Мирчар на полочке
    Вход через социальные сети
    E-mail:
    Пароль:
    Воспользуйтесь формой, если у вас не получается войти через uID.
    Администрация Каталога: Tinory (Профиль в Мирчар).
     
    Главная » Статьи » Web-чар

    О безопасности сайтов

    Безвременно почившему "Лето в Мирчар"
    посвящается.

    Даже Кюлг знает, что нельзя никому сообщать пароль от своего аккаунта, где бы тот ни находился: в бесплатной игре Мирчар или в системе uCoz. И все-таки каждый день находятся пользователи, стенающие "Меня взломали, профиль недоступен, сайт удален". Напоминаю: администраторам ваши пароли не нужны, они и без паролей способны сделать с вами все, что пожелают, и до угроз опускаться не будут. А те, кто грозятся - ничего не могут.

    И если с профилями игры все более-менее понятно, то сайт может вызывать вопросы. Потому что многие не разбираются в HTML и прочих странностях веба, потому что многие из нас работают командами. Я решила рассмотреть несколько типовых ситуаций, конечно, на примере ucoz. Во-первых, на юкозе большинство из нас, а во вторых, юкоз имеет немеренное количество степеней защиты, всех тонкостей сразу не разберешь.

    1. Я в команде

    Вариант первый. Вы - член команды. Вы любите ваш сайт, пишете статьи, даже когда администрация задерживает выплаты положенных экстрактов, переживаете за падение посещаемости и прочее. но вот однажды заходя по милому сердцу адресу вы обнаруживаете пустоту типа "SITE NOT FOUND". Печальней всего оказывается то, что сайт удалил собственноручно администратор вашей команды. Не важно почему, но удалил сам. Печально, может, не по-людски, но ничего не подпишешь, хозяин - барин, сайт приписан к нему и именно ему решать - удалять или все-таки передать сайт другому.

    Да-да, юкоз позволяет достаточно просто передавать сайты с одного аккаунта на другой.

    2. Есть идея, или требуется админимстратор

    У вас есть грандиозная задумка мирчаровского фан-сайта.

    Владелец сайта - главный администратор - тот, на чей аккаунт (вебтоп) сайт привязан.
    Вот только, вы боитесь, что даже с юкозом не совладаете. Довольно часто я вижу объявления на форуме "Требуется администратор". Этот человек регистрирует на юкоз сайт и... и все, считайте, что сайт вы уже потеряли. Потому, что владелец сайта - тот, к чьему аккаунту он привязан, и владелец сайта (главный администратор на нем) им целиком распоряжается и целиком несет за него ответственность (в том числе и за ворованный и незаконный контент, если вдруг такое случилось). "Но мы же команда! - возразите вы, - мы же друзья", и будете в корне не правы. Сетевая дружба - вещь еще более эфемерная, чем наши аквариусы. В любой дружбе случаются размолвки, ссоры, и никто не знает до чего в порыве чувств может дойти ваш Администратор.

    Мораль. Решили завести сайт - заводите его сами, на свой аккаунт. Юкоз - не такой страшный зверь, а впрочем, есть и другие, которые может быть покажутся вам более пушистыми.

    3. Сайту нужен дизайн

    Вы зарегистрировали сайт, сами, на свой аккаунт. Если вы регистрируйтесь на юкозе, то теперь у вас два юкозовских профиля (как правило, оба на один e-mail). Первый - uID - это так называемый глобальный профиль, подходящий для всех uCoz-сайтов, использующих систему uID. С этим профилем вы "гуляете" по uCoz-сайтам, общаетесь. вебтопВторой - WebTop - администрирующий профиль для владельцев сайтов (этакий рабочий стол в Интернете). Именно к нему привязываются ваши сайты системы (если их несколько). Каждый профиль должен иметь РАЗНЫЕ пароли. Кроме того, вебтоп имеет секретный вопрос с не менее секретным ответом на него. Все три вещи - два пароля и ответ - страшно секретные, должны быть вызубрены. Бумажки, на которых они записаны - съедены, и уж тем более никому-никому не следует их знать. Отсюда первая мораль: секретный вопрос и, главное, ответ на него не должны быть очевидны окружающим, даже друзьям, их нельзя "вытащить" из многочисленных соц.сетей, где вы зарегистрированы. Кстати, рекомендуемая более-менее безопасная длина пароля - от 7 символов.

    А дальше администратору-владельцу требуется новый нестандартный дизайн и на форуме начинают встречаться объявления "ищу дизайнера" или "сделайте мне дизайн". Оно и понятно - не каждый шарит в HTML, да еще и в фотошопе нужно уметь работать с точностью до пиксела, а тут еще и странные $ucoz-коды$. Нужен опытный человек. Напоминаю: нет никакой необходимости сообщать пароли-явки кому бы то ни было, даже веб-дизайнеру, даже для точной отладки и настройки вашего детища. Опытный веб-дизайнер, тем более на юкозе, имеет собственный сайт-полигон, где свои шедевры создает и доводит до совершенства. Туда же вы можете зайти, посмотреть, что наваял ваш дизайнер, указать на мелочи, которые забыли обсудить в начале заказа и пр. В итоге Вам должны передать один архив с каркасом (архив содержит код каркаса, файл стилей и папку с изображениями и инструкцию по установке всего этого - архив каркаса на юкозе создается автоматически) и, возможно, еще один архив с шаблонами (бэкап шаблонов), на случай, если проводилась подгонка шаблонов под заказ. Два архива - и все. Если требуются какие-то особые настройки в панели управления - их можно передать текстом или скриншотом, уж галочки-то вы проставить сможете?

    Мораль: нечего веб-дизайнеру делать в панели управления вашим сайтом.

    4. Вакансия: программист, дизайнер, администратор

    Вообще меня удивляют подобные объявления на нашем форуме. Я догадываюсь, что за частую под громким понятием "программист" в нашем контексте кроется знание html, $кодов$ и чуть-чуть javascript. Однако так ли он нужен в штате небольшой фан-странички, ровно как и дизайнер? Дизайн и пара строчек нового кода - разовые решения и не основные в Миречар. Здесь куда больше ценится контент (и грамотный журналист/писатель соответственно). А администратор - это вы, раз уж зарегистрировали сайт на себя, в противном случае - это не ваш сайт (см. п2).

    Но, положим, вы все-таки обзавелись программистом. Он может сверстать вам дизайн, заботливо подготовленный вами лично, установить код счетчика и пару "фишек". В этом случае ему гораздо удобнее будет иметь доступ к панели управления, а не писать вам каждый раз подробную инструкцию. Напоминаю!: все три вещи - два пароля и ответ - страшно секретные и разглашению не подлежат! Если уж вас приспичило допустить кого-то в ПУ, сделайте это максимально безопасно. В ПУ-Безопасность выберите "Сменить пароль аккаунта", способ авторизации - отдельный пароль.

    Отдельный пароль для ПУ

    где "Текущий пароль панели управления": если раньше у вас стояла авторизация через вебтоп, то введите пароль от вебтопа, если был отдельный, введите его.

    Установите действительно отдельный пароль, отличный от пароля веб-топа. И именно его можете сообщить своему штатному программисту. И никаких ответов на секретные вопросы!

    Как тут сохраниться?!

    Закончить эту часть (в одну опять не вписалась, ждите продолжения) я хочу традиционным советом в данном вопросе - делайте бэкапы. Делайте бэкапы шаблонов перед каждым грандиозным или не очень поползновением в раздел дизайна сайта: ПУ - Дизайн - Резервное копирование шаблонов. Делайте резервную копию проекта хотя бы раз в квартал (если заполняемость не очень высокая): ПУ - Инструменты - Резервное копирование (backup).


    О безопасности сайтов
    Web-чар | | 2126 | 1 | 0.0/0 | uCoz, безопасность
    Еще по теме:
    Всего комментариев: 1
    avatar
    0
    1 Мирчаровец sleiter • 20:04, 23.10.2016
    Спасибо за статью, тут очень много полезных советов, теперь я знаю какие ошибки совершал раньше, и как не совершать их в преть.
    avatar