12 октября 2010 в 11:37
Суть вопроса - разместил объявление о поиске исполнителя для работ на сайте. Подробности здесь: http://www.drupal.ru/node/51106.
Каким образом исполнителю предоставляется доступ к сайту?
Я должен предоставить данные своего аккаунта на хостинге?
Или создать отдельный ftp-вход только к этому сайту?
Доступ к админ-панели на сайте: - предоставить данные юзера-1
или создать пользователя с такими же правами?
Как поступать, если работы разовые и как, если исполнитель осуществляет тех.поддержку регулярно?
Вопрос, собственно, по обеспечению безопасности сайта.
Комментарии
Если исполнитель украдет информацию, то это очень не хорошо? Или информация вся в общем доступе ?
Первый момент - каждый уважающий себя разработчик имеет как минимум локальный сервер.
Второй момент - если дело касается обеспечения безопасности сайта, то без договора вам никак. Заключайте договор на работу - какая никакая гарантия будет.
Если работа разовая - то в случае фрилансера я бы лично предпочел отдать копию сайта исполнителю (предварительно убрав все логины и пароли, например из настроечного файла), исполнитель сам делает у себя и показывает уже готовый результат на своей тестовой версии. Если результат устраивает, то решение переносится на основной хостинг (либо исполнитель описывает что и как надо сделать, либо вы также даете временный доступ к FTP и административной учетке).
Для осуществления регулярной техподдержки нужен нормальный полноценный доступ к сайту. Как минимум доступ к ftp и доступ под административной учеткой на сайте, возможно даже доступ к панели управления хостингом. Все зависит то проводимых работ в рамках поддержки.
Softovick Благодарю за ответ.
Понял, что нужно предоставлять логин и пароль к хостингу и логин и пароль user1.
Привык доверять людям, но пароли передавать не приходилось, потому и возник вопрос
Договор отпадает - по судам с ним никто ходить не собирается - это вариант для организаций.
Не обязательно по судам, просто это один из способов подстраховатся. Если прямо так важно.
А так да, согласен насчет доверия. Если разработчик не вызывает доверия, то и работать с ним нормально скорее всего не получится.
Собственно весь вопрос обеспечения безопасности зависит от порядочности разработчика.
Я к примеру всегда от заказчиков требую полный доступ не зависимо от задач, но это вовсе не говорит о том что я начну выкладывать данные по сайту или тырить оттуда инфу, это обыкновенная этика отношений клиента и исполнителя, если заказчик мне доверяет как разработчику то какие вообще могут быть проблемы с безопасностью?
Считаю точно так же.
Нужно доверять разработчику, вести себя порядочно (в т.ч. с оплатой) и надеяться на ответную порядочность.
Вопрос задал, так как сталкиваюсь с необходимостью техподдержки и передачи паролей первый раз.
Думал, что есть общие рекомендации.
Полный бэкап - передаете все пароли - работа закончена - меняете все пароли
Такой вариант пригоден для сайта в разработке или если у пользователей нет доступа к наполнению сайта.
Если сайт живой, за сутки несколько десятков новых зарегистрированных пользователей и с десяток созданных ими статей, то такой вариант не подходит.
Изначально в теме не поднимался вопрос порядочности. Вопрос более широкий.
В любой технологической цепочке человек является слабым звеном.
Например: У меня флешка - на флешке Денвер, на Денвере копия сайта - в копии сайта файл с логином и паролем. Если я сую флешку куда придётся, то я - слабое звено в безопасности сайта.
Если логин и пароль ещё у одного человека, то в безопасности сайта уже два слабых звена.
В безопасности сайта остается одно слабое звено с флешкой которую суют куда попало
вы еще на сайте в качестве рекламного слогана пароль админский выложите. В инете для начинающих есть несоклько простых правил:
1. никогда не нажимай на кнопки в выпрыгивающих окошках.
2. не разрешай устанавливать из интернета никаких приложений если не знаешь что это такое.
3. порно - рассадник инфекции.
соблюдая три простых правила, можно даже антивирь не ставить на комп.
Так что спасение утопающих дело рук самих утопающих.
Теперь по поводу живых сайтов, разработчик делает бекап с вашей базы на момент начала каких либо действий, далее он у себя на локали решает поставленную задачу, делает бекап, переносит на живой сайт и все, если он косячнул, то потеряются только те данные которые вводились в тот момент когда исполнитель переносил решение задачи на живой хост (можно избежать если предварительно поставить сайт в режим обслуживания). В любом случае ответственность за бекапы лежит на разработчике (это мое мнение).
glu2006 Дело в том, что правил не три, а на порядок больше, а неописанных правилами нюансов ещё на два порядка больше и никто не знает их все.
Уточнение: потеряются данные, которые вводились с момента бекапа на сервере до момента переноса нового бекапа на сервер. А это может быть несколько дней.