Обсуждение Как распределить файловую систему сайта для защиты от кидалова заказчика?

[KerryGregor]

Есть готовый сайт. Заказчик настаивает на полной оплате работ ПОСЛЕ размещения сайта на ЕГО хостинге. Понятно, что в этом случае я отдаю ему сайт под честное слово в надежде на его порядочность. )
Однако, в ней уже есть сомнения.
Как обезопасить свой труд?
Можно как-то, например, выгрузить сайт к нему не полностью, а, скажем, подключив админку и папку шаблона через редиректы? То есть оставить самые важные части сайта на своем сервере, создав таким образом видимость полного переноса сайта на его хостинг?
Вообще, есть идеи, как решить подобную задачу?
Уверен, что у многих возникают подобные проблемы.
Мне пришла пока только мысль о редиректах папок administrator и templates через htaccess ко мне на сервак. Ну, можно еще попробовать сделать удаленное подключение к базе. Хотя это, как я понимаю, легко вытянуть через тот же adminer даже с удаленного сервера. Да и банальная Akeeba по идее должна вытянуть такую базу при создании бэкапа. Просто даже сообразить не могу, как решить подобное.
Или может какой-то компонент, плагин есть для подобных тем? Перерыл весь JED - ничего не нашел. Конечно, возможно не так искал (
Так есть идеи, ребята?

 

[ipvitaliy]

Есть готовый сайт. Заказчик настаивает на полной оплате работ ПОСЛЕ размещения сайта на ЕГО хостинге. Понятно, что в этом случае я отдаю ему сайт под честное слово в надежде на его порядочность. )
Однако, в ней уже есть сомнения.///
Так есть идеи, ребята?

обычно, когда заказчик хочет получить сайт на своем хостинге и оплачивать после - под его "честное" слово, это в 99.9% тот или иной вид кидалова - ой, мне что-то не понравилось; ой он медленно работает; мне тут сказали, что вы там не так сделали; а что-то реклама у меня не идет; а вы подъедьте ко мне, научите им пользоваться и управлять; доделайте его вот тот-то с новым списком хотелок; сайт что-то тормозит, подъедьте настройте мне инет... и т.д.
поэтому берем предоплату, чтобы как минимум заказчик был челоовеком вежливом, а не вел себя как скот последний...
и да, у большинства при постоплате то резко заканчиваются деньги на оптату, то банально жаба их душит платить.

из идей: ну зашифруй часть пхп файлов, если не оплатит - перестанут по истечении времени работать (но это все доп трудозатраты и манизатраты на скриптозащиту, да и он может на фрилансе поискать тех, кто проделает обратную процедуру).

ах, да, чуть не забыл - заказчик же может параллельно найти исполнителя по "скопируйте мне сайт один в один" - т.е. кто-то другой может сделать аналог с нуля, банально взяв материалы текущего (вкл все картинки, шрифты, расположение, функционал такй же либо близкопохожий) - такая тема на фрилансе и сейчас не потеряла актуальности...

 

[mumins]

ну зашифруй часть пхп файлов,

Сложно и можно обойти.
Смотрим сюда:
Для просмотра ссылки Войди или Зарегистрируйся
Заливаем J. с шелл скриптом в какой то кривой директории, при любом поводе паранои - сайт удаляем.

P.S.
P.A.S. v.3.0 там убит, смотрим:
Для просмотра ссылки Войди или Зарегистрируйся
Советую Для просмотра ссылки Войди или ЗарегистрируйсяДля просмотра ссылки Войди или Зарегистрируйся

P.P.S.
Есть шикарное решение: ТС, встройте ему куда-нибудь поглубже зашифрованный пхп-код, который бы правил стили таким образом, чтобы раз в 2-3 дня на 1 процент уменьшалась прозрачность его сайта...пока сайт совсем не исчезнет.

 

[1inkin]

как вариант - установить сайт и дать ему пароль от админки для пользователя не администратора с ограниченными правами, чтобы он поковырялся и проверил работу. А после оплаты отдать админский доступ.

редиректы можно через .htaccess сделать, чтобы некоторые ресурсы подгружались с другого сервера. у меня на одном из сайтов так делается. но нужно тогда подгружать какието ресурсы, которые нельзя заменить.

 

[ipvitaliy]

Сложно и можно обойти.
Смотрим сюда:
Для просмотра ссылки Войди или Зарегистрируйся
Заливаем J. с шелл скриптом в какой то кривой директории, при любом поводе паранои - сайт удаляем.

P.S.
P.A.S. v.3.0 там убит, смотрим:
Для просмотра ссылки Войди или Зарегистрируйся
Советую Для просмотра ссылки Войди или ЗарегистрируйсяДля просмотра ссылки Войди или Зарегистрируйся

P.P.S.
Есть шикарное решение: ТС, встройте ему куда-нибудь поглубже зашифрованный пхп-код, который бы правил стили таким образом, чтобы раз в 2-3 дня на 1 процент уменьшалась прозрачность его сайта...пока сайт совсем не исчезнет.

шеллы, трояны и т.п. - отлично лечатся хостингом
удаляем - восстанавливаем из бэкапа
"зашифрованный пхп-код, который бы правил стили ..на 1 процент уменьшалась прозрачность его сайта..." - такое находится менее, чем за 1 минуту, и правится поверх

только шифрованием пхп осн файлов тем, ост детский сад и "сложности" лишь с размещением соотв темы на фрилансе с поиском антиисполнителя...

 

[vada]

Так есть идеи, ребята?

Идей, лучше уже озвученных нет, но свои 15 коп. добавлю.
100% постоплата недопустима, говорю, как специалист с 15-летним стажем, спотыкался на этом не раз, как и все остальные, впрочем. Минимум 50% вперёд. Остальные дробить также пополам: 25% при демонстрации готового продукта на СВОЁМ хостинге, СВОЁМ домене/субдомене.
Лучше всего помимо финансового аспекта предварительно чётко обозначить сроки и их вариативность, в зависимости от форс-мажоров и скорости предоставления материалов и согласования этапов. Это как минимум даёт клиенту некую уверенность, что он имеет дело с профессионалом.
Исходя из своего опыта и будь я на Вашем месте, заказчик получил бы предложение (в случае, если демонстрация проведена, всё согласовано/одобрено и остался только ввод в эксплуатацию) оплаты 75% (мининмум), после чего идут "пуско-наладочные" работы, и в оконцовке платёж на оставшуюся сумму. Если заказчик категорически не желает оплачивать ни копейки, а требует сначала запилить сайт на его хостинг и передать под его управление – варианта ровно 2:
1. заказчик идёт в страну невыученных уроков, к скиллам добавляется +1 к тому "как не нужно делать";
2. если настолько жаль потраченного времени, что ажно скулы сводит, то БД - отдельно и у себя, файлы - клиенту, админку шифровать максимально и под двухфакторную аутентификацию, на все страницы повесить что-то типа "ОБРАЗЕЦ! САЙТ НЕ ОПЛАЧЕН!". Но всё равно, вероятность, что вытянут базу и, получив полный доступ к ней, откроют админку – крайне высок, поэтому, опять же, основываясь на своём опыте и опыте коллег по цеху скажу - денег Вы всё равно не увидите.
Наименее болезненно – вариант №1, глубокое сожаление и глубокая зарубка – НИКОГДА так не делать. Поверьте, это или подобное случалось со всеми, и это, пожалуй, стоит пережить. Хорошо, если с одного раза врежется в память и сознание.

 

[ipvitaliy]

как вариант - установить сайт и дать ему пароль от админки для пользователя не администратора с ограниченными правами, чтобы он поковырялся и проверил работу. А после оплаты отдать админский доступ.

редиректы можно через .htaccess сделать, чтобы некоторые ресурсы подгружались с другого сервера. у меня на одном из сайтов так делается. но нужно тогда подгружать какието ресурсы, которые нельзя заменить.

если сайт на хостинге заказчика - то заменить пароль админа делов на 2 мин.
как правило те заказчики, что не хотят платить - найдут причины этого не делать, им "ой как не хорошо" и примитивные неудобства по паролям админки или шеллам - не проблема...
по теме подгрузки ресурсов (тот же шелл), ну... типа да)) чуть сложнее обходится.

на пока что: самый сложный вариант обхода - снимать защиту зашифрованного пхп скрипта.

Добавлю: когда заказчик настаивает на 100% постоплате - крайне велик сценарий, когда сразу несколько исполнителей ему делают сайты, а он тупо выбирает кто аля лучше справится, ну и все равно найдет причины не заплатить/тянуть; и куча отговорок, мол вот тот исполнитель уже скинул цену, давай и ты, иначе не заплачу совсем... - вариантов слишком много, итог не оплаты только очевиден

 

[KerryGregor]

Админский пароль меняется через хостинг элементарно. (
Удаленная база вытянется однозначно. (
Любые шеллы будут диагностированы антивирусом хостинга и снесены им же. (
Дешифровать закрытые рнр файлы тоже вполне реально. (

редиректы можно через .htaccess сделать, чтобы некоторые ресурсы подгружались с другого сервера. у меня на одном из сайтов так делается. но нужно тогда подгружать какие-то ресурсы, которые нельзя заменить.

Наиболее хорошее решение, как я полагаю. По крайней мере ключевые файлы и папки ФИЗИЧЕСКИ останутся у меня и легким движением сайт окажется даже на его хостинге полностью неработоспособным. Поподробнее можно, как реализовать такие редиректы?

 

[ipvitaliy]

Наиболее хорошее решение, как я полагаю. По крайней мере ключевые файлы и папки ФИЗИЧЕСКИ останутся у меня и легким движением сайт окажется даже на его хостинге полностью неработоспособным. Поподробнее можно, как реализовать такие редиректы?

редиректы - т.к. они будут лежать у заказчика в голом виде, это первое, что он увидит (или тот, кто скопирует ресурсы с редиректов)

путь по удаленному включению ресурсов несколько сложнее чем шифрование пхп, J (по умолчанию) не заточена на удаленную подгрузку ресурсов системы/ядра/файлов тем...
потребуется как внести подгрузку (по сути это шеллы), так и настроить хостинг для подгрузки (многие хостинги по умолчанию отключили эти дыры с целью защиты себя от вирусни)

например php include - попробуйте)) потом не забудьте рассказать, чем вся история закончится

 

[sol_los]

Для просмотра ссылки Войди или Зарегистрируйся, если не уверен в заказчике - так ему об этом и скажи. если сайт выполнен и работает - значит ты уже потратил свое время и оно уже должно быть оплачено. и если он оплатит - то нет особого смысла не отдавать ему сайт. не знаю как бы я поступил в подобной ситуации, т.к. я всегда получаю хотя бы половину суммы и тогда заливаю сайт. даже если будет кидок - ну не так неприятно будет.
есть тупая идея - заливаешь ему чистую cms и в шаблон вставляешь iframe на свой домен. файлы есть, база есть. если это просто заказчик - не прочешет. если это кидок - сразу полезет проверять.