Понедельник, 19 ноября 2012 00:00

RSFirewall. Pro et contra

Оцените материал
(0 голосов)

Небольшой критический обзор одного из лучших средств защиты сайта, работающего под управлением cms Joomla, от хакерских атак.

 

Подчеркну: статья ни в коем случае не является антипиаром, либо негативом в адрес разработчиков. Автор действительно считает выбор данного компонента - наилучшим решением в контексте поставленной цели: RSFirewall вполне способен защитить ваш сайт от целого ряда разнообразных попыток злокозненного вмешательства. Хотелось бы, чтобы данный материал послужил лишь небольшой ложкой дегтя в череде восторженных отзывов; среди которых, надо отметить - и статья на форуме, содержащая ряд рекомендаций, предназначение которых - облегчить новичку настройку компонента и работу с RSFirewall на первых порах. Именно к этому топику (см. по ссылке - Безопасность и Joomla. RSFirewall) и позвольте отослать тех читателей, кто решит использовать RSFirewall на своем сайте.

RSFirewall - team of developers

Начать этот краткий обзор достоинств и недостатков RSFirewall хотелось бы со следующего совета: никогда не устанавливайте загруженный с сервера производителя компонент (а загружать любой компонент не с сервера производителя я вообще категорически не рекомендую... избежите немалой головной боли), предварительно не распаковав его и не взглянув в xml-файле номер ревизии (версия компонента). Почему? Не торопитесь, сейчас объясню.

Dev banner 1

Прежде всего - необходимо отметить, что команду разработчиков RSFirewall никоим образом нельзя упрекнуть в том, что они почивают на лаврах, а развитие их софтины тем временем благополучно остановилось. Нет; ребята работают, и работают упорно. Не проходит и нескольких часов после выхода очередного релиза Joomla, как текущая версия RSFirewall устаревает, а ей на смену приходит новая. Но... вот вам в качестве первого подводного камня - явная несообразность: в названии загружаемого с сайта разработчика файла вы не найдете номера версии компонента (ревизии). Единственная возможность для вас узнать, какую же именно версию расширения вы устанавливаете - это разархивировать файл и бросить беглый взгляд, как уже было сказано, на содержимое xml-файла.

Загрузка компонента RSFirewall

Зачем такие сложности? Объясню и это... попросту говоря - вероятность, что с сайта разработчика вам повезет скачать очень неновую версию RSFirewall - не так уж и мала. Поверьте, опыт есть. И данное обстоятельство, согласитесь, выглядит некоторым диссонансом на фоне желания разработчиков показать, что обновления совершенно необходимого вам security-компонента выходят как часы, и вообще все лакированно-шоколадно... в самой попытке создания того или иного корпоративного имиджа, разумеется, ничего плохого нет; если только таковой не идет вразрез с некоторыми знаковыми особенностями работы и/или технического обслуживания.

Что произойдет дальше? Вы довольно скоро поймете, что установили неактуальную версию расширения; после обновления же до последнего релиза вы почти безусловно столкнетесь с рядом проблем. Обратившись к разработчику за помощью, вы никоим образом не получите извинений - вполне, в общем-то, уместных в данной ситуации; небрежность админов сайта поддержки RSFirewall налицо... а получите в ответ примерно следующие разъяснения:

Переписка с саппортом

Идем далее. Вы убедились, что устанавливаете именно актуальную версию RSFirewall, и ничто другое? Ок, а теперь - выполните полный бэкап вашего сайта. Не помешает. А еще лучше - если найдете время потренироваться на резервной копии. Никто не даст вам гарантии, что после обновления все действительно будет all right; причем проблемы здесь могут быть выявлены, увы, далеко не сразу.

Скажем, вполне возможно, что вы вдруг перестанете получать информационные уведомления компонента на e-mail... после чего придется потратить некоторое время на переписку с саппортом и различные способы решения возникшей проблемы:

Переписка с саппортом RSFirewall

Кстати - обращает на себя внимание настойчивое предложение предоставить саппорту административный доступ к сайту:

Переписка с саппортом RSFirewall

Нет, недоверию в данном случае нет места; но если вы не используете на сайте subversion либо иной контроль версий - я бы на вашем месте ответил отказом. Безусловно, проблема будет устранена, но вот получите ли вы доскональный отчет о действиях, предпринятых саппортом в контексте устранения проблем - никто гарантии вам не даст... а это, согласитесь, уже неприемлемо.

В контексте возможных граблей я даже не говорю про варнинги, это пустяки. Хотя, согласитесь, не очень приятно после обновления компонента внезапно увидеть их у себя на сайте; и рекомендация Alexandru Plapana - disable the error reporting - выглядит в моих глазах не слишком убедительно:

 Переписка с саппортом RSFirewall

Ок, с этой проблемой разобрались: как видите - получен совет скачать и установить поверх новую, исправленную версию продукта. И вот здесь начинаются уже гораздо менее безобидные вещи: ни номер ревизии пофиксенной версии, ни комменты, ни changelog на официальном сайте RSFirewall не расскажет вам о том, какие именно траблы были подчищены... и подчищены ли были. Вам остается полагаться лишь на заверения саппорта, что в контексте всего вышесказанного (некоторый, как бы это помягче выразиться, беспорядок на собственном сайте) представляется мне не самым лучшим решением.

В принципе, это именно то, что мне хотелось вам рассказать. Как относиться ко всему вышеизложенному - решать вам; лично мне не очень понравилось. Именно в контексте security хотелось бы несколько более стабильной работы расширения, несколько более ответственного подхода разработчика к выпуску новых релизов; хотелось бы, чтобы upgrade не был источником головной боли и не инициировал потерю времени на поиски багов и переписку с саппортом. При всем при том - повторюсь, RSFirewall действительно на данный момент является оптимальным решением в контексте защиты вашего Joomla-сайта... что же, все приходит со временем, и опыт работы - тоже, как и все иное. Моя рекомендация - на сегодняшний день будьте очень внимательны, имея дело с данным продуктом; остальное приложится.

Последнее изменениеПятница, 01 апреля 2016 21:58

Оставить комментарий

Добавьте ваш комментарий

All sorts of things

Заказать сайт

Веб-разработка. Заказать сайт

Вы можете заказать сайт-визитку, блог, корпоративный сайт, интернет-магазин или коммерческий web-портал.