Мой блог мучительно тормозит последние несколько дней, и я хотел бы заплатить кому-нибудь (кому-нибудь?) 15 биткойнов, чтобы он оптимизировал его для меня (я бы сделал это сам, но не уверен, что у меня сейчас есть время).
В настоящее время он размещен на GoDaddy. Я думаю дать ему снимок файловой структуры моего блога и попросить его настроить образ Amazon EC2, который будет его запускать.
После того, как я протестирую его образ, я переключу свой домен, чтобы он указывал на новый экземпляр EC2, и изменю пароль администратора. Мой блог довольно маленький (всего 80 читателей), и я полагаю, что у меня нет там ничего жизненно важного/ценного/секретного. Частная информация, которую я мог бы придумать, и которую я не хотел бы, чтобы просочилась, — это, возможно, несколько адресов электронной почты некоторых из моих пользователей (не очень доволен тем, что она просочилась, но я предполагаю, что адреса электронной почты не так уж дороги, и никто не будет иметь их). стимул делать с ними что-нибудь интересное).
Как вы думаете, это жизнеспособный вариант? Или вместо этого я не должен этого делать, чтобы защитить конфиденциальность моего пользователя? Какие существуют риски безопасности?
Кстати, я пока не имею никого конкретного в виду. Если вам интересно, напишите мне по адресу ron.gross@gmail.com.
Изменить — перекрестная ссылка на сообщение на форумах bitcoin.org.
Вы должны просто изменить все пароли, которые вы ему даете, или просто добавить пользователей с пропуском (блог, хост и БД), которых вы можете удалить впоследствии.
@kaiser посмотри на мой ответ
@Ashfame: Извините, но я действительно не понимаю. Что ты пытаешься мне сказать? Чтобы было ясно: я не тот, кто задавал вопрос.
@kaiser Я хотел упомянуть, что можно где-то вставить небольшой фрагмент, который изменит пароль администратора на что-то через определенное время. Таким образом, все может выглядеть нормально даже после смены всех паролей, но технически пароль будет изменен на тот, который я уже знаю через определенное время. 🙂
Честно говоря, я думаю, что вы слишком много думаете об этом. Найдите кого-нибудь с хорошей репутацией, и вы, вероятно, будете в порядке. Всегда есть риск для безопасности при предоставлении доступа кому-то еще, но в этом случае я не думаю, что стоит слишком беспокоиться.
Звучит умно. Я бы определил. +1 ваша пятерка, если вы предлагаете фрагмент кода 🙂
Конечно! Я буду делать серию WP Evil в своем блоге. Выложу код здесь, как только пост будет готов.
@kaiser @ripper234 Я добавил ссылку на фрагменты кода. Посмотри!
Как это помогает? Вы добавили плагин/функцию для создания нового пароля администратора, но ваш новый пароль администратора хранится в открытом виде в коде. Таким образом, любой, у кого есть доступ к файловой системе, сможет увидеть новый пароль. Это, вероятно, более опасно, чем ничегонеделание, поскольку поощряет ложное чувство безопасности.
@anu Цель состоит в том, чтобы продемонстрировать, как кто-то может установить бэкдор, который будет создан через определенный момент времени, если вы предоставите кому-то доступ. Вы можете спрятать его где угодно, речь идет не о защите, а о взломе. Все ли проверяют каждую строчку кода? Даже разработчик не знает, что уж говорить о пользователях. Более того, это не публичный релиз о том, что его легко поймают, а конкретный вопрос здесь, что «существует риск». Это всего лишь базовый подход, вы можете сделать гораздо больше. Надеюсь, я ясно изложил свою мысль.
На данный момент для меня это не стоит 150 долларов в месяц, но спасибо за подсказку и ответ.
Просто получите VPS с Linode, Slicehost или Bytemark — вероятно, дешевле, чем EC2, и вам не придется беспокоиться о непостоянном хранилище в случае сбоя.
Да, есть риск! Я могу поставить чек на дату, чтобы изменить ваш пароль, создать нового пользователя и что-то еще. Не давайте доступ к тому, кому вы не доверяете. Наймите профессионала для выполнения работы.
Редактировать: Хорошо! По запросу я объяснил два случая в сообщении в блоге — http://blog.ashfame.com/?p=903.
Любой человек в ИТ-бизнесе постоянно сталкивается с частной информацией, поэтому здесь должно быть какое-то доверие. Адреса электронной почты ваших пользователей, конечно же, не являются большим секретом. Не то чтобы он их спамить собирается и уж точно нет денег продавать список из 80 пользователей 🙂
Тем не менее, вам нужен некоторый уровень доверия к человеку, которого вы наняли, чтобы помочь вам, они могут нанести больший ущерб, помимо кражи адресов электронной почты. Например, они могут просто установить троян или бэкдор в ваш блог. Да, это немного параноидально, но, тем не менее, это риск.
Вы должны быть осторожны, чтобы получить кого-то, о ком вы можете получить некоторую информацию о репутации. Или вы можете зайти на odesk.com или elance.com, где есть хорошая система обратной связи.
Отдельно хочу сказать, что я бы не стал устанавливать EC2, если вы не знаете, как управлять Linux и поддерживать его. Слишком сложно справиться со всеми проблемами безопасности, если это не ваша область знаний. Вы можете попробовать что-то вроде WPWebHost. Мы используем облачные сайты Rackspace. Это 150 долларов в месяц, но очень быстро и очень надежно.