Защита сайтов

Предпросмотр скриптов.


Само собой разумеется, что каждый сценарий, устанавливаемый на сервер должен быть изучен и просмотрен как можно большим числом квалифицированных людей. Лучшим вариантом будет отдать системному администратору копию вашего кода (до и после его модификации вами), а так же информацию откуда был взят код и другую возможную информацию, которая может быть полезна администратору. Не думайте о вашем системном администраторе как о параноидальном фашисте. Ведь он проделывает достаточно серьезную работу. Помогите облегчить создание более надежной среды, даже если у вас это отнимет чуть больше времени, чем обычно. Помимо этого, Вы должны читать код самостоятельно! И помните, что, любая часть кода, которую вы не понимаете, несет в себе опасность. Как заказчик, требуйте, чтобы авторы сценария коментировали его ясно и полностью.

Однако, стоит сказать, что дальнейшая ответственность за безопасность системы ложится на вас. Вы должны отслеживать выпуск очередных заплат (patches), исправления ошибок (bug fixes), и так называемых "security announcements". Зачастую эту информацию можно получить там, откуда был взят код. Как только информация подобного рода попадает к вам в руки, вы должны с максимально возможной оперативностью модифицировать вашу систему.

Тот факт, что эта информация доступна вам, говорит о том, что она доступна и хакерам, которые попытаются использовать ее с наибольшей выгодой для себя, а соответственно в ущерб вашей системе.

Дальнейшая поддержка и ответственность - это важный аспект для внештатных разработчиков CGI кода, которые написав сценарий и установив его на сервер, как правило, исчезают из поля зрения заказчика. Необходимо, чтобы ответственность за дальнейшее исправление ошибок, выпуск заплат и подобного рода деятельность ложилась на плечи автора, в противном случае последний должен оставлять клиенту информацию как и где можно получить очередную модификацию кода а также руководство по его установке. Либо же информацию о людях, которые уполномочены и имеют достаточную квалификацию для проведения подобного рода работ.



Содержание раздела