Обсуждение вопросов безопасности

[Self Author]

Есть сайт, который нужно защищать от разных взломов и не только (Не могу говорить от чего ещё). Попытки ведутся, т.е. это не паранойя.
Одним из способов защиты является то, что сайт написан без использования стандартных движков и на нём сделана своя система защиты.
Эта система хромает, у неё есть минусы, от которых страдают (не сильно, но всё же) другие функции сайта. Поэтому требуются умы, с которыми можно было бы обсудить работу этих функций. Весь внутренний штат не достаточно квалифицирован, чтобы обсуждать это. А обсуждать на форуме нельзя, т.к. само озвучивание применяемых технологий защиты даст злоумышленникам почву для поиска способов её победить.
Как быть? Где искать помощь?

 

[Yoskaldyr]

что сайт написан без использования стандартных движков и на нём сделана своя система защиты

это главная уязвимость

 

[grigori]

Как быть? Где искать помощь?

обычно этот решается наймом консультанта

 

[Self Author]

это главная уязвимость

Каждый приходящий к нам специалист начинал с вопроса: "А почему вы не сделали это на ... (вставить своё любимое)?" Каждый думал, что он всё знает, а здесь идиоты сидят. В итоге его вводили в курс дела, рассказывали все нюансы, и он затихал.

 

[Self Author]

обычно этот решается наймом консультанта

Наймом... Т.е. он подписывает документ о неразглашении, так?
Как его выбирают?

 

[grigori]

дело в том, что вопрос "почему" не означает "идиоты", это может означать желание изучать вопрос в координатах известных решений

 

[grigori]

Наймом... Т.е. он подписывает документ о неразглашении, так?
Как его выбирают?

конечно, NDA - это стандартная практика
выбирают по соответствию скилов вашим проблемам и специфике вашего проекта

 

[Self Author]

дело в том, что вопрос "почему" не означает "идиоты"

Ну я не правильно сказал. Обычно говорили так, мол "надо было на этом делать"...

 

[Self Author]

А порядок цен какой?

 

[флоппик]

Кажется, мимо проскакал Неуловимый Джо.

 

[grigori]

говоря предметно, вопросы безопасности бывают очень разные, и затрагивают множество аспектов
* шифрование
* архитектура
* стандарты вроде PCI DSS
* уязвимости кода
* уязвимости клиентов
* политики безопасности
* атаки по различным векторам
* устойчивость ко сбоям

определитесь в чем у вас вопрос

 

[Self Author]

И ещё вопрос: где их ищут: фрилансеры, форумы.. ?

 

[Self Author]

Из предложенного списка актуальны: уязвимость кода и политики безопасности. Но вопросы, требующие срочного решения - это различного рода атаки, противостояние им.

 

[grigori]

поиском должен заниматься IT-руководитель, который знает где ищут сотрудников и специалистов, а где он его найдет - неважно

если детально объясните - вам и тут посоветуют

 

[grigori]

если речь о DOS-атаках - это вопросы в первую очередь системного администрирования, есть сервисы для защиты от DOS
а если атаки на данные, воровство или взлом - нужен архитектор, техлид, который проведет аудит и предложит стратегию защиты

 

[Self Author]

IT-руководитель - можно сказать, что это я. И где ищут - не знаю.
Детально публично не могу говорить.
DOS-атаки - проходили. Пользовались серверами, пережидали. Но эти сервера не дают другую защиту, поэтому сидели там не долго, возвращались на свою собственную, когда за пару дней корректировали алгоритм.
Воровство - да. Мы 2 месяца противостояли одному "красавцу". Даже переписывались по мылу с ним. Когда мы его банили, он писал нам письма, типа он недовольный клиент. Потом мы сказали, что всё про него знаем. Тогда он затих. В общем, у него не получилось сделать всё, что он хотел. Но он многому нас научил.
А сейчас видим, что наша система защиты перегибает палку, т.е. закрывает вполне допустимые действия. Вот и нужен консультант, с которым бы можно было обсудить, как экологично прекратить вредить хорошему, но не открыть двери плохому.

 

[grigori]

какой размер проекта? в деньгах или в траффике
как работа организована территориально - в офисе или распределенная команда, какой город?

 

[Self Author]

Траффик - около 5000 уников в сутки. 17 тыс. показов страниц. Раз в пол-года что-то серьёзное начинается. Мелочи, попытки всякие нежелательные - раз в 2 недели. Мы это всё видим. Пока всё закрыто. Но вот видим, что полезный траффик режется. И это надо как-то прекратить.

 

[grigori]

любой грамотный техлид подойдет, можете разместить объявление в разделе Работа

по деньгам - от 40 до 80 долл в час

 

[MiksIr]

конечно, NDA - это стандартная практика

Которая в РФ не работает. Есть Закон "О коммерческой тайне", но что бы его применять - нужно выполнить определенные меры, указанные в этом законе.