ugrás a tartalomhoz

Biztonságban van a munkám?

stan · 2011. Ápr. 24. (V), 12.13
Már évek óta dolgozom egy saját fejlesztésű projekten, és nem szeretném, ha valaki ellopná a weboldalam forráskódját.

Jelenleg a Médiacenter Kft.-nél van a tárhelyem, aki az Interware Zrt.-nél bérel szervereket. Köztudott, hogy az Interware Magyarország egyik legnagyobb és egyik legelismertebb szolgáltatója, így gondolom figyelnek a biztonságra. De mondjuk azok a rendszergazdák, akik felügyelik a szervereket, nyilván van hozzáférésük a webtárhelyekhez. Előfordulhat, hogy valakinek megtetszik a projektem, és ellopja bentről?

Másik kérdés, a saját pc-men tárolt biztonsági mentés. Mi van ha betörnek hozzám, méghozzá pont azért, mert el akarják lopni a weboldalam. Én winzip formátumban szoktam jelszó védelemmel lekódolni, egy elég erős jelszóval (8 karakternél hosszabb, és vannak benne speciális karakterek is). Ez elég védelem-e? Fel lehet mondjuk törni ezt a fajta védelmet?

Összességében, ti mit gondoltok ezekről a veszélyekről, és milyen megoldásokat javasoltok?

Ha valaki szerint paranoiás vagyok, és ne foglalkozzak ezekkel a kérdésekkel, az kérem ne írjon, mert azzal nem leszek tájékozottabb. Amúgy meg tudom, hogy paranoiás vagyok, nem kell emlékeztetni! :-)
‹ domain regisztrátor + SSL Te milyen projekt menedzsment szoftvert használsz és milyen előnyeid származnak belőle? ›
 
1

encrypted file system

firith · 2011. Ápr. 24. (V), 13.03
Szerintem a jelszavas zip nem eléggé erős védelem, használj fájlrendszer titkosítást!
2

Hozzáférhetnek

janoszen · 2011. Ápr. 24. (V), 14.40
Természetesen az általad használt tárhely rendszergazdája bármikor hozzáférhet az oldalad forráskódjához, de ezt az ÁSZF-ben szabályozott módon tekintheti meg. Ha ellopja az oldalad forráskódját, az büntetőjogi kategória, mert minimum lopás, szerzői jogok megsértése és ipari kémkedés áll fent. Ezért sejtésem szerint már börtönt is lehet kapni. Ha a PC-den tárolsz valamit és azt ellopják, az ugyanez.

Ha szeretnél védekezni a lopás ellen, akkor a következő lépéseket teheted meg:

  • Csak kétkulcsos titkosítással kommunikálj! Az FTP-n feltöltött adatokat bárki, aki út közben van, lemásolhatja.
  • Figyelj a fájlrendszer jogosultságokra a szerveren!
  • Obfuszkáld az oldalad forráskódját. Erre általában pénzes megoldások vannak, a Zend Guard a hivatalos. Ez nem olcsó.
  • Üzemeltess saját virtuális szervert titkosított fájlrendszerrel.
  • Üzemeltess saját szervert.


Mindazonáltal azt kell mondjam, hogy a forráskód értéktelen érdemi support és dokumentáció nélkül. Nem akarlak alábecsülni, de ebben a szakmában mindenki vízzel főz, nem hiszem, hogy olyat találtál ki, amit más ne tudna megírni. Nagyon kevés olyan terület van, ahol ipari titkok vannak a webfejlesztésben. (Egy ilyen pl. a videó konvertálás.) Itt általában inkább az üzleti logika / ötlet az, ami egyedi és védendő.

Ami a szerver üzemeltetést illeti, jól gondold meg, mert ha a biztonság az elsődleges szempont, akkor ott sok energiát kell beletenni mind a tanulásba, mint az üzemeltetésbe.
3

Részletesebben

stan · 2011. Ápr. 27. (Sze), 12.25
Hogyan tudom itthonról elérni a virtuális szerveren lévő fájlokat kétkulcsos titkosítással? Van erre valami program? Én jelenleg Total Commandert használok, az tud valami ilyesmit?

Ha a www root mögé teszem a weboldalt (csak egy index.php érhető el a böngészőből), akkor végülis nincs értelme a jogosultságokkal vagy az obfuszkálással bajlódni, mert így egyébként sem érhetőek el a fontos fájlok, vagy nem?

Az obfuszkálás csak attól véd meg, ha valaki ellopja a fájlt, de ha valaki hozzáfér az egész szerveremhez, akkor tőle nem véd meg ugye?

Amikor azt mondod, hogy üzemeltessek saját szervert, az alatt azt érted, hogy fizikailag csak én férhessek hozzá? Tehát vegyek egy szerver gépet tegyem be az irodába, kérjek egy bérelt vonalat, és tegyem be az egészet egy páncél szekrénybe? :-)
5

SFTP és SCP

Poetro · 2011. Ápr. 27. (Sze), 13.12
Az SFTP (nem összekeverendő az FTPS-sel) illetve az SCP protokollok segítségével tudsz kétkulcsos kapcsolatot kiépíteni. Amennyiben Total Commanderhez találsz olyan plugint ami ezt tudja, akkor használhatod azt. Windows alatt továbbá használhatsz például WinSCP-t illetve FileZilla-t amik ismerik ezekete a protokollokat. Természetesen a szervert is be kell állítani, hogy a kapcsolatot ki lehessen építeni.
6

DPX

janoszen · 2011. Ápr. 27. (Sze), 19.08
A DataPlexben tudsz kulcsos caget bérelni, nem kell saját irodába tenni. Egyébként valahogy nem hiszem, hogy érdemes vele túlzottan erölködni, mert több pénzt költesz védekezésre, mint amennyit az egész ér.

Legjobb példa a munkaadóm, a DotRoll. Szinte nyílt titok, hogy pl. a webtárhely szolgáltatás hogy működik, de még a teljes forráskóddal sem lenne egyszerű utána csinálni. Azért, mert hiányzik az üzemeltetéshez szükséges knowhow és rengeteg az infó, ha nem magyarázza el valaki, legalább egy évedbe kerülne minden részletet megérteni.

Informatikában nincsenek egyszerű, vagyonokat érő képletek. Nézd meg a Facebookot, mekkora cég, mégis egy csomó technológiát ingyen odaadnak, pedig azokat még érdemes is lenne ellopni.
4

Zend Guard és társai

smart · 2011. Ápr. 27. (Sze), 12.59
http://www.zend.com/en/products/guard/
Ekkor mind a rendszergazda, mind bármely betörő, aki a rendszergazda hibájából fér hozzá a kódhoz sem látja magát a forrást, csak egy bináris masszát.
Ez nem annyira olcsó, de ugye a paranoia az egy drága hobby! :)

sorry, most láttam, hogy elsiettem ezt a hozzászólást és proclub már írta... :)