Стоит ли слишком сильно волноваться за безопасность сайта, если все денежные операции будут выполняться на стороне (страничка банка, paypal и др.)?

Question

[depihayq]

Всем доброго дня/вечера.

Есть идея для создания некрупного краудфандингово сайта с узкой тематикой.

Для этого изначально предполагается сделать на открытых CMS (специальные для краудфандига или например Drupal) .

На сайте не планируется хранение данных плательщиков, а все операции будут проходить на стороне-например, банка.

Собственно вопрос в том, можно ли исходя из этого, много нетратиться на самописный движок и сделать все на открытых CMS?

Заранее благодарю за ответы.

Comments

[D']

>много нетратиться на самописный движок и сделать все на открытых CMS
Норм подход. И проекты на сайте будут такие же - недорогие и шаблонные.

[Макс]

D' Normalization: Простите, Вы под свои проекты всегда пишете сами новый язык? Или как все, на недорогом и шаблонном PHP?

Answer 1

[Виталий]

Можно, если стоимость работ профессионального программиста/команды будет выше репутационных и иных рисков в случае каких либо проблем.

Возможно у меня суждение предвзятое (я программист и штамповка сайтов на опенсурсовых цмс меня не привлекает и отнимает у меня клиентов ввиду демпинга цен), но серьёзный проект на опенсурсной цмс это изначально "минус в репутацию" проекта.

Собственная система это конечно же бОльшие затраты на создание проекта, но при хорошем программисте (команде) эта система надёжней защищена (особенно если у программиста "легкая параноя" на безопасность), дополнительным препятствием для злоумышленников является так же и закрытость архитектуры системы(черный ящик), зачастую выше скорость работы (ввиду отсутствия затрат на неиспользуемые части системы и заточку под конкретные задачи, вместо обобщенных алгоритмов), дешевле сопровождение и развитие системы в нужном русле.

Естественно все выше сказанное подразумевает профессиональных исполнителей. Людей которые живут внутри своей профессии. К не профессиональной команде\исполнителю выше сказанное никак не относится.

Уходя от предвзятости, на открытых системах можно построить надёжный и быстрый проект, но зачастую этот продукт все равно нужно будет дорабатывать под проект и это выйдет дешевле лишь в случае если найдёте профессионала специализирующегося на этом конкретном движке.

Это 2 стороны одной медали со множеством переменных с обеих сторон. Выбор нужно делать исходя из планирования и оценки рисков(как юридических так и финансовых), но никак не из желания экономить.

Comments

[АртемЪ]

Виталий

серьёзный проект на опенсурсной цмс это изначально "минус в репутацию" проекта

Не согласен.

[АртемЪ]

дополнительным препятствием для злоумышленников является так же и закрытость архитектуры

Тоже не факт.
В популярной системе баги отлавливаются быстро и эффективно. И взлому подвержены в основном те, кто вовремя не обновился. И аудит таких систем проводят многие спецы по безопасности.

А вот заказной проект делают как правило далекие от информационной безопасности люди. А закрытость архитектуры не такая уж большая защита.

[Виталий]

АртемЪ: Поэтому я и написал, что это всего лишь дополнительное препятствие, не более того...

А по поводу заказного проекта - я специально оставил дисклаймер, что это относится лишь к профессиональным исполнителям.

За последние лет 5 мир уже не раз доказывал, что открытая система != надёжная система. Сколько там heartbleed жил в openssl ? А пудель? Количество "глаз" смотрящих в код бесполезное число, пока все эти "глаза" не являются спецами по безопасности. В ядре линукса, в постгресе и других проектах, за которыми стоят убер-профи и то встречаются use-after-free и прочие проблемы "моветоны". Опенсурс - не гарантия более высокой безопасности.

[АртемЪ]

Виталий: Разумеется. Полностью безопасных проектов не бывает вообще, дыры есть везде.
Но в самописных решениях там не то что дыры, там прям двери открытые бывают.
Т.е хороший программист != хороший спец по безопасности.

Так что говорить что самописная система безопаснее популярной цмс, не совсем корректно, у них как минимум паритет по этой части.

[sim3x]

Виталий: открытость кода проекта означает, что исследователь может пофиксить ошибку и оповестить разработчика уже не предположением о проблеме , а патчем

[Виталий]

АртемЪ: Согласен, по хорошему в компании должен быть отдел разработки и отдел ит безопасности. Хороший программист != хороший спец по безопасности, но лично мое мнение - профессиональный программист обязан быть хорошим спецом по безопасности(не нужно быть профи, но знать должен много, очень много).

Да, возможно я погорячился с более высокой безопасностью, т.к. говорил о не таком уж и частом случае, когда над проектом работают действительно профи.

Про закрытые проекты не спорю, до сих пор не могу избавиться от ненависти к винде за её дырявые нулевые, да и Flash у всех на слуху. И бэкдоры случаются.