирование, протоколирование. Разумеется, такая разработка стоит несколько дороже чем написать "обычную серверную часть" даже если она пишется "на пять с плюсом", но смена ведущего разработчика на 75% готовности проекта обходится еще дороже.

Кстати говоря, 70-80% полной стоимости программного продукта приходятся на этап сопровождения (и только 5-10% на этап кодирования). Уже известно кто будет сопровождать разработанный для Вас сайт?