То, что делается руками, никакими сканерами не проверишь. Все равно что отдать перебрать движок, а потом попытаться самостоятельно проверить качество работы с помощью рентгена - если вы не слесарь, то и не проверите. А отдавать на перепроверку "другим слесарям" - это замкнутый круг, тут либо доверие и марка "Античат" либо сразу обращайтесь в другую контору. Других способов работы при условии вашего полного непонимания просто не может быть, это очевидно.

Т.е., вы правильно сказали, доказать неправоту исполняющих работу можно только в случае взлома сайта, и то, сделанного "не специально вами", т.е. пока "машинка бегает" - какие могут быть претензии при выполнении первоначальных требований - register globals off, т.е. то, что вы в состоянии проверить?

Rebz:

Клиент:

ноу коментц. Уязвимость как таковая устранена, особенно сильно "закрыли и все". Надо наверное было "закрыли и не всё"? Т.е. очевидно клиент просто не понимает, что хочет в принципе и в чем заключается устранение уязвимостей.

PS: то есть вместо исправления ошибок закрыли их и все - в мемориз

Продублировал пост от сюда: http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=70103
============
Не буду отрицать своего знакомства с Ребзом, но всегда сужу объективно насколько это возможно...
И так вы говорите о том что вы не скандалистка и прочее приэтом раздули безумный скандал пропуская мимо ушей некоторые ньюансы и ответы исполнителей, чем очень сильно подорвали к ним и их сервису доверия от обычных обывателей и потанцеальных заказчиков, чем ну я думаю тут и так видно, при этом если вдуматься в суть проблемы и оценить объективно как и поставленное ТЗ так и его выполнение то вам всё сделали именно по договорёности. основная из которых была закрытие уязвимостей. далее сколько вам потребуется времени для докозательств того что код действительно максимально безопасен: год, два 5 лет. тоесть через какое время вы готовы будите так же публично принести свои извинения в своей неправоте в выполнение проведёной работы ? пожалуйста дайте на это чёткий ответ и готовы ли вы будите восполнить данное материально? ведь вы подмачиваете репутацию людям...
Теперь давайте выделим основное по пунктам:
1. Основным вашим требование было проверка на уязвимости и устранение онных *и закрыть уязвимости*, он выполнен ?
2. нужно перевести на register_globals off этот пунк выполнен ?

=====
и ещё как я вижу выход. заказать независимую экспертизу по проверке на безопасность кода, при этом если будет неправа команда ребза то пусть её оплачивает она по результатам проверки, если вина ваша то вы должны принести так же ПУБЛИЧНОЕ ИЗВИНЕНИЕ с компенсацией... это будет идеальный выход из сложившейся ситуации...
================
Хотелось бы узнать причину удаление моего поста по поводу ТЗ, так как при составление онного, а темболее грамотно составленого уже бы решило половину вопросов.....

Ну, и у вас в жизни я надеюсь буде тоже самое.
Когда человек совершенно не понимая какой то вещи, будет твёрдо стоять на своём, да и ещё основываться "а мне сказали", "а я думаю" и т.д...


Программа вам показывает ошибки, и вы сразу начинаете доказывать "я всё знаю", но то что обозначает любая из этих ошибок вы знаете? Или конкретно уточняли?
Если вы так хотите доказать окружающим, что сервис некомпетентен, есть точная возможность это проверить и доказать. Надо просто найти других "экспертов", которые на ваш взгляд более умные, дать им на проверку тот самый скрипт, в котором вам исправили все уязвимости, и если хоть одну уязвимость найдут – значит где-то халтура. И только после этого можно обоснованно поливать кого то грязью (а называть эксперта некомпетентным и глупым, ну это на мой взгляд прямое оскорбление).

Увы, сложно что то объяснить на словах, это надо чувствовать на себе. Оказаться на месте Rebz`a, и оценить себя со стороны.

Это убило =))))))))) {так... из юмора}


PS: вот из за таких ситуаций, многие люди не хотят делать что то принципиально своё, продавать софт, открывать сервис и т.д… чем больше у тебя репутация, тем больше шансов улететь в блек, причём явно твоей вины там не будет. Ибо какой смысл обманывать, если ты действительно можешь честно выполнить работу.


Rebz`y и команде хотелось бы пожелать удачи в бизнесе, они профессионалы своего дела, коих действительно мало, но всё-же ИМХО потраченные нервы стоят дороже любых денег.
Так что остаётся пожелать набраться терпения, и так сказать в бой =)))

охх не завидую я вам, даже за такие деньги ;(

to -=lebed=-, а вот это слушай не надо...
Сам раньше в команде античата помнится был, а щас?

Пример: приходит девушка в автосервис и просит починить машину, "нормальный" автосервис должен послать её куда подальше по такой логике, т.к. человек в принципе не может сформулировать четкое ТЗ (в данном случае просто говорит - хочу чтобы ездило, и это нормально, обычному человеку это нафиг не нужно, она может великолепный художник, поэт или руководитель хим. завода) ??? Нет, в данной ситуации (как и практически во всех сферах услуг) исполнитель просто грамотно и профессионально делает свою работу, на свое усмотрение, профессиональное, т.к. заказчик не в состоянии просто сформулировать что он хочет, т.к. не хватает спциальных знаний. Как проверяется качество работы? Очень просто - машина должна ездить и не барахлить. Что-то забарахлило? Нормальный исполнитель исправит.

Так вот тут вопрос именно в этом - заказчица думает, что что-то барахлит, приводя аргументы:

1. Высокие цены (ни к селу ни к городу, где раньше глаза были, можно подумать, кто-то заставлял - не нравиться - пройдите в другой магазин, там вероятно дешевле и качественнее)

2. Псевдоуязвиомости (по аналогии с машиной - у меня там под задним правым подкрылком вроде бы что-то трется, но я не уверено, но хотелось бы получить хотя бы часть денег за ремонт назад) - найти и привести пример использования которых не смогла не только она, но даже привлеченные ею со стороны "специалисты".

3. Оформление кода, галантное отношение - извините, если в магазине продавец увидит, что покупатель просто "троллит" фактически, а аргументов как не было так и нет (такое бывает, просто хочет вернуть пылесос, т.к. рядом более розовый и красивый и дешевле типо, а две недели уже прошло, по закону не получится, так надо поскандалить, вдруг прокатит) - ну что же, вполне могу понять исполнителей, тоже люди, не роботы.

zeta777, есть один закон. Запомните его на всю жизнь.
100% защиты не бывает.
100% гарантии, что вы не будете взломаны даст вам либо тот человек, который вас заведомо обманывает либо тот человек, что сам выбирает условия работы взламываемого обьекта (я бы дал 99% гарантию, что любой скрипт, что записан на винте, который находится на Плутоне (Плутон - это такое космическое тело), не будет взломан злыми людьми в ближайшие N лет... При N стремящимся к нолю...).

То, что вы купили - это очень значительное уменьшение вероятности взлома вашего сайта. Могу даже сказать больше - если потенциальный злоумышленник будет желать взломать ваш сайт, то узнав о тех кто убирал уязвимости, он скорее откажется даже начинать. Это лишняя трата своего времени. Поясню более подробно, дабы уйти от ненужных домыслов: Вам продали концентрированый результат увесистых знаний и опыта в сетевой безопасности. Вам продали отчет об уязвимостях, которые никогда бы не сделал ни один сканер и уж точно не фиксил бы их. Собственно, гарантии того, что проделанная работа стоила вложеных денег находится в предоставленом отчете и там нету никакой халтуры. Это была действительно кропотливая работа. Вы можете нанять стороннего специалиста по сетевой безопасности для обьективного оценивания проделаной работы, о чем и намекнул в переписке Ребз.
Все верно, нам доказывать вам нечего, пока вы выдаете желаемое за действительное. Поверьте, куда проще было бы почистить весь этот флуд, ибо со стороны (даже если она (сторона) вам кажется предвзятой), это все выглядит более чем беспочвенно и бессмысленно. Только из честности и солидарности Ребз не чистит тему от флуда. По крайней мере, так все это выглядит в моих глазах.

Спасибо всем отписавшимся.

Есть заказчики с положительным опытом общения, довольный результатами?

На форуме нету.
В целом были заказы по аудиту движка, но отзывов по понятным причинам, не будет. Мало кому приятно признавать, что их ломали и они обратились за помощью.

Продолжаем работать.
Открылась English-версия сайта для англоязычных клиентов.