Сделал ли программист защиту от взлома на сервере?

Цитата ("m1rucus_1st"):

Цитата ("Serget"):

Но странно, что программист не пишет сразу хороший код. Обычно так делают нормальные программисты. Если писать - то качественно.

А как сразу проверить на сколько он хороший программист?

Вот уже сколько десятилетий весь мир мучается над воопросом: как узнать какой программист хороший, а какой - не очень. Много исследований было проведено, много статей и даже монографий было написано, сколько денег было потрачено - подумать страшно. Пока что стало ясно, что хороший программист - это тот, тот программист, который пишет хорошие программы. Никто, правда, не знает что такое "хорошая программа" и чем она отличается от "плохой", но работа в этом направлении уже ведется. Неформально, можно предположить, что "хорошая программа" это та, которая удовлетворяет требованиям заказчика и, таким образом, переложить бремя оценки качества программы (и программиста) на плечи заказчика. Есть, конечно, и всякие косвенные методы оценки качества программиста, но стоит ли засорять форум и уходить от темы...

Цитата ("m1rucus_1st"):

Просто переплачивать в 10 раз больше чем стоит эта серверная часть не разумно.

Не разумно, но при условии, что известно, сколько "эта серверная часть" стоит. А если стоимость серверной части неизвестна (а судя по Вашему первому сообщению, она все-таки неизвестна), то вопрос о "переплате" ставить нельзя. Кстати говоря, в зависимости от требований заказчика (например, в зависимости от показателей надежности, пропускной способности, устойчивости) стоимость одной и той же "серверной части" может изменяться на 2-3 порядка.

На самом деле сумма насколько я понял уже оговорена.
Если Вы человек порядочный, то надо выпнять условия.
Другое дело, что ту жезащиту можно проверить путем найма друго специалиста и аудита.

Цитата ("ypeskov"):

На самом деле сумма насколько я понял уже оговорена.
Если Вы человек порядочный, то надо выпнять условия.
Другое дело, что ту жезащиту можно проверить путем найма друго специалиста и аудита.

Да я так и сделаю, просто хотел узнать мнение людей.

Некоторую оценку программисту можно дать с помощью ссылка (творение не моё)

Цитата ("Demiurh"):

Некоторую оценку программисту можно дать с помощью ссылка (творение не моё)

Непонятно как-то там все это изложено, они бы еще написали как этим пользоваться. И совсем забыли про еще один критерий: хороший программист должен мыться не реже раза в неделю.

Цитата ("ypeskov"):

...
Другое дело, что ту жезащиту можно проверить путем найма друго специалиста и аудита.

Сначала имеет смысл убедиться в том, что этот специалист - действительно специалист. Чтобы потом не открывать на форуме тему "проверил ли специалист защиту от взлома?".

И еще, наверное, имеет смысл заранее оговорить, что именно должно проверяться - а то, проверит специалист сайт на sql injection (да и то, с какой-то степенью вероятности), а сайт "положат" методом slowloris или, скажем, сломают через privileges escalation с другого сайта расположенного на том же сервере (если у Вас, конечно, сервер не выделенный).

Закажите аудит безопасности со стороны да и все.

Цитата ("Illarion_SA"):

Сначала имеет смысл убедиться в том, что этот специалист - действительно специалист. Чтобы потом не открывать на форуме тему "проверил ли специалист защиту от взлома?".

Как убедиться?

Цитата ("Illarion_SA"):

И еще, наверное, имеет смысл заранее оговорить, что именно должно проверяться

Опять же для этого мне нужен человек со стороны который скажет что именно в этом проекте нужно проверить.

Придется действовать методом проб и ошибок.

Цитата ("MMM_Corp"):

Закажите аудит безопасности со стороны да и все.

А что это такое?

Цитата:

Закажите аудит безопасности со стороны да и все.

Это когда приходит мужик, бьет в дверь с ноги, потом кувалдой, потом стреляет из базуки, а потом говорит, что аудит безопасности пройдет и вы не зря отдали свои деньги.

Что же касается заявления другого программиста, что дескать там работы на гораздо меньшую сумму, то простую зависть сбрасывать со счетов не стоит.

Цитата ("m1rucus_1st"):

Цитата ("MMM_Corp"):

Закажите аудит безопасности со стороны да и все.

А что это такое?

Это когда другой независимый человек проверяет роботу первого, что и позволяет убедится в качестве продукта.

Цитата ("m1rucus_1st"):

Цитата ("Illarion_SA"):

Сначала имеет смысл убедиться в том, что этот специалист - действительно специалист. Чтобы потом не открывать на форуме тему "проверил ли специалист защиту от взлома?".

Как убедиться?

Есть несколько "косвенных" способов, например, побеседовать с претендентом, оценить общий уровень развития, уровень грамотности (технической и, ммм.. "общечеловеческоой", поинтересоваться образованием, наличием спец. курсов по безопасности, поинтересоваться, сколько лет претендент занимается безопасностью, в каких проектов он участвовал и может ли представить рекомендации с предыдущих мест работы, предложить рассказать (желательно - в письменном виде) о том проекте, который показался претенденту самым трудным (и почему) и, наконец, самое главное, попросить подготовить в письменном виде план работ по проверке безопасности Вашей системы. Очень важно, чтобы этот документ был представлен в письменном виде поскольку: (1) Вы сможете оценить уровень грамотности претендента; (2) обсудить план работ с еще одним независимым специалистом; (3) включить этот план в ТЗ (и контракт) на производство работ. Оплата выполненных работ, естественно, производится с учетом количества выполненных/невыполненных пунктов плана.

Разумеется, специалист, который сможет положительно ответить на большинство этих вопросов будет стоить дороже и намного дороже, чем "специалист широкого профиля" работающий на уровне "сделать обычную защиту" и "на пять с плюсом", здесь надо соотносить стоимость специалиста с размером потенциального урона от взлома Вашего сайта. Например, если в результате взлома урон составит $100, то хорошего специалиста можно не нанимать. Если урон составит $10000 плюс "долгосрочные перспективы", то потратить $5000 на безопасность, наверное, будет иметь смысл.

Цитата ("adrianis"):

Цитата:

Закажите аудит безопасности со стороны да и все.

Это когда приходит мужик, бьет в дверь с ноги, потом кувалдой, потом стреляет из базуки, а потом говорит, что аудит безопасности пройдет и вы не зря отдали свои деньги.

Продолжая метафору: ...и Вы спокойно уходите спать. Через пару дней приходит маленький, кривенький, в очочках, поворачивает дверную ручку в другую сторону и заходит... а через некоторое время Вы видите, что все-таки зря отдали свои деньги и первому и второму.

Цитата:

Продолжая метафору: ...и Вы спокойно уходите спать. Через пару дней приходит маленький, кривенький, в очочках, поворачивает дверную ручку в другую сторону и заходит... а через некоторое время Вы видите, что все-таки зря отдали свои деньги и первому и второму.

Это при условии что первый и второй знакомы.

Цитата ("adrianis"):

Цитата:

Продолжая метафору: ...и Вы спокойно уходите спать. Через пару дней приходит маленький, кривенький, в очочках, поворачивает дверную ручку в другую сторону и заходит... а через некоторое время Вы видите, что все-таки зря отдали свои деньги и первому и второму.

Это при условии что первый и второй знакомы.

Зачем же им быть знакомыми, первому и второму? Вполне достаточно (и чаще бывает), что первый не знает о том, что дверь им поставленная открывается поворотом ручки в другую сторону - никогда он об этом не задумывался, а второй только ритуальные танцы умеет плясать, а о свойствах двери знает третий, тот что в очочках. Знает и пользуется.

Цитата ("Illarion_SA"):

Цитата ("adrianis"):

Цитата:

Продолжая метафору: ...и Вы спокойно уходите спать. Через пару дней приходит маленький, кривенький, в очочках, поворачивает дверную ручку в другую сторону и заходит... а через некоторое время Вы видите, что все-таки зря отдали свои деньги и первому и второму.

Это при условии что первый и второй знакомы.

Зачем же им быть знакомыми, первому и второму? Вполне достаточно (и чаще бывает), что первый не знает о том, что дверь им поставленная открывается поворотом ручки в другую сторону - никогда он об этом не задумывался, а второй только ритуальные танцы умеет плясать, а о свойствах двери знает третий, тот что в очочках. Знает и пользуется.

Цитата ("veryonehope"):

...

Оффтопик

все таки у программеров офигенное чувство языка аж белая зависть берет :P :P :P

"Чуство языка" (извините, поправил орфографию) не есть необходимое профессиональное качество программиста, оно нужно любому творческому работнику и является, скорее, следствием образования и образованности нежели отпечатком выбранной специальности. Хотя мне всегда казалось наивным надеяться что программист сможет хорошо выразить свои мысли на языке программирования, если он с трудом может это сделать на своем родном.

Цитата ("Illarion_SA"):

"Чуство языка"

А правильно то "чувство"...

m1rucus_1st,

Защита действительно можнт стоить в 10-15 раз дороже самого сайта. Я это на собственном опыте знаю.
Фишка в том, что защита как правило сводится н написанию собственного (защищённого) транспорта.

Иными словами транспорт придётся делать на из стандартных "кубиков", а с нуля.

Тут можно провести аналогию со строительством дома.
В любом случае дом строится из кирпичей.
Но в первом случае кирпичи покупаются у продавца.
А во втором случае ты сам строишь кирпичный завод и производишь себе кирпичи.