אשכול: Opex Firewall - תוכנית אבטחת מידע
View Single Post
ישן 14-09-08, 22:04   # 48
eylonR
חבר בקהילה
דירוג מסחר: (0)
 
מיני פרופיל
תאריך הצטרפות: Mar 2008
הודעות: 91

eylonR לא מחובר  

ציטוט:
נכתב במקור על ידי Baku צפה בהודעה
ראשית כל, אני מצטער אם זה פגע בך באופן אישי. המטרה שלי היא שהכל יהיו מרוצים. אין מתכנת מרוצה בלי לקוח מרוצה, זו הסיסמא שלי.
ממש חבל לי שלקחת את זה בפן כ"כ אישי, אבל אני רואה רעיון שבמחשבה ראשונה נשמע "מדליק לאללה", ובמחשב שניה, נשמע כמו פרויקט רציני. פרויקטים לא מרימים בשניה, הופ החלטתי הקמתי- ובטח שלא באבטחת מידע. וגם אם זה לא ככה, כך זה מצטייר.

תנסה לראות את נקודת המבט שלי, ושל שאר המצדדים בי-
אנחנו פותחים את הפורום ורואים שם מסקרן[opex] עם כותרת קצת מסתורית.
פותחים את הדף ורואים כותרות מסודרות וסדר בעניים, בדיוק כמו שצריך!
אבל שמתחילים לקרוא רואים שמדובר בלא יותר מטיטל-גבוהה ואפס מעשה, הרי אתה לא באמת מצפה שנאמין ששני מתכנתים ב-php פיתחו בפחות משנה את האלגוריתם המושלם הייחודי הבלעדי הנדיר המופלג המרחיק-לכת המתקדם ביותר הנעלה ונערץ והאליתה של חסימת תגי ה html(מוקצן בכוונה, אין לקחת ברצינות)??

אני חושב שלהבדיל מפרויקטים אחרים כמו מערכת ניהול תוכן, מערכת סקרים, עיצוב והרבה אחרים, אתה נכנס פה לתחום שדורש הרבה מעבר ל"בסיס", ברגע שאתה משווק מערכת אבטחה, היא צריכה להכיל כלים מתוחכמים, שמצפים מהם להרבה, כלים שישבו עליהם חודשים ואף שנים במחלקות מו"פ.
וההבדל העיקרי, במערכת מסוג כזה, להבדיל משאר המערכות שציינתי מעלה, צריך לראות בעניים. וזה לא חייב להיות תוצאות.
סרטוטים, תרשימים, הסברים, וכל דבר אחר יתקבל בברכה, אבל לציין "חסימת הזרקות SQL" נשמע פשוט מידי.

ובטח שבהמשך אתה שם לעצמך רגל ומציג שחצי מהמערכת יושבת בכלל בשרת אחר.



אני חושב שבראש ובראשונה, נכנסת לפרויקט שגדול עליך, ולא ידעת אפה לתקוף אותו. הפרויקט יכול להצליח ובענק, אבל צריך צוות של אנשים שיפתחו, ולא דברים קיימים או אוסף, אלא אלגוריתמים חדשים(להלן: מחלקת מו"פ-מחקר ופיתוח).

המלצה שלי:
כן, מכור את המערכת, אך כשכל הקבצים על השרת של המשתמש, את הסיבות כבר ציינתי בהודעותי הקודמות.
אבל- שיהיה מחיר סביר, וציין שעידכונים חינם לשנה, כל חצי שנה-שנה[ממליץ על שנה] נוספת של עדכון ב-X ש"ח.

והכי חשוב- תרשימי הסברים.
לפני הכל, דבר אחד שכנראה לא היה ברור, אני יכול להבטיח לך:
אנחנו לא עבדנו על המערכת הזאת בפזיזות, וגם לא מיהרנו. בנוסף לכל חשוב לי שתבין שכן יש פה צוות שעבד על המערכת ולא חיפף, ושצברנו ניסיון של זמן רב בתחום וכל פעולה שקלנו הרבה פעמים לפני יישומה ב-Opex Firewall.

עוד דבר שאני יכול לספר לך, אולי שמעת על IPB, מערכת פורומים שכיום נחשבת למובילה בעולם, פותחה במקור על ידי מתכנת אחד בלבד, אחד! והוא היה בן 17 כשהתחיל אם אני לא טועה (פחות או יותר).
המערכת שאני ושותפי פיתחנו עברה סדרה ארוכה של בדיקות פנימיות, ולא הפסקנו לשפר אותה מהרגע שהתחלנו אותה, ואנחנו עדיין ממשיכים.
זה ממש לא נכון להגיד שבגלל שאנחנו שני מתכנתים, סגורה בפנינו האפשרות לפתח מוצר שווה ערך. אני באמת מאמין, למרות הכל, שזה אפשרי ושכן יישמנו את זה, לפחות עד כמה שיכלנו.

שמתי לב שהבעיה העיקרית שהוצגה פה, היא עצם העובדה שנתח מן המערכת ממוקם בשרת מרוחק, והחלטתי להבהיר את העניין פעם נוספת:
מערכת האבטחה כלל וכלל לא יוצרת קשר עם השרת בכל שליחת טופס ובטח שלא בכל כניסה לאתר.
המערכת מריצה סריקה כללית מתקדמת בעלת אופי זהה למה שממוקם אצלינו בשרת, ורק במידה ונוצרה התאמה, היא שולחת בקשת סריקה נוספת אחרונה לשרת האבטחה, לסריקה באמצעות מנגנונים שיש באפשרותינו לעדכן באופן תדיר ללא צורך בתיאום עם הלקוח, ובסופה מחזירה פלט המסכם את שליחת הטופס של הגולש כליגיטימית או לא.

דבר נוסף שלישי שאני יכול להבטיח לך, הוא שהאלגוריתמים הנכללים במערכת בעלי מבנה ייעיל במיוחד, שלהגיד "הטוב ביותר" זה יכול להיות מופרח, אבל מתוך ניסיון אישי שלי, לא נתקלתי במשהו מדויק יותר, בייחוד שאם עושים את זה נכון, אפשר להגיע לתוצר מאוד איכותי (לפחות בתחום של סריקת בקשות הגולשים).

בקשר למחיר, אני חוזר ואומר ש200 ש"ח הוא סכום זעום בהחלט למערכת שמספקת את כל מה שתיארתי מתעדכנת באופן תדיר.



אני באמת לא יודע להגיד מה לא בוצע בצורה נכונה אשר גרם למערכת להצטייר לא כמו שרצינו, ובאמת תודה שאתה כנה איתי ומספר לי על זה, ומאוד חבל לי שלא הצלחנו להעביר אפילו חלק קטן מהגאונות של המערכת שהשקענו בה (ועדיין משקיעים) כל כך הרבה זמן ומחשבה.

הבנתי את הכוונה שלך, ואתה צודק - קשה להאמין לדבר כזה, במיוחד כשזה רק כתוב במילים, ועדיין לא העלנו את הדוגמה.
חשוב לי להדגיש כי אמנם את המערכת התחלנו לפתח רק לפני מספר חודשים, אך אנו מתעסקים בתחום, במיוחד בפיתוח אלגוריתמי אבטחה, למעלה משנה. (רועי בתחום כשנה+ [אל תראה אותו ככה לפי הוותק, הוא גאון] ואני בתחום כבר כ-3 שנים)

הסבר כללי על מבנה ופעילות המערכת סיפקתי, אך מעבר לזה, פירוט על כל פעולה ופעולה אני לא אוכל לספק, לפחות לא בפומבי.
רוב מנגנוני המערכת הם מנגנונים מיוחדים, משוכללים וייחודים אשר פיתחנו (ולא ניתן למצוא כאלו מנגנונים חכמים ברחבי הרשת), ומאוד חשוב לנו לשמור עליהם - כיתרונות.

את היתרונות המשמעותיים ביותר וההיגיון מאחורי השימוש בשרת שלנו דאגתי להסביר עוד מקודם, וגם התייחסתי לחסרונות שצויינו (אשר נשללו בעקבות ההסברים).
הרגל שכנראה שמתי לעצמי, הייתה שלא הסברתי את העניין לעומק בתחילת הנושא, וזה גרר לאי הבנות.


תודה רבה על הכנות,
אילון.
__________________
  Reply With Quote