14 сентября 2015 в 8:55
Здравствуйте! Заказчик выкатил в ТЗ вот такие требования к безопасности сайта. Честно сказать то ли заказчик слишком замудренный то ли я не понимаю. Причем сам он объяснить ничего не смог.
1. Авторизация пользователей производится исключительно администратором сайта и построен на принципе иерархии относительно спектра прав
(вот тут как я понял ничего сложного надо только галочки выставить)
2. Интеграция механизмов защиты на уровне кодирования (этот пункт вообще не понятен)
3. Применение в администрировании сайта безопасных протоколов (вот тут я так понимаю доступ к файлам по ssh либо sftp)
4. Настройка доступа к системе обновлений ядра и установленных плагинов (включить обновления модулей и тем)
5. Применение актуальных и новейших конструкторов сайта (Как я понял это создание типов материалов и вывод страниц либо блоков)
6. Применяемые плагины должны быть безопасными и не относиться к списку уязвимых (Использовать только модули и темы, которые уже стабильны)
7. Применение дистрибутивов, которые содержат правила для защиты от атак (Вот это я не понял, я так понимаю это больше к хостингу относится или нет?)
8. Обеспечить для сайта опцию блокировки от сканеров (не знаю что это такое)
9. Защитить панель администрирования
10. Обеспечить защиту и сохранность конфигурационного файла (выставить права на settings.php)
11. Обеспечить доступ к плагинам безопасности на уровне конфигурации
12. Внедрить применение механизмов аудита и мониторинга
В скобках я написал что я думаю. Там где нет скобок не знаю вообще что имелось ввиду.
Подскажите, если знаете что это такое.
Заранее всем большое спасибо
Комментарии
Да галки ставь, иерархия: аноним - пользователь/другие роли - администратор - суперадминистратор (uid=1)
Пароли пользователей храняться в хешированном в виде.
Настрой https + secure pages для логина, регистрации и админки.
Фигню пишет, покажи Panels, Display Suite, Context и прочее.
Безопасны для Open source.
да.
это тоже к хостингу, всякие роботы которые сканируют порты.
Уже защищен.
да.
Роли и и доступы.
google analytics и прочая лабуда. Можно дать ему ссылки на платный аудит, которые проверяют на безопасность. Если умеет писать всякую фигню, пусть раскошелиться...
Вот странно - список вроде хороший, а написан чудовищно. Если не секрет - это не госконтора?
Да не секрет. Таких контор сейчас полным полно. Аналитический центр.
Тоже закралась мысля что откуда-то скопипастили. И сами не знают для чего это, но главное чтобы было. Хорошо хоть пока под шестерку не попросили верстать.
половина - херня какаято.
1. Авторизация пользователей производится исключительно администратором сайта и построен на принципе иерархии относительно спектра прав
- что построен? Авторизация построена на иерархии относительно спектра? Забористо.
2. Интеграция механизмов защиты на уровне кодирования (этот пункт вообще не понятен)
- это бред какой-то, я не понимаю.
3. Применение в администрировании сайта безопасных протоколов (вот тут я так понимаю доступ к файлам по ssh либо sftp)
- https, выше сказали.
4. Настройка доступа к системе обновлений ядра и установленных плагинов (включить обновления модулей и тем)
- системы обновления ядра у 7ки из коробки нету. drush только что.
5. Применение актуальных и новейших конструкторов сайта (Как я понял это создание типов материалов и вывод страниц либо блоков)
- это бред. Юкоз? там самый актуальный конструктор, все пользуются. Или что значит конструктор? Фреймворк? Движок?
6. Применяемые плагины должны быть безопасными и не относиться к списку уязвимых (Использовать только модули и темы, которые уже стабильны)
- это ваще бред. К какому списку? Где список? Безопасны для чего? Ногами на них вставать? В микроволновку совать? Безопасных "вообще" не бывает.
7. Применение дистрибутивов, которые содержат правила для защиты от атак
- от каких атак? От всех? При слове "правила" приходит на ум только iptables, это у хостера
8. Обеспечить для сайта опцию блокировки от сканеров
- хз, от каких сканеров? От Яндекса и Гугля?
9. Защитить панель администрирования
- https, доступ только админу
10. Обеспечить защиту и сохранность конфигурационного файла
- верно, выставить права на settings.php, что тут ещё сделаешь?
11. Обеспечить доступ к плагинам безопасности на уровне конфигурации
- а как ещё можно?
12. Внедрить применение механизмов аудита и мониторинга
- внедрить применение
Это не аналитический центр, это называется сумничать на 1500 рублей.
Это как в стандартном договоре на стандартный сайт в стандартной конторе. "Работы должны быть выполнены в срок и в надлежащем качестве."
Я уже с таким встречался.. Интересно, а кто будет проверять соответствие заявленным требованиям?
Человеку который не отличит двигатель внутреннего сгорания от колеса телеги, как бесполезно все это и обьяснить , так и можно наплести кучу чуши, про звезду смерти и трансформацию Силы.
Друг, на будущее:
встречаешь подобный текст, и дальше не читаешь, источник - в вечный бан)
Причина:
Авторизация - она, построен - он. Несоответствие родов.
Очипятка?
Едем дальше:
Принцип иерархии относительно спектра прав - коли это о управлении доступом на основе ролей, то копирайтер - жизоид!
Камрады, никогда не имейте дел с инфицированными "манагером головного мозга" - они так размножаются)))
Кухарка не может управлять государством - кто не верит - гляди в окно))))
Помните - принцип разделения труда по специализации подразумевает наличие соответствующей специализации у конкретного исполнителя работ.
Не специалист на ключевой должности - пиздец всем!
Ведь тут - что ни пункт то грусть печаль родительские слезы...
должны?
- осуществить осуществление?
Тут есть хоть кто-то, кто на полном серьезе пытается вьехать в эту зарисовку на тему "я у мамы инженер", найти в ней смысл?
остальная половина - полная херня)))
и, да п.12 - это гиперскачек с Плюка без гравицапы на трезвый желудок))))))
На друпал.ру нынче происходит примерно такое:
"нахуй! нахуй! кричали пьяные гости выгоняя трезвых хозяев"
Не тешь себя надежной!
Весь ужас этого списка черного манагера - эти пункты - реальный плод мысли а не копипаста.
Спастись могём только юмором!
Только сатирой!
Решительно настаиваю на маркировке подобных порывов следующей визуальной меткой:
Дабы не баламутить народ))))))
В принципе можно иметь дело, просто ответить еще большей мутью, в котором он всё равно не будет разбираться...
Такое ощущение, это близко не ТЗ, а требования к платформе разработки(в нашем случае - Drupal)..
ТС, не парьтесь, все соответствует..
Если кому-то покажется, что не соответсвует, придумайте соответствующую формулировку..
Образец у Вас есть-).