Na VPS bych to omezil právy, ale u hostingu, když bych si to chtěl vyřešit sám, tak první co by mě napadlo by byl script, který by uložil last edit od všech souborů, nechal ho dělat svoje a potom script nechal projet znovu a vypsal bych si, které soubory nesedí a do nich se podíval.. tam už pouhým okem nějaký backdoor najdeš.. neříkám, že je to zrovna nejlepší nebo optimální řešení, ale je to první, co mě napadlo.

28. 10. 2014 22:39:31

https://webtrh.cz/diskuse/backdoor-na-hostingu/#reply1064607

Jirka

(6 hodnocení)

28. 10. 2014 22:39:51

Nejlepsi metoda je normalne programatorovi proplatit fakturu za jeho praci. Ale jinak treba GIT a postcommit hook, ktery bude uploadovat na FTP a druheho cloveka, ktery rozumi kodu :P VYvojar by vubec na FTP pristup nemel.

28. 10. 2014 22:39:51

https://webtrh.cz/diskuse/backdoor-na-hostingu/#reply1064606

Lukáš Jurygáček

(26 hodnocení)

28. 10. 2014 22:42:28

Vybrat si normálního člověka a následně mu zaplatit. To je vše. :)

Jinak souhlasím se všemi horními názory kolegů.

28. 10. 2014 22:42:28

https://webtrh.cz/diskuse/backdoor-na-hostingu/#reply1064605

team Pressy

(28 hodnocení)

28. 10. 2014 22:45:50

Nejde o placení, jde o to že máme zkušenost že se programátor podívá na kód a poté řekne že neví jak to vyřešit. Další věc je backdoor přímo v aplikaci nebo v řešení Tím spolupráce končí. Ale to rozebírat nemusíme, každý normální člověk pochopil dotaz a je mu jasné že nejde o placení.

Pro příklad uvedu i to, že já osobně jsem si jednou koupil web kde již backdoor byl. Takže otázka je jak zamezit zneužití backdoor, ne jak sehnat peníze k zaplacení programátora ;)

- David

28. 10. 2014 22:45:50

https://webtrh.cz/diskuse/backdoor-na-hostingu/#reply1064604

Patrik

(18 hodnocení)

28. 10. 2014 23:09:08

Nespolupracujte s detmi a nebude ziaden problem :)

28. 10. 2014 23:09:08

https://webtrh.cz/diskuse/backdoor-na-hostingu/#reply1064603

team Pressy

(28 hodnocení)

28. 10. 2014 23:13:29

Napsal craZymans;1135936
Nespolupracujte s detmi a nebude ziaden problem :)

až bude internet přístupný pouze s dokladem od 21 tak se jim vyhneme.

28. 10. 2014 23:13:29

https://webtrh.cz/diskuse/backdoor-na-hostingu/#reply1064602

Jirka

(6 hodnocení)

28. 10. 2014 23:14:45

Napsal craZymans;1135936
Nespolupracujte s detmi a nebude ziaden problem :)

Posledni takove dite, chvilku po podobnem podrazu (nedodani prace za hodne penez), nastouilo za pul roku na manazerskou pozici v i.cz :) Asi tak.

28. 10. 2014 23:14:45

https://webtrh.cz/diskuse/backdoor-na-hostingu/#reply1064601

David Musil

(68 hodnocení)

29. 10. 2014 00:37:48

Ja kdyz jsem poustel nekoho primo na FTP, nikdy do adresare s webem. Vzal jsem obsah webu, stahnul ho k sobe, vytvoril podadresar na FTP, tam data nahral znovu a pristupy mu dal. S DB jsem udelal to same - vyexportoval jsem ji a vsechny tabulky se zaznamy nahral do jine DB a tu oznacil (v te kopii webu v adresari) jako vychozi.

Davam tedy tak pristup pouze do podadresare a kdyz to zprzni, tak se nic vlastne nedeje...

29. 10. 2014 00:37:48

https://webtrh.cz/diskuse/backdoor-na-hostingu/#reply1064600

team Pressy

(28 hodnocení)

29. 10. 2014 02:35:27

To je taky možnost. My ale spíše hledáme řešení, které zpřístupní obsah webu jen vybraným lidem a ostatní to tam nepustí. Což na hostingu asi ani nejde vyřešit. U vlastní VPS je to něco jiného. Ale tak třeba se najde někdo kdo navrhne řešení

29. 10. 2014 02:35:27

https://webtrh.cz/diskuse/backdoor-na-hostingu/#reply1064599

mH081

(1 hodnocení)

29. 10. 2014 04:21:59

Toto prostě nemá jednoduché řešení. Některé názory zde jsou úplně zcestné, jako například kontroly časů. První znalejší bouchač si access/modification časy uloží a po vložení backdooru je nasetuje zpátky. Celý Váš problém je úplně někde jinde.

To skutečně po programátorovi chcete, aby Vám úpravy dělal na FTP? To bych Vám teda poděkoval. Nejlepší cesta je git. Máte v něm přeci všechny projekty, nebo ne?

V Gitlabu přidáte uživatele, vložíte jeho SSH klíč. Necháte ext. programátora si projekt naklonovat. Až má změny hotové, pushne je do gitu. Uděláte code review. Vystavíte web na ftp, např. post hookem jak zmiňoval Majkro.

29. 10. 2014 04:21:59

https://webtrh.cz/diskuse/backdoor-na-hostingu/#reply1064598

Wolf Coruvar

(1 hodnocení)

29. 10. 2014 06:06:34

Uz delsi dobu jsem nezazil nikoho, kdo by dal ftp od serveru.. Ty nazory co tu zazneli jsou vcelku jasne.. Pouzivat github ci gitlab.. Za prve krasne vidite zmeny v kodu a za druhe se vam nestane, ze by nekdo udelal backdoor..

29. 10. 2014 06:06:34

https://webtrh.cz/diskuse/backdoor-na-hostingu/#reply1064597

Jan Kuthan

(48 hodnocení)

29. 10. 2014 07:09:31

Souhlasím se vším hore, pokud možno git a code review. Pokud ne, tak lze vytvořit (třeba i existují) script co vytvoří "obraz" ftp s md5 kontrolami, po úpravě programátora pak porovnat aktuální obraz a zkontrolovat změny ručně - takový pseudo diff :)

Jinak dobrý backdoor se hledá zle, neboť i programátor bez zlých úmyslů, ale také patřičných schopností, může zavléct do kodu nepěknosti. Okrajově: http://www.soom.cz/clanky/1143--Jednoduche-PHP-backdoory (nemluvě o sql i. apd.)

29. 10. 2014 07:09:31

https://webtrh.cz/diskuse/backdoor-na-hostingu/#reply1064596

Wolf Coruvar

(1 hodnocení)

29. 10. 2014 11:55:29

Ja se asi uz pohybuju v trochu jinych kruzich, ale jsem docela zvykly, ze potom, co pro nekoho udelam nejakou web aplikaci, tak prijde externi firma, ktera provede bezpecnostni analyzu a vysledek preda, jak me osobe, tak i tomu, kdo si u mne objednal.. Ja diky tomu vim, co musim zlepsit ci opravit a zakaznik vi, ze je vse v poradku..

Takze pokud se pohybujeme v castkach nad 15k, myslim, ze se vyplati si nechat udelat takovy audit.. Vsichni jsou pote klidnejsi a nevznikaji zbytecne problemy ;)

29. 10. 2014 11:55:29

https://webtrh.cz/diskuse/backdoor-na-hostingu/#reply1064595