Кто отвечает за взлом сайта, если заказчик не переносил его с тест-хостинга?

Question

[ALexxxD]

Сделал сайт заказчику на своем тестовом хостинге. После окончания работы заказчик не переносил сайт к себе в течение 8 месяцев. За это время сайт взломали, бекапы все кривые. Кто за что должен нести ответственность в этой ситуации?

Заказчик должен мне за хостинг за 8 мес + работы по восстановлению или я должен отвечать перед ним за то, что сайт был взломан, пока находился не на его домене и хостинге? Никаких предварительных договоренностей на такой случай у нас не было.

UPD
Сайт восстановил и перенес заказчику.
Договорился, что эта работа будет мне оплачена (заказчик оплатил).
За хостинг брать денег не стал, потому что на нем хостилось еще что-то мое.
Выводы сделал.

Comments

[Alexander]

Что входило в ТЗ? На чём делался сайт (cms) и делали вы её? Наполнение сайта(контент) или продвижение, были в ТЗ? Что скрыто за термином "заражён"?

Answer 1

[xmoonlight]

Кто отвечает за взлом сайта, если заказчик не переносил его с тест-хостинга?

Я бы переформулировал вопрос:
"По чьей вине произошла такая ситуация?"
1. Вы не передали копию (архив готового сайта) выполненной работы Заказчику - вина Ваша.
2. У Вас нет копии выполненной работы, чтобы восстановить сайт - вина Ваша.
3. Вы не проследили и не предупредили Заказчика о возможных последствиях продолжения использования тестового хостинга - вина Ваша.
4. Вы не остановили работу на оплаченном Вами тестовом хостинге после получения денег за работу от Заказчика - вина Ваша.
5. Вы не предприняли организационных мер для предотвращения "точки не возврата" при взломе, выхода из строя носителей информации, политики доступов (включая сложность паролей, доступ с определённых IP-адресов и т.д.), ошибки и упущения программиста при кодировании блока проверки данных, поступающих от пользователя - вина Ваша.
----------
Впредь, следите за этими пунктами.
А на данном этапе - помогите восстановить работу и разберитесь: как именно был взломан сайт и устраните уязвимость. Эта работа должна быть БЕСПЛАТНА для Заказчика в данной сложившейся ситуации.

Comments

[ALexxxD]

Ваш ответ самый вменямый, вы разложили историю на составляющие и помогли мне лучше понять, каких ошибок больше не допускать. Спасибо.

[xmoonlight]

ALexxxD: Не за что... Welcome!

Answer 2

[mukizu]

По логике - заказчик так или иначе должен за хостинг. (если он конечно знал о необходимости переноса, иначе вообще не понятно почему вы какой-то проект хостили. Сделал - отдал.)
За взлом несет ответственность взломщик (ваш кэп). За работоспособность ответственность несет тот, кто занимается поддержкой работоспособности.

PS: Если никаких договоренностей не было, то вообще не понятно как вы хотите договариваться (какие кстати были вообще? Где и как закреплены?)

Вопрос про работы по восстановлению оставлю открытым.

Answer 3

[Денис Инешин]

Вообще это ваш косяк. Заказчик вообще может не знать разницы между тест хостингом и боевым.

По сути, вы не доделали работу. Выложить сайт на тестовом хостинге с паролями вроде admin+password - это только на посмотреть, протестировать. Где же следующий шаг?

Comments

[ALexxxD]

Почему мой? Я должен был насильно его заставить? Разницу он знал.

[Денис Инешин]

ALexxxD: действия с вашей стороны должны были быть простыми: даем недельку потестить, после удаляем и доступ закрываем. Всё.

[Alexander]

А вариант с тем, что заказчик пог сам похерить доступы к админке/фтп, вы даже не рассматриваете?

Answer 4

[Оптимус Пьян]

Ваш хостинг, да ёще и сайт этот вы делали который взломали.
Бэкапы кривые вашего сайта на вашем хотинге.
Кто тут виноват? Кончено заказчик! ))

Comments

[ALexxxD]

Хостер смог предоставить только зараженные бекапы, которые долго лечить и восстанавливать.

[Оптимус Пьян]

ALexxxD: вы отдавали заказчику доступ к хостингу?

[ALexxxD]

Дмитрий: Нет, он не просил доступ, а я ждал, когда он даст отмашку на перенос, а ее так и не последовало.

[Оптимус Пьян]

ALexxxD: Тем более, доступа у него нет, что он должен был делать? Вся ответственность на вас.

[Зелимхан Бельтоев]

Дмитрий: выше в комментарии он говорил, что нет. А теперь еще заказчика виноватым делает

[Оптимус Пьян]

Зелим Бельтоев: да только прочитал, абсурдность ситуации просто удивляет

[ALexxxD]

Зелим Бельтоев: Во-первых, хватит молоть чушь, я никого не обвинял, а задал вопрос. Во-вторых, я и не собирался давать ему доступ к своему хостингу, должен был перенести ему сайт, но сигнала о начале переноса так и не поступило.

[ALexxxD]

Дмитрий: Дмитрий: С идиотизмом ситуации не спорю, но уж какая есть.

[Оптимус Пьян]

ALexxxD: Пока сайт не не хостинге заказчика или у него доступа сайт имеет статус "в разработке" ведь заказчик бэкапы не может сделать. Если сайт "в разработке" на ком ответственность за него? Денис правильно сказал если не собираетесь сайт у себя на тестовом долго держать, то потестили и закрывайте, настаивайте на переносе.

[ALexxxD]

Сергей Сергеев: Сергей, вы глупость говорите. Во-первых, взломать можно что угодно, независимо от степени защиты. Во-вторых, с чего вы взяли, что мне отдельно заказали разработку безопасности для сайта?

[ALexxxD]

Сергей Сергеев: Ваш комментарий ни с чем из того, что я писал, не имеет ничего общего.

[Оптимус Пьян]

ALexxxD: Разработку безопасности отдельно делать не надо, это подразумевается, вы же при операции не платите хирургу отдельно что бы вас вывели из наркоза - это подразумевается )))

[ALexxxD]

Дмитрий: Ну давайте, делайте аудит безопасности с тестированием и систему защиты бесплатно для каждого сайта.

[Оптимус Пьян]

ALexxxD: Так и делаем

[ALexxxD]

Дмитрий: Значит, либо обороты позволяют, либо плохо делаете

Answer 5

[Saboteur]

Ваша ошибка была в том, что не было четких договоренностей о поддержке сайта.

Но если между вами и заказчиком не было договоренности о поддержке сайта (регулярные бэкапы, настройка), то естественно вы не несете никакой ответственности, и это была вина заказчика. К сожалению, многие заказчики и не подозревают, что это нужно делать. Так что вам прямо сейчас и нужно договариваться кто и за что отвечает. Вы можете вынести эти аргументы, что в договор входило создать сайт и отдать его заказчику, а не поддерживать его.

Comments

[ALexxxD]

Не было договоренности о дальнейшей поддержки, все о чем договаривались я выполнил, кроме переноса

[Saboteur]

ALexxxD:
Ну смотрите. Если перенос вы не выполнили, значит полностью ответственность с себя не сняли, и заказчик на это и давит, совершенно логично.

Если о создании бэкапов и поддержке вы не договаривались - это ваш аргумент при переговорах.

Каким образом был взломан сайт? уязвимость? Тогда это ваш баг, который нужно исправить. Вопрос еще почему все бэкапы кривые.

Если вы говорите, что заказчик вам должен за хостинг в несколько месяцев - значит вы ОСОЗНАННО берете на себя то, что в некотором роде поддерживаете сайт, раз хотите за это деньги. Если бы не хотели, давным давно заставили бы заказчика "съехать".

В любом случае, вам следует решить этот вопрос в переговорах с заказчиком, а не на тостере, ибо не было четких договоренностей. Надеюсь аргументы, прозвучавшие тут вам помогут найти удачное решение для обеих сторон.

Answer 6

[Hostwell]

Если вы об этом не договаривались значит и ответственности не кто не несет. А вообще за 8 мес. можно бы было договорится. Маленькая неприятность, на будущее будет уроком

Answer 7

[Руслан Федосеев]

заказчику отдали доступ к управлению хостингом?

Comments

[ALexxxD]

Нет, он не просил. После окончания работы он по каким-то своим причинам не мог перенести сайт, после нескольких напоминаний я просто забыл, что этот сайт все еще не перенесен, и сам он все это время им не интересовался.

[Руслан Федосеев]

и что получается. вы сделали сайт. где и в каком виде он лежит - не важно. прошло какое то время, заказчик все таки захотел забрать свое, и? там, где он лежит - все поломано...
или отдайте человеку то, что он заказывал и оплатил, или возвращайте оплату...
я бы на вашем месте всегда имел архив ваших заказов...

[Зелимхан Бельтоев]

ALexxxD: элементарно отдать заказчику данные к хостингу + дампы БД и всё, с вас ответственность была бы снята

[Оптимус Пьян]

ALexxxD: Я с Русланом согласен у вас у самого дамп сайта его в оффлайне на диске всяко должен лежать

[Руслан Федосеев]

ну или восстанавливайте сайт. ессно об оплате речь уже не может идти.
вот если бы вы отдали доступ на хостинг заказчику - можно было бы отговориться. а сейчас - нет. ваш косяк.

[ALexxxD]

Своего бекапа у меня не осталось (умер ноут где он лежал), а бекап хостера заражен. Отдать его я конечно могу, только что толку. К хостингу доступа я и не собирался давать, должен был перенести. Оплата уже была 100 лет назад.

[Руслан Федосеев]

а клиент вообще от вас получил результат работы? то, что лежит на вашем хостинге - это одно. а результат то где?

[ALexxxD]

Руслан Федосеев: Клиент одобрил результат, заплатил за него и я должен был перенести ему этот сайт, но перенос не состоялся, потому что долго откладывался клиентом.

[Saboteur]

ALexxxD: ноут умер, а винт может быть живым.

[ALexxxD]

Сергей: к сожалению, там именно винт накрылся, причем серьезно

[Saboteur]

ALexxxD: ну в зависимости от стоимости вашего проекта, можно попробовать сдать винт на восстановление данных. Разберут, снимут с блинов все что там смогут разобрать.

Answer 8

[ALexxxD]

В смысле я должен был ему сам перенести, а не он получить доступ к хостингу или перенести сам

Comments

[Ilya]

Ты мог бы сделать бэкап и сохранить сайт на компьютере или на облаке. Всю ответственность несёшь ты. Документов никаких нету.

[ALexxxD]

Документов о том, что всю ответственность несу я, тоже нету.

[Saboteur]

Такая была договоренность?

[ALexxxD]

Предполагалось, что я перенесу сайт на сторону заказчика, но перенос не состоялся по причине долгих откладываний заказчика. Мой бекап утерян, бекап хостера требует реанимации.

[Saboteur]

ALexxxD: Ну никто не несет ответственность в одиночку. Решайте вопрос максимально удобно для всех. Не забудьте, что заказчик может в следующий раз обратиться к вам именно в том случае, если вы сможете ему помочь, и при этом сможете ему объяснить, что именно он допустил основной косяк.

Но брать деньги за 8 месяцев хостинга - это явно некорректно. Вам нужно было перенести ему сайт, а не брать его "на поддержку".

[ALexxxD]

За хостинг могу и не брать, я не жадный, но вот бесплатно заниматься восстановлением очень бы не хотелось

Answer 9

[Пума Тайланд]

ну если вы разрабатывали сайт и хостинг ваш то косяк тоже ваш, либо вы в коде дырок оставили либо в ваш хостинг дырявый.

Answer 10

[Влад Животнев]

Правильный ответ - "закрыть тестовый сайт от публичного доступа через Х дней после показа". Закрыть можно совсем, можно спрятать за авторизацию.

Сейчас заказчик вам должен за 8 месяцев хостинга, но не за восстановление. А лучше не терять лицо и перевезти на его хостинг сейчас и денег не требовать.

Answer 11

[zooks]

Конечно вы. Зачем хостить чужой сайт, не имея при этом бекапов.
Тем более вы берете оплату за хостинг, значит несете ответственность за сохранность данных.

Comments

[ALexxxD]

Где это написано, что я беру оплату за хостинг? К тому же, за сохранность данных на хостинге нести ответственность может только хостер, кто бы ни платил за него.

[zooks]

ALexxxD: так или иначе вы должны решить проблему, если не можете самостоятельно - найти исполнителей на чистку от вирусов, а оплатит заказчик. Если на данном хостинге также хостились другие ресурсы, то денег за него не брать.