Sign in

Зарегистрируйтесь, чтобы стать полноправным участником сообщества Masterpro.ws.

RSFirewall. Pro et contra

Небольшой критический обзор одного из лучших средств защиты сайта, работающего под управлением cms Joomla, от хакерских атак.

 

Подчеркну: статья ни в коем случае не является антипиаром, либо негативом в адрес разработчиков. Автор действительно считает выбор данного компонента - наилучшим решением в контексте поставленной цели: RSFirewall вполне способен защитить ваш сайт от целого ряда разнообразных попыток злокозненного вмешательства. Хотелось бы, чтобы данный материал послужил лишь небольшой ложкой дегтя в череде восторженных отзывов; среди которых, надо отметить - и статья на форуме, содержащая ряд рекомендаций, предназначение которых - облегчить новичку настройку компонента и работу с RSFirewall на первых порах. Именно к этому топику (см. по ссылке - Безопасность и Joomla. RSFirewall) и позвольте отослать тех читателей, кто решит использовать RSFirewall на своем сайте.

RSFirewall - team of developers

Начать этот краткий обзор достоинств и недостатков RSFirewall хотелось бы со следующего совета: никогда не устанавливайте загруженный с сервера производителя компонент (а загружать любой компонент не с сервера производителя я вообще категорически не рекомендую... избежите немалой головной боли), предварительно не распаковав его и не взглянув в xml-файле номер ревизии (версия компонента). Почему? Не торопитесь, сейчас объясню.

Прежде всего - необходимо отметить, что команду разработчиков RSFirewall никоим образом нельзя упрекнуть в том, что они почивают на лаврах, а развитие их софтины тем временем благополучно остановилось. Нет; ребята работают, и работают упорно. Не проходит и нескольких часов после выхода очередного релиза Joomla, как текущая версия RSFirewall устаревает, а ей на смену приходит новая. Но... вот вам в качестве первого подводного камня - явная несообразность: в названии загружаемого с сайта разработчика файла вы не найдете номера версии компонента (ревизии). Единственная возможность для вас узнать, какую же именно версию расширения вы устанавливаете - это разархивировать файл и бросить беглый взгляд, как уже было сказано, на содержимое xml-файла.

Загрузка компонента RSFirewall

Зачем такие сложности? Объясню и это... попросту говоря - вероятность, что с сайта разработчика вам повезет скачать очень неновую версию RSFirewall - не так уж и мала. Поверьте, опыт есть. И данное обстоятельство, согласитесь, выглядит некоторым диссонансом на фоне желания разработчиков показать, что обновления совершенно необходимого вам security-компонента выходят как часы, и вообще все лакированно-шоколадно... в самой попытке создания того или иного корпоративного имиджа, разумеется, ничего плохого нет; если только таковой не идет вразрез с некоторыми знаковыми особенностями работы и/или технического обслуживания.

Что произойдет дальше? Вы довольно скоро поймете, что установили неактуальную версию расширения; после обновления же до последнего релиза вы почти безусловно столкнетесь с рядом проблем. Обратившись к разработчику за помощью, вы никоим образом не получите извинений - вполне, в общем-то, уместных в данной ситуации; небрежность админов сайта поддержки RSFirewall налицо... а получите в ответ примерно следующие разъяснения:

Переписка с саппортом

Идем далее. Вы убедились, что устанавливаете именно актуальную версию RSFirewall, и ничто другое? Ок, а теперь - выполните полный бэкап вашего сайта. Не помешает. А еще лучше - если найдете время потренироваться на резервной копии. Никто не даст вам гарантии, что после обновления все действительно будет all right; причем проблемы здесь могут быть выявлены, увы, далеко не сразу.

Скажем, вполне возможно, что вы вдруг перестанете получать информационные уведомления компонента на e-mail... после чего придется потратить некоторое время на переписку с саппортом и различные способы решения возникшей проблемы:

Переписка с саппортом RSFirewall

Кстати - обращает на себя внимание настойчивое предложение предоставить саппорту административный доступ к сайту:

Переписка с саппортом RSFirewall

Нет, недоверию в данном случае нет места; но если вы не используете на сайте subversion либо иной контроль версий - я бы на вашем месте ответил отказом. Безусловно, проблема будет устранена, но вот получите ли вы доскональный отчет о действиях, предпринятых саппортом в контексте устранения проблем - никто гарантии вам не даст... а это, согласитесь, уже неприемлемо.

В контексте возможных граблей я даже не говорю про варнинги, это пустяки. Хотя, согласитесь, не очень приятно после обновления компонента внезапно увидеть их у себя на сайте; и рекомендация Alexandru Plapana - disable the error reporting - выглядит в моих глазах не слишком убедительно:

 Переписка с саппортом RSFirewall

Ок, с этой проблемой разобрались: как видите - получен совет скачать и установить поверх новую, исправленную версию продукта. И вот здесь начинаются уже гораздо менее безобидные вещи: ни номер ревизии пофиксенной версии, ни комменты, ни changelog на официальном сайте RSFirewall не расскажет вам о том, какие именно траблы были подчищены... и подчищены ли были. Вам остается полагаться лишь на заверения саппорта, что в контексте всего вышесказанного (некоторый, как бы это помягче выразиться, беспорядок на собственном сайте) представляется мне не самым лучшим решением.

В принципе, это именно то, что мне хотелось вам рассказать. Как относиться ко всему вышеизложенному - решать вам; лично мне не очень понравилось. Именно в контексте security хотелось бы несколько более стабильной работы расширения, несколько более ответственного подхода разработчика к выпуску новых релизов; хотелось бы, чтобы upgrade не был источником головной боли и не инициировал потерю времени на поиски багов и переписку с саппортом. При всем при том - повторюсь, RSFirewall действительно на данный момент является оптимальным решением в контексте защиты вашего Joomla-сайта... что же, все приходит со временем, и опыт работы - тоже, как и все иное. Моя рекомендация - на сегодняшний день будьте очень внимательны, имея дело с данным продуктом; остальное приложится.

Оставить комментарий

Добавьте ваш комментарий