В этом посте, я хочу поделиться своими наблюдениями относительно студий веб дизайна, и всякого рода сайтоделов, а так же предостеречь пользователей и предпринимателей от фатальных ошибок.
Начнем с того, что некоторое время назад, был взломан один из моих сайтов, и так как я в программировании не силен, мне пришлось учиться находить ошибки и исправлять их. Узнавая что то новое, простые истины \ сложные термины — я сразу же проверял свой сайт на уязвимости и вносил необходимые поправки что бы их предотвратить возможность повторного взлома. Со временем стало любопытно, сколько людей допускают те же ошибки, которые в свое время допускал я? Выбрал немного .com \ .net сайтов, которые на мой взгляд были в зоне риска, и несколько из них поддались SQL инъекциям. Я естественно отписал об ошибке в саппорт, в ответ получил благодарственные письма, письма с пояснением технических моментов и предложение работы, но самая веселая часть моей истории началась на следующий день.
И так, зная что я с дырявыми сайтами не одинок, на следующий день я решил проверить сайты своего региона. Как и в прошлый раз, несколько сайтов таки поддались простейшим приемам '. Уже собрался отписать их владельцам, но любопытство взяло свое, и я глянул список DB. Внезапно оказалось, что я получил доступ сразу к нескольким десятков сайтов и что бы разобраться в чем дело, начал просматривать таблички. Собственно, так как вы уже поняли что это было — не стану тянуть резину, по базам было видно, что сайты преимущественно на одной CMS и несколько самописных «друшлаков», где пароли пользователей и администрации даже не шифровались. У меня первая мысль была — SEOшники! Накупили доменов и поставили на них одинаковых скриптов с рекламой, но вскоре я заметил на сайте копирайт разработчика, зашел на сайт их студии, заглянул в портфолио и понял откуда ноги растут. Названия сайтов частично совпадали с названиями DB.
Но на этом все не закончилось, не веря своим глазам, я решил проверить подобные студии своего региона. Загуглив несколько местных студий, я уселся проверять их портфолио, и всего за пару часов нашел еще несколько подобных серверов с десятками баз. Как и в первый день я сообщил о найденной ошибке, но не учел менталитета наших граждан, в этот раз сказали спасибо единицы, остальные обещали: «сломать руки», «найти», «поговорить по другому», «если надо найду», «имею хороших друзей в твоем городе». Но стоит отметить, единицы говорили и спасибо, предлагали работу. Не хотелось бы чернить наше общество, я, в отличие от многих считаю себя патриотом, но факты говорят сами за себя, общество деградирует и адекватно оценивать действительность дано далеко не многим.
Собственно вывод и небольшие рекомендации горе сайтоделам:
1. Если вы совсем маленькая фирма и у вас нет QA — дайте задание программисту хоть немного разобраться в азах безопасности и погуглить подобные рекомендации.
2. Я к сожалению долек от бизнеса, но если у вас нет команды хороших инженеров и программистов — используйте партнерки хостеров (некоторые платят по 30%), доверьте дело профессионалам и не кладите все яйца в одну корзину, тем более если вы на обе ноги хромаете, нести такую корзину опасно. Да, возможно вы недополучите часть прибыли, но разве это стоит потерянной репутации?
3. Ставить сотни сайтов на одну и туже дырявую CMS — это вершина безумия, обратитесь один раз к спецам, пусть проверят хотя бы единожды то, что вы будете продавать десяткам своих клиентов.
4. Если у вас программист занимается версткой — не заставляйте его писать друшлаки, когда взломщик получит доступ к базе с незашифрованными паролями, у беспечных юзеров отнимут все аккаунты, это будет огромной проблемой для ваших клиентов, сарафан гнева окутает вас.
5. Не имея отличных спецов — не беритесь за коммерческие проекты, делайте сайты визитки, если из за вас сольют разного рода коды \ купоны \ лицензии \ сертификаты предназначенные для продажи — вы рискуете не дожить до момента поимки злоумышленника что бы сломать ему руку, ваши клиенты могут найти вас раньше, а зная менталитет наших граждан, когда начнут разбираться в чем была проблем и кто виноват, вы уже можете пострадать здоровьем.
Клиентам же хочу дать один совет:
В свое время на одном из популярных форумов я прочитал полезную рекомендацию «покупайте домен у проверенных регистраторов, а хостинг у проверенных хостеров, и вы избежите лишних проблем», и вот теперь у меня есть что к этому добавить "Дизайн покупайте у дизайнеров, а код у программистов".