הרשם | שאלות ותשובות | רשימת חברים | לוח שנה | הודעות מהיום | חיפוש |
|
|
כלים לאשכול | תצורת הצגה |
11-09-08, 21:02 | # 21 | |
חבר בקהילה
דירוג מסחר: (0)
|
ציטוט:
כאילו יותר עניין של לסמוך עליו אבל זה לא קשור בשם דרך למערכת שלו.. |
|
11-09-08, 21:15 | # 22 | |||
חבר בקהילה
דירוג מסחר: (0)
|
ציטוט:
כוונתי הייתה שככל שיהיו יותר לקוחות, נאלץ לדאוג לשרת חזק יותר, שיוכל לעמוד בעומסים כבדים יותר, אך אין זה אומר שהשרת הנוכחי אינו מספיק חזק. המידע שנשלח מהשרת שלך מנותח ונבדק בקפדות, ושוב: אינו נשמר בשום מקום. "לגבי המפרט של השרת שלך, ברור שזה אמור לעניין אותי." להלן מפרט השרת: מעבד: Intel® Core™2 Duo 2.40GHZ זכרון: 2GB RAM הארדיסק: 250GB מערכת הפעלה: Linux CentOS חיבור: 10MB פרטי חווה: 013 UPTime: 99% ציטוט:
אם אתה מתעניין ברכישה, תוכל ליצור איתי קשר ואציג בפניך "לייב". תאמין לי, ואני מקווה שאתה מתעלם מאנשים שמגיבים ומציגים דעות שגויות לפני שהם מבררים הכל עד סוף דעת, שהמערכת הזאת היא לא פחות, ואפילו יותר, מאיך שהצגנו אותה. בנוגע לעדכונים, כמו שציינו באשכול, חובה לעדכן את המערכת בתום כל חצי שנה, בעבור סכום זעום של 50 ש"ח. קשה לי להאמין שמישהו, שקנה אבטחה, יחליט לוותר על עדכון שכזה. אם תחליט לנתק את אתרך מן המערכת, הוא יחזור למצבו הקודם על כל המשתמע מכך. ציטוט:
כאשר משתמש שולח בקשה, היא עוברת לשרת שלך, כאשר עליו מתבצעת הבדיקה הראשונית של המערכת, ורק במידה והיא תחזיר אמת, נמשיך לבדיקה הבאה, אשר נמצאת בשרת שלנו. השרת שלנו מחזיר תגובה בהתאם, ממש כמו שדפדפן שולח בקשה לשרת, שאותה השרת שלך מתרגם ומבצע פעולות בהתאם לתגובה שהתקבלה מהשרת שלנו. אנו לא מקבלים כל בקשה שנשלחת לשרת שלך, אלא רק את "המסוכנות" שבהן, ולכן, לא נוכל לשמור נתונים כאלו.
__________________
Last edited by eylonR; 11-09-08 at 21:17.. |
|||
11-09-08, 21:23 | # 23 |
עסק רשום [?]
דירוג מסחר: (0)
|
אני אישית חייב לציין שזאת עסקה שווה מאוד,
אני מכיר את אילון כבר הרבה זמן והוא אחלה בנאדם. אמין, וחשוב לציין שכל מה שהוא דובר פה זה אמת ויציב. בוא נגיד שאפשר לסמוך עליו ב4 עיניים. תמיד נותן תמיכה גם שהוא לא צריך ולמרות שאני עדיין לא לקוח שלו הוא תמיד עוזר. בקיצור אני ממליץ, אני הולך ליהיות אחד הלקוחות הראשונים שלו :P אילון ראיתי שיש לך לייב אשמח לראות. בהצלחה לך ולרועי. |
11-09-08, 21:43 | # 24 |
משתמש - היכל התהילה
דירוג מסחר: (0)
|
דבר ראשון, עדיין אין לך תקנון. מה שאתה אומר פה לגבי שמירת נתונים הוא רק המילה שלך וזה דבר שאי אפשר לסמוך עליו, יכול להיות שאתה צדיק ויכול להיות נוכל (אנחנו לא מכירים אחרי הכל...).
דבר שני, 99% uptime שלך זה אומר שבערך 3.5 ימים בשנה האתר שלך לא זמין מה שאומר שה-UPTIME של האתר שלי יורד מבחינת פונקציונאליות מלאה. מה גם כל המפרט הזה הופך ללא רלוונטי בבעיית חומרה - אין שרת גיבוי... דבר שלישי, יש הבדל בין עדכוני תוכנה לעדכוני אבטחה. למשל תוכנת אנטי וירוס נותנת לאחר שנה מנוי בתשלום לאינציקלופדיית הוירוסים שלה אבל עדכונים לתוכנה עצמה עדיין מופצים חינם. אתה אומר בגירסאות הבאות יהיו פאנל, אפשרויות חדשות, כלי ניהול וכו' - זאת כבר גירסה חדשה לגמרי ועל זה אני מבין למה אתה דורש תשלום. על עדכוני תוכנה אני עדיין לא מוצא סיבה לשלם (תקוני באגים). ולמה המוצר מפסיק לעבוד אם אני מפסיק לשלם? אני אמור להמשיך להשתמשב תוכנה רק היא תהיה לא מעודכנת. זה עדיין מרגיש כמו תשלום על תיקון באגים מאשר על עדכוני אבטחה. דבר רביעי, עדיין לא הוכחת שום דבר ממה שאמרת. הכל בתאוריה.
__________________
|
11-09-08, 22:14 | # 26 |
חבר וותיק
דירוג מסחר: (0)
|
הרבה מאומה, על לא מאומה.
"מה לעשות שיש הרבה מתכנתים שלא יודעים לאבטח?..." - תשובה: לא להעסיק אותם, להעביר להם קורסים ואם צריך אפילו לפטר אותם. או לקחת סיכון. כל אחד לפי היכולות הכלכליות שלו. אתר שדורש אבטחה גבוהה ויסכים לשלם באופן חודשי יעדיף לרכוש מתכנת קבוע. יש חברות אחרות שעושות דבר כזה? - קודם כל מדובר בחברות שמעבירות אלגוריתמים מטורפים שמשומה לא נראה לי שפיתחתם(אלגוריתמים מתמטיים לא של פונקציות פשוטות), שבודקות את המערכת, והם עושות את זה ע"ג השרת, לא לפי שרת חוץ וכל זה[וזו פרצת אבטחה!]. וכמובן לא בPHP אלא בשפות C וכו'. פיירוואל? כמו שהסבירו למעלה, זה בדיקה שונה- היא מגנה על המחשב, לא על פריצות אבטחה בתוכנה. דעתי לדעתי, מה שאתה מוכר פה הוא ריק, תוכנית כזו יכולה לגרום לקריסה של המערכת בגלל התנגשות מידע כפול, היא מאטה את טעינת האתר עקב שליחת נתונים משרת אחר. מתוך נקודת הנחה[שברורה מאליה] שהמערכת שלך מבוססת PHP, הפרויקט שלך מיותר לחלוטין: מה אתה יכול לעשות? להריץ סירצ'ים על סטרינגים של POST ו GET? להוסיף הגדרה של חסימת register_globals? לוודא שלא שלחו X פעמים מאותו אייפי אותו תוכן? בקיצור- שם דבר שלא מובן מאיליו. דבר נוסף, אשמח אם תסביר לי איך זה בדיוק נכנס בקטג' של web 2.00 ??? בקטע הבא - אני מצטער שאני נכנס באופן כ"כ אישי, אבל נראה לי הזוי להטעות אנשים ברמה כזו: אתה מגדיר את עצמך באתר שלך כ"מאבטח אתרים מקצועי", לכל הרוחות, אתה המצאת מקצוע עכשיו!?!?!?!? http://hyp3rinj3ct10n.googlepages.com/ והכי חשוב- אתה מוכר ללקוחות משהוא ואתה לא יכול להתחייב אליו אפילו בקצת? והוכחות יש בכלל? תרשימי הסבר? סקרין שוטס? משהו???? אני במקומך הייתי פשוט מוכר את הדומיין, יש לו שם יפה- ממנו אתה תרוויח יותר מכל העסק הזה. במיוחד לאור העובדה שיש פה כמה מביני-עניין שלא פראיירים ומטקבקים עם הסברים. בהצלחה בהמשך!, אלמוג בקו. נ.ב אתה דורש שימחקו תגובות שקצת לא מוצאות חן בענייך, אבל אם המערכת שלך כ"כ טובה אתה אמור להענות בשמחה לתגובות ולתת תשובות מספקות. הלקוח צריך לדעת את האמת. השאלה היא מי ייתן לו את האמת- אתה? או אני?, אם תהיה לך תשובה מספיק טובה- כנראה שאתה. |
11-09-08, 22:41 | # 27 |
חבר בקהילה
דירוג מסחר: (0)
|
sheeze
-------- "אתה משנה את התמונה עם הנתונים שהוספת פה אבל עדיין לא מספיק כדי להפוך את המערכת למשתלמת..." יהיה לי יותר קל להראות לך כמה המערכת מושלמת אם תגיד לי בדיוק מה חסר לך/לא מסתדר לך. "דבר ראשון, עדיין אין לך תקנון." התקנון יעלה בקרוב, ביחד עם האתר. "מה שאתה אומר פה לגבי שמירת נתונים הוא רק המילה שלך וזה דבר שאי אפשר לסמוך עליו, יכול להיות שאתה צדיק ויכול להיות נוכל (אנחנו לא מכירים אחרי הכל...)." כפי שצויין בהודעה הראשית של הנושא, הלקוח זכאי לקבל קבצים שאינם מוצפנים, כך שהוא יכול לראות בדיוק מה המערכת עושה. אני לא יודע למה ואיך הגעת לקטע של שמירת נתונים, כי אם אתה שואל אותי, זה פשוט לא משתלם מאחר ועל מנת לשמור נתונים, אני אצטרך לשמור כל בקשה שנשלחת לשרת, שזה אומר שלבסוף הוא יקרוס, ואז מה יצא לי מזה? "דבר שני, 99% uptime שלך זה אומר שבערך 3.5 ימים בשנה האתר שלך לא זמין מה שה-UPTIME של האתר שלי יורד מבחינת פונקציונאליות מלאה." כן לקחנו בחשבון מקרה שהUPTIME שלנו יכול להשפיע, ולכן דאגנו לשלב בקבצי הלקוח מנגנוני בדיקה שמותאמים למצבים כאלה. בנוסף, אנו כן ננסה לארגן שרת נוסף, על מנת לדאוג שהמערכת תתפקד כראוי תמיד. "מה גם כל המפרט הזה הופך ללא רלוונטי בבעיית חומרה - אין שרת גיבוי..." אנו דואגים לבצע גיבויים, כך שזו אינה בעיה, ואתה יכול לסמוך עלינו. "דבר שלישי, יש הבדל בין עדכוני תוכנה לעדכוני אבטחה. למשל תוכנת אנטי וירוס נותנת לאחר שנה מנוי בתשלום לאינציקלופדיית הוירוסים שלה אבל עדכונים לתוכנה עצמה עדיין מופצים חינם. אתה אומר בגירסאות הבאות יהיו פאנל, אפשרויות חדשות, כלי ניהול וכו' - זאת כבר גירסה חדשה לגמרי ועל זה אני מבין למה אתה דורש תשלום. על עדכוני תוכנה אני עדיין לא מוצא סיבה לשלם (תקוני באגים)." אתה לא משלם על מנת לקבל תיקוני באגים. כמו שציינתי מקודם, על המערכת נערכות בדיקות רבות על מנת לוודא שלא יהיו באגים ופשאלות בעת שיחרור המערכת. מה שכן, אתה משלם על קבלת גירסאות חדשות אשר כוללות מנגנונים חדשניים וטובים יותר ואפשרויות חדשות ומתקדמות יותר. "ולמה המוצר מפסיק לעבוד אם אני מפסיק לשלם? אני אמור להמשיך להשתמשב תוכנה רק היא תהיה לא מעודכנת. זה עדיין מרגיש כמו תשלום על תיקון באגים מאשר על עדכוני אבטחה." את האמת? קשה לי להאמין שבתור לקוח לא תרצה לקבל עידכונים למערכת. בטח ובטח שמדובר במערכת אבטחה. למעשה, זה כמו ב-Norton AntiVirus ובעוד תוכנות אנטי וירוס אחרות - כשאתה לא מחדש את הרישיון, התוכנה לא תעבוד. "דבר רביעי, עדיין לא הוכחת שום דבר ממה שאמרת. הכל בתאוריה." לאחר שיחרור הגירסה החדשה, אשר תכלול גם לוח בקרה מתקדם, יהיה יותר מה להראות,כך שנוכל לספק דוגמה של המערכת ב"לייב". נ.ב.: sheeze, שמתי לב שערכת את התגובה שלך. באמת שאין צורך להסתיר את הצד הזה ולהיות תוקפני כל הזמן למרות שעל פי מה שהגבת ומחקת, אתה מאמין אחרת. Baku ----- "שמשומה לא נראה לי שפיתחתם(אלגוריתמים מתמטיים לא של פונקציות פשוטות), שבודקות את המערכת" תתפלא, אבל כן. על המערכת הזאת אנחנו עובדים כבר המון זמן, ועוד לפני שהתחלנו אותה - עבדנו כל אחד לחוד. "לא לפי שרת חוץ וכל זה[וזו פרצת אבטחה!]" אני אשמח לדעת מדוע אתה טוען שזאת פירצת אבטחה. "לדעתי, מה שאתה מוכר פה הוא ריק, תוכנית כזו יכולה לגרום לקריסה של המערכת בגלל התנגשות מידע כפול, היא מאטה את טעינת האתר עקב שליחת נתונים משרת אחר." אני מצטער לאכזב אותך, אבל אתה טועה. המערכת שפיתחנו חכמה הרבה יותר משאפשר בכלל להבין, הסיכוי שהיא תגרום לקריסה שואף ל0. "מתוך נקודת הנחה[שברורה מאליה] שהמערכת שלך מבוססת PHP, ... מה אתה יכול לעשות?" אולי תתפלא, אבל הרבה מעבר למה שאמרת. אני בטוח שתסכים איתי שאין כל חיסרון במידה ומערכת מאובטחת תוך כדי התיכנות שלה, ולמעשה, המערכת שלנו כמעט משתווה בפעולותיה לרמה שניתן להגיע אליה במידה ונאבטח תוך כדי התיכנות. לפי מה שחשבת שאני יכול לעשות, אני רואה שאתה ממש לא מבין את העוצמה שיש בPHP, וחבל. מה שכן, אני יכול להבטיח לך שניתן לבצע הרבה מעבר למה שאמרת. "דבר נוסף, אשמח אם תסביר לי איך זה בדיוק נכנס בקטג' של web 2.00 ???" אני מצטער, כנראה לא פירשת נכון את תוכן החתימה שלי (אם לזה התכוונת). "בקטע הבא - אני מצטער שאני נכנס באופן כ"כ אישי, אבל נראה לי הזוי להטעות אנשים ברמה כזו: אתה מגדיר את עצמך באתר שלך כ"מאבטח אתרים מקצועי", לכל הרוחות, אתה המצאת מקצוע עכשיו!?!?!?!? http://hyp3rinj3ct10n.googlepages.com/" אבטחת אתרים הוא תחום שלא אנחנו המצאנו, הוא קיים, והוא קיים כבר הרבה מאוד זמן. בנוגע לאתר - מדובר באתר (שמספר חברים של שותפי ביקשו ממנו להכין על מנת לעזור להם להתקדם) המכיל תכנים בנושאים בסיסיים בלבד. "והכי חשוב- אתה מוכר ללקוחות משהוא ואתה לא יכול להתחייב אליו אפילו בקצת? והוכחות יש בכלל? תרשימי הסבר? סקרין שוטס? משהו????" חד משמעית, אין אף אחד שיוכל להתחייב לך שלא יוכלו לפרוץ לך. פריצה לא תמיד מתבצעת דרך האתר, היא יכולה להתבצע גם דרך השרת, שהוא איזור שאנו לא מאבטחים, ולכן לא נוכל להתחייב שלא יוכלו לפרוץ לך. שוב, כמו שציינתי, בקרוב נעלה גירסת "לייב". "נ.ב אתה דורש שימחקו תגובות שקצת לא מוצאות חן בענייך, אבל אם המערכת שלך כ"כ טובה אתה אמור להענות בשמחה לתגובות ולתת תשובות מספקות. הלקוח צריך לדעת את האמת. השאלה היא מי ייתן לו את האמת- אתה? או אני?, אם תהיה לך תשובה מספיק טובה- כנראה שאתה." אין לי בעיה עם זה ששואלים שאלות, ולהפך - אני מאוד נהנה לענות על שאלות ולהסביר, כי אני מבין שיש לזה חשיבות רבה, אך כשזה מגיע לרמה של "התקפות" ו-"עקיצות" כאלו, זה ממש לא כיף לענות. תלמדו לכבד אנשים, היחס שאנשים נותנים פה הוא פשוט לא יפה ולא מכובד, איך אני אמור לענות על שאלות כשסתם מנסים לעקוץ ולא באמת מתעניינים בתשובה לשאלה? ועל זה אני רוצה שתענה לי!
__________________
Last edited by eylonR; 11-09-08 at 22:45.. |
11-09-08, 23:19 | # 28 |
משתמש - היכל התהילה
דירוג מסחר: (0)
|
- מחקתי את המשפט הראשון כי הרגשתי שהוא לא שייך לשאר הדברים שכתבתי באותו פוסט. לא מתחרט על זה שכתבתי אותו ולא לוקח אותו בחזרה. אני עדיין חושב שהוא נכון כי אתה דורש פה כסף על מערכת לא מוכחת שנשמעת בשלבי בטא ראשוניים.
אני גם ממש לא תוקפני, אני לא סתם מבזבז זמן על כתיבת כל הפוסטים האלו. יש לי לקוחות שהיו בהחלט יכולים להתעניין במערכת הזאת. במצבה הנוכחי לפי מה שאתה מספר, אני לא מתכוון להמליץ להם עליה. - הקבצים של הלקוח שהם לא מוצפנים זה לא מספיק כי עדיין יהיה את הצד הנסתר שלך. לעשות insert לא יפיל שום שרת, גם לא בקצב של 10 insert-ים באותו זמן. ולמה לא משתלם? אם מישהו משתמש במערכת שלך באתר קניות שלו ואתה משיג מס' כרטיס אשראי של משתמש? נראה לי די שווה. אתה חושף את עצמך לתביעות קשות מאד פה, אם אתה מסיר אחריות ממך בתקנון שלך אז כל הסיפור הוא עבודה בעיניים. - norton ממש אבל ממש לא עובד ככה. המחשב של אמא שלי לדוגמא לא מחובר לאינטרנט, מותקן בו נורטון 2006 ללא מנוי והוא ממשיך לעבוד. אתה יוצא מנקודת הנחה שכולם ירצו להמשיך לעדכן אבל אם לא? למה שהמערכת שלך לא תמשיך לעבוד לי? היא צריכה להמשיך לעבוד על לנקודת העדכון האחרונה ולא להפסיק לתפקד הרי הלקוח שילם עד אותה נקודה (וזאת עוד סיבה ללמה אני חושב שהמערכת לא משתלמת). - אם אין לך מערכת לייב, מאיפה לי לדעת שמה שאתה מציע לי עכשיו באמת קיים ועובד? לפי מה שאתה אומר זה "תקנה, תתקין ותראה שהכל עובד". אבל מה אם זה לא באמת עובד? למה הלקוח צריך לעשות את הבדיקות האלו? - שרת גיבוי זה לא הגיבוי היומי שאתה עושה. אלו דברים שונים לגמרי. - בקשת הסבר למה שרת חיצוני הוא איום אבטחתי אז אני אגיד לך למה. אם פורצים לשרת שלך, שמים בו איזה טרויאני חמוד ששומר ושולח את כל המידע המועבד אצלך? או שפשוט פורצים לך לשרת וגונבים את הקוד? כל אתר שמשתמש במערכת שלך יהיה חשוף. יש עוד הרבה מאד טריקים ושטיקים שאפשר לעשות... אני מתנצל אם כל זה נראה לך עקיצה אבל זה לא. זאת נשמעה מערכת מעניין כפי שהצגת אותה בהתחלה אבל מהר מאד התגלו הרבה מאד חורים. אני לא יכול להמליץ על כזאת מערכת לאף אחד מהלקוחות שלי, במיוחד שאתה לא נותן לה גב.
__________________
|
11-09-08, 23:49 | # 29 |
חבר וותיק
דירוג מסחר: (0)
|
ישנו תחום במחשבים שנקרא אבטחת מידע, אין מקצוע של "מאבטח מידע" יש אנשים שיש להם קצת יותר ניסיון והם מתמחים באבטחת מידע- הם עדיין לא מאבטחים. אני לא חושב שהם הולכים ברחוב עם גלאי מתכות.
העוצמה שבPHP??, על מה אתה מדבר? ברור שאני יכול להפוך PHP לתוכנית שתתקין לינוקס וכל מיני דברים אחרים, אבל היא לא מיועדת לזה. אלגוריתמים? למה לא נראה לי שישבת לעשות במשך שנה וחצי מחקר מקיף בנושאי אלגוריתמי אבטחה במחשבים, מתודלוגיות אבטחה, וישבת כמובן להמציא אלגוריתם שימשך הרבה זמן לכתוב אותו? לגבי השרת המרוחק, חד משמעית- שרת שאני צריך להתחבר אליו מרחוק מסוכן. אני בתור בעל אתר גדול לצורך העניין לא אסתכן. עומס שרת- מה תעשה אם יפנה אליך שרת של אלף ייחודיים ביום? איך תתמודד עם כמיליון שאילתות?! אפילו לא צריך אלף- אתה לא תתמודד עם 100 ייחודיים. נניח ש-100 ייחודיים גולשים כל אחד מהם ל-10 דפים. 1000 כניסות, נניח שכל כניסה מריצה 50 שאילתות, חשבון קל: 50000 שאילתות. תכפיל במספר הלקוחות, תוסיף דילאיי של פניה לשרת. "מערכת חכמה שמזהה אם השרת נופל"- בלה בלה, זה שלוש שורות שבודקות אם השרת זמין. שוב- אף אחד לא יאמין לך שמהמערכת שלך עושה כאלו ניסים ונפלאות בלי טיפת בסיס. ודמו לא עוזר לי, מהסיבה הפשוטה שאני עדיין לא יכול לראות מה קורה. תשרטט תרשימים של אופן פעולת המערכת. עד אז, מבחינתי אתה הרבה רוח. |
חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|