13 сентября 2013

Чем плох бесплатный движок?

В ответ на вопрос о возможностях, безопасности и целесообразности использования бесплатных движков сообщаем вам о следующих проблемах, которые гарантированы вам при использовании бесплатных CMS: 

 

1.  Проблемы с безопасностью.

Данная проблема обусловлена тем, что код программного движка находится в открытом доступе – и тысячи потенциальных злоумышленников могут с легкостью изучить его и затем использовать данную уязвимость на рабочем проекте.

Более того, в сети интернет существует множество сайтов, которые содержат уже найденные уязвимости в данных движках. Так, например, если рассматривать движок Drupal, то в базах данных уязвимостей содержится масса информации о проблемах с безопасностью:

 

  • База данных международный классификатор SL, поддерживаемая ФСБ РФ, Securitylab – 403 уязвимости;
  • База данных международный классификатор CVSS, поддерживаемая агентством национальной безопасности США nvd.nist.gov – 660 уязвимости;
  • Международный открытый проект Metasploit, поддерживаемый IT-экспертами и хакерами rapid7.com  – содержит 4 готовых программы позволяющих в любое время осуществить взлом удаленной системы;
  • Сайт drupalexploit.com, поддерживаемый хакерами, содержит более 1000 эксплоитов, 8 из которых были найдены и опубликованы в течении 1 календарного месяца:

 

Абсолютно аналогичным образом обстоит ситуация и с другими бесплатными движками – такими, как Joomla, WordPress, DLE, PHP-Nuke и другими.

Таким образом, при эксплуатации любого из бесплатных движков вы будете вынуждены содержать в штате грамотного специалиста в области IT-безопасности, который будет своевременно заниматься обновлением вышедших в публичный доступ уязвимостей и отражать атаки злоумышленников по тем уязвимостям, о которых нет информации в общем доступе. В противном случае никто не будет отвечать за пробелы, которые выходят с частотой не менее 2 раз в неделю.

Вы рискуете тем, что однажды ваш сайт будет взломан, и на официальном источнике информации будет размещена дискредитирующая информация –например, видеоролики порнографического содержания, что особенно неприятно, например, на сайте государственного масштаба.

 

2. Низкая производительность.

Данная проблема возникает потому, что данные движки разрабатываются не для конкретных задач, а «для всего» – соответственно, разработчики, которые работают над данным сайтом, не представляют, для чего он будет использоваться. 

Хуже всего такие движки интегрируются (а зачастую не интегрируются вообще) с:

 

  • Картографическими сервисами Google и Яндекс (если о первом некоторые движки имеют представление, то о втором из-за того, что он используется только на территории РФ и СНГ, они не знают ничего) – соответственно, нет надежных, проверенных библиотек интеграции с картографическими сервисами;
  • Мобильными приложениями: ни один из перечисленных нами движков не обладал каким-либо функционалом взаимодействия с мобильными устройствами или приложениями;
  • Региональными социальными сетями: если с международными сетями (такими, как FaceBook и MySpace) данные движки как-то интегрированы, то с региональными вроде Однокласников и ВКонтакте – не интегрированы вообще.

 

Поскольку каждый бесплатный движок стремится ответить на все потенциальные запросы своих пользователей, он имеет неоправданно большой размер базы данных и сложную структуру, что, в свою очередь, также накладывает отпечаток на производительность сайта и его безопасность.

 

 

3. Высокая нагрузка на хостинг.

Эта проблема возникает из-за того, что программный код, который пишется несколькими десятками разработчиков по всему миру, практически не проходит тестирование:

 

  • UNIT-тестирование. Тестирование качества программного кода – как правило, такое тестирование проводится благодаря четким бизнес-процессам внутри компании;
  • Функциональное (или качественное) тестирование. Это тестирование взаимодействия модулей, проводится оно, исходя из конкретных задач проекта;
  • USER-тестирование – тестирование интерфейса пользователями. Проводится также исходя из конкретных задач;
  • Нагрузочное тестирование системы. Тестирование системы при одновременной работе определенного, заведомо завышенного, числа клиентов;

 

Все перечисленные выше факторы создают угрозу безопасности  проекта, а также ставят заказчика перед проблемой финансирования серверных мощностей, на которых данное не оттестированное ПО будет нормально функционировать. Стоит отметить, что в момент приемки работ при минимальной нагрузке описанные выше проблемы могут не проявиться, а проявятся они в момент какой-либо повышенной активности пользователей – например, во время какого-нибудь спортивного или культурного события в регионе.

 

4. Сложность в настройках.

Как мы уже говорили, движки бесплатных CMS разрабатываются «для всего», и поэтому вам или вашим разработчикам придется: 

 

  • Разбираться в ненужных конкретно вам модулях;
  • Обеспечивать их безопасность;
  • Отключать их от движка проекта;
  • Отключать их от базы данных проекта

 

Если данные мероприятия не выполнять, то возникает очень серьезная угроза IT-безопасности всего проекта.

 

5. Ограничения на доработки.

Бесплатные движки практически не документированы, – в результате чего любая сторонняя доработка, будь это интеграция с картографическими сервисами или социальными сетями, выполняется очень долго, трудозатратно и практически всегда некачественно. Происходит это потому, что зачастую разработчики, осуществляющие доработку, не имеют представления о реальных функциональных особенностях дорабатываемой ими системы.

 

6. Низкая квалификация разработчиков.

Как правило, компании, которые используют бесплатные движки в своих проектах, являются начинающими на рынке IT-услуг. Именно поэтому они не имеют в своей базе собственных наработок (так называемых frameworks), которые позволили бы им оказывать более быстрые и качественные (в первую очередь в плане IT-безопасности) работы. Нередко эти компании не имеют представления о методах обеспечения безопасности программных движков, которые они поставляют заказчикам своих услуг.

 

 

7. Перенос полной ответственности за качество работы на заказчика.

Все без исключения бесплатные движки, согласно лицензии GPL, поставляются «как есть», то есть, заказчик сам несет ответственность за возможные сбои и взломы своей системы. Заставить отвечать за эти уязвимости исполнителя фактически невозможно, так как данный программный код они не писали и не разрабатывали. 

 

Исходя из вышеперечисленных пунктов, мы крайне не рекомендуем использовать бесплатные CMS-системы в работе интернет-магазинов и в особенности государственных учреждений – и считаем использование данных движков небезопасным и нецелесообразным.

Все новости