Нестандартные решения в самописных движках

Раз уж мы разобрали пять мифов, связанных с самописными движками — давайте заодно совершим крохотный экскурс в область некоторых присущих «самопискам» (в отличие от стандартных движков) нестандартных решений, продиктованных в первую очередь соображениями безопасности.

1. Индексный файл.

В стандартных движках он в подавляющем большинстве случаев, как ему и полагается, именуется «index.php». Наименование это буквально манит всевозможных хакеров, поэтому атаки на web-сайты чаще всего начинаются именно с попыток взлома индексного файла. В «самописках» индексный файл с наименованием «index.php», как правило, отсутствует, так как называется совершенно иначе — это осложняет возможным хакерам задачу взлома, так как прежде чем ломать индексный файл, им необходимо выяснить, как он называется, при том что его наименование в «самописках», мягко говоря, не афишируется. Не помешает добавить, что один из самых популярных и сравнительно простых способов взлома индексного файла — это дописать в конце его кода паразитный фрагмент, выполняющий нужную операцию. Программисты «самописок», хорошо зная об этом способе, ликвидируют эту возможность одним коротким оператором «exit» в конце индексного файла, который запрещает выполнение любого дальнейшего кода — дописывай на здоровье что угодно, всё равно выполняться не будет. В стандартных движках мне ни разу не доводилось встречать это решение, зато доводилось неоднократно видеть жалобы пользователей стандартных движков на паразитный (и вполне себе действующий) чужеродный код, появляющийся в конце индексных файлов в результате взлома.

2. Система автовосстановления данных и файлов web-сайта.

Несмотря на суровое название, система эта не так сложна, как может показаться на первый взгляд. Всё, что она делает — это автоматический анализ файлов web-сайта на предмет отсутствия следов взлома и их восстановление из резервной копии в случае наличия таких следов. При анализе учитывается несколько параметров, которые не должны меняться — атрибуты файлов, время их создания, размер на сервере, и если хотя бы один из параметров изменился без санкции владельца сайта или разработчика — файлы, как уже было сказано, перезаписываются из резервной копии. Запускается система автовосстановления, как правило, при помощи планировщика задач с определённым временным интервалом — к примеру, 15 минут. Это программное решение практически полностью лишает взлом web-сайта какого-либо смысла, так как через некоторое время после успешного взлома система автовосстановления возвращает web-сайту прежний вид и функционал, начисто ликвидируя внешние следы взлома (но естественно, сохраняя при этом подробную информацию о попытке взлома). О подобном программном решении в стандартных движках слышать не доводилось.

3. Изображения с «водяным знаком».

Данное программное решение основано на графических библиотеках PHP и в стандартных движках, в отличие от двух предыдущих решений, всё же встречается. Однако настройка соответствующего модуля для стандартных движков довольно трудоёмка и не всегда возможна, тем более в сравнительно короткий срок. Для «самописок» средний срок создания такого модуля — всего один день. Правда, в данном случае речь идёт уже не о безопасности сайта, а о безопасности изображений, точнее, об их защите от несанкционированного использования на других web-сайтах. Несмотря на мизерный срок и невысокую стоимость подключения такого модуля в «самописках», некоторые разработчики продолжают уверять заказчиков, что данное программное решение — исключительно дорогое и трудоёмкое, в силу чего является атрибутом лишь крупных интернет-проектов.