Проверяем качество сайта. Как проверить безопасность сайта


Проверяем качество сайта / Хабр

Итак, допустим, вы руководитель проектов, у вас есть команда (программист, верстальщик, дизайнер, кто то еще) и вы создаете сайты. Проблема в том, что руководителю проектов необходимо знать совершенно все аспекты создания сайта, начиная от дизайна, и кончая безопасностью, чаще всего – так не бывает. Если руководитель проектов бывший дизайнер, он справиться с такими аспектами как дизайн и юзабилити, но вот в техническом плане у него (у вас) будут проблемы. Бывает и так, что руководителем становиться менеджер, конечно, он великолепно управляет людьми, у него ярко выраженные лидерские способности… но в техническом аспекте ему приходиться полагаться на свою команду, это хорошо, если команда – настоящие профессионалы, а если нет, то спрос будет не с команды, а с ее руководителя. В этой статье, я постараюсь описать несколько моментов, которые помогут вам оценить качество создаваемых вами (вашей командой) сайтов.
Что мы будем тестить?
Тестить мы будем следующие моменты:
  • Верстку
  • Программировине
  • Безопастность
Верстка
1. Верное отображение сайта в разных браузерах Так уж получилось, что разные браузеры, отображают один и тот же html код, по-разному. Это печально, и это головная боль всех верстальщиков. Тем не менее, эта головная боль оплачивается, и оплачивается вами. Так что стоит проверить, как именно ваш сайт отображается в разных браузерах, причем проверить – это не значит открыть главную страничку сайта, лучше проверить все странички. Тут я бы выделил пять браузеров: Ну и еще можно проверить в: Если лень грузить браузеры и тыкать по ссылкам, то можно сие действо и автоматизировать, для этого есть специальные сервисы:
  • http://browsershots.org/ — бесплатный сервис, куча браузеров. Вводите адрес сайта, и его ставят в очередь на проверку, ваша очередь придет примерно через час, но проверяется только одна страницы, и одно разрешение экрана, так что если хотите проверить все страницы при разных разрешениях – запаситесь терпением… нечеловеческим терпением… После проверки получите ссылки на ваши скриншоты.
  • http://ipinfo.info/netrenderer/ — Проверяются только разные версии Internet explorer’a. Никакого ожидания, скрин выдается сразу. Сервис бесплатный.
  • http://www.browsercam.com/ — Сервис довольно крутой. Можно проверять сразу 10 url’ов, можно указать до какого уровня вложенности страниц проверять, а можно проверить сайт целиком. Можно даже переход на поддомены указать. В общем у этого сервиса есть все, наверное потому он и не бесплатный (около 100 баксов в месяц).
Вообще, таких сервисов в сети куча, стоит только спросить у гугла…2. Валидность верстки. Сейчас много говорят, о том, нужна ли валидность верстки. В основном приводят в пример google, типа «Если уж гугл свой сайт сверстали забив на валидность, то что нам простым смертным остается…». Если присмотреться к коду google.com, то… знаете, я бы такого верстальщика на работу не взял… оформление и разметка – вперемешку, тип документа неуказан, таблица стилей не вынесена в отдельный файл…. На FrontPage’е они верстают что ли… В общем, это все со знаком минус, а на минусы ровняться не стоит. Про важность валидации можно говорить много, и можно привести кучу доводов показывающих важность валидации, и все эти доводы можно оспорить, кроме одного:Профессиональный верстальщик никогда не позволит себе не валидный код, а хорошая студия не возьмет верстальшика, верстающего «как попало». Проверить валидность верстки сайта можно тут:http://validator.w3.org/
Программирование
Оценить работу программиста, программистом не являясь, мягко говоря, сложно, и все же я дам несколько советов, что бы вы могли иметь некое представление об уровне программера, работающего с вашим проектом.1. ЧПУ Или Человеку Понятный УРЛ. Посмотрите внимательно в адресную строку браузера, там не должно быть никаких «?», «=», “&” и прочей фигни, только буквы! То есть, например если у вас на сайте есть новости, то адрес на страничке новости должен быть не такимваш_сайт.ru/news.php?cat=last&id=451, а что то вроде:ваш_сайт.ru/news/last/451 Согласитесь, второй вариант, как минимум, приятнее для глаз, и я думаю любой хороший программист, если ему будет не лень (а раз мы ему платим, значит лень ему быть не должно), может и должен реализовать в вашем проекте ЧПУ. Кроме того, что это все приятно для наших с вами глаз, это приятно и для глаз поисковиков.2. AJAX Аякс, это красиво, удобно, популярно и современно. Но помните, перебарщивать AJAX’ом нельзя, его нужно использовать только там, где он действительно полезен. Впрочем, где использовать AJAX, а где нет, к программированию не относиться, зато к программированию относиться сама реализация… Я, как программист, скажу, что самый большой наш порок – это лень вкупе с пренебрежением к пользователям. Если в вашем проекте используется AJAX, убедитесь что при динамической подгрузке данных, пользователь информируется о том, что на сайте что то происходит. Может быть у вас в офисе и стоит десятимегабитная выделенка, но у многих пользователей интернет горзадо медленней, и при щелчке на ссылку, пользователь может и не понять, что что-то грузиться, надо бы ему об этом рассказать.3. CMS Если на сайте используеться система управления контентом, а так чаще всего и бывает, и если эту систему писал ваш программист, убедитесь, что вы понимаете, как работает система, и при необходимости, сможете работать с ней сами. Видел я одну cms, где странички создавались путем вбивания нужных значений в таблицу mysql через phpmyadmin. Управление вашими сайтами, должно быть для вас совершенно понятным, ибо программисты приходят и уходят, а сайт остнется.
Безопасность
Говорят, что только самые лучшие программисты, могут стать хакерами (ну или как принято говорить «Консультантами по IT безопасности»), так что не рассчитывайте, что сможете сами проверить сайт на уязвимости, прочитав эту статью, однако пару рекомендаций я вам дам.1. SQL уязвимости Пожалуй, самая распространенная ошибка программистов. Вечно мы забываем проверить переменную, перед тем, как использовать ее в sql запросе. Суть уязвимости в том, что бы изменить передаваемую скрипту переменную так, что бы sql запрос выдал не то что должен, а то что нужно хакеру. Проверить переменную на на безопасность довольно просто, достаточно вставить в нее символ «’».Допустим у вас urlваш_сайт.ru/news/last/451 Попробуйте изменить его на:ваш_сайт.ru/news/last/4’51/ И если вылетит ошибка типаWarning: Supplied argument is not a valid MySQL result resource… Или что нить в этом роде – урежте зарплату программисту, если вместо новости с идентификатором 451 вылезет новость с идентификатором 4, тоже ничего хорошего. Апострофы стоит повставлять не только в url’ы но так же и во все input и textarea поля на сайте, короче говоря, везде, куда пользователю разрешено вводить текст.2. Загрузка файлов Если пользователь может загружать на сайт файлы (фотографии, документы), нужно проверить, какие именно файлы разрешены к загрузки, и если тип загружаемого файла не проверяется, считайте что ваш сайт взломан.3. Остальные Хотел сейчас написать про xss уязвимости, и понял, что не могу выразить свои мысли словами, доступными людям, не разбирающимся в IT безопасности. Поэтому все же посоветую использовать для проверки сайта на уязвимости специального человека, или специальный софт. Я бы посоветовал XSpider (http://www.ptsecurity.ru), правда это обойдется вам от 9000р в год. Есть и бесплатные утилиты, менее надежные, но все-таки бесплатные.
Еще
Ну и так в бонус, есть неплохой сервисhttp://webo.in/ Который скажет вам насколько ваш сайт быстро грузиться, и что можно предпринять для ускорения его загрузки… это так, если захочется наказать программиста…

habr.com

Как узнать, безопасен ли сайт?

Как узнать, безопасен ли сайт, на который Вы попали? Рискованно ли на нём купить что-то и насколько его содержимое подходит для детей?

Для этого в популярных антивирусах есть встроенная система оценки сайтов. Чаще всего она работает на основе голосов самих пользователей. Подобная система есть, например, в Avast Internet Security. Но тут есть одно маленькое «но» — практически все антивирусы с подобными функциями платные!   Да и в следствии своей платности они имеют довольно ограниченную аудиторию, а значит и в рейтинг оценки сайтов попадает лишь небольшое их количество!

Так что для себя я нашел решение получше. Называется оно — Web Of Trust.

Web Of Trust - бесплатный сервис оценки благонадёжности сайтов.Web Of Trust — бесплатный сервис оценки благонадёжности сайтов.
Принцип работы

По сути — это специальная примочка к браузеру, которая при открытии новой страницы возле адресной строки показывает её рейтинг в виде цветной эмблемки. (Она может быть окрашена от ярко зелёного до ярко красного цвета) И чем зеленее эмблема (индикатор надёжности сайта, если хотите), тем безопаснее этот сайт. И наоборот — если значок краснеет — что-то с этим сайтом неладно…

Индикатор надёжности сайта от Web of Trust

Что именно — можно узнать нажав на индикатор левой кнопкой мышки по значку. Откроется окошко с более подробной информацией о том, что именно не нравится посетителям на данном конкретном сайте.  Также, тут можно выставить свои оценки данному сайту в следующих «Номинациях»:

  • Доверие (Trustworthiness) — по этому критерию можно судить не только о том, насколько пользователи интернета доверяют этому сайту, но и насколько добросовестно он выполняет свои обязательства (в случае, если это какой-то сервис или интернет-магазин). Также, если владельцы сайта для его рекламы пользуются, например, услугами спаммеров или другими нечестными способами рекламы — это будет (и должно быть) отмечено радикально низкими оценками в этой категории.  Еще низкие оценки в этой графе могут быть выставлены за переизбыток навязчивой рекламы (например всплывающие окна или плавающая поверх страницы вслед за пользователем рекламная фигня).
  • Надёжность продавца (Vendor reliability) — в том случае, если сайт-продавец мошенничает (или активно пытается это делать), ему выставляются негативные оценки. В противном случае — потрудитесь поставить позитив. 🙂
  • Конфиденциальность (Privacy) — в этой категории оценивается степень доверия к владельцу сайта, можно ли ему доверять свои конфиденциальные данные (адрес эл. почты, ФИО и т.д.).
  • Безопасность для детей (Child Safety) — ну тут всё понятно. Если на сайте есть голые девки или мужики (или вместе), если на сайте есть описания, фотографии или призывы к жестокости, насилию; призывы к национализму, фашизму, расизму, антисемитизму и прочей аморальной грязи, заканчивающейся на «-изм» — смело лепите этому сайту минимальный балл!  Его владельцы честно его заработали.

Если же есть желание не только оценить, но и прокомментировать сайт — добро пожаловать в комментарии. Для этого нужно нажать на надписи «Добавьте свой комментарий», и в новом окне откроется страничка сайта WoT, посвящённая данному сайту. На ней можно не только просмотреть подробный отчёт с комментариями, но и оставить свой отзыв о сайте.

Установить надстройку для оценки сайтов в свой браузер очень легко. Просто зайдите по адресу:

www.mywot.com/en/download

И скачайте его, нажав на рыжую кнопку справа. Приложу ещё короткую инструкцию в картинках по установке плагина в Internet Explorer:

Как скачать и установить плагин Web of Trust в Internet Explorer. Шаг 1

 

Как скачать и установить плагин Web of Trust в Internet Explorer. Шаг 2

 

Как скачать и установить плагин Web of Trust в Internet Explorer. Шаг 3

 

Как скачать и установить плагин Web of Trust в Internet Explorer. Шаг 4

 

Как скачать и установить плагин Web of Trust в Internet Explorer. Шаг 5

 

Оцените статью: Поделитесь с друзьями!

www.remnabor.net

Как проверить сайт? 10 способов

Существует множество способов проверить сайт на такие параметры как:

Как проверить сайт на юзабилити.

Любой владелец сайта хочет знать, что на самом деле думают его посетители. Что им кажется непонятным, сложным, раздражающим? Почему они уходят, не зарегистрировавшись и ничего не купив? Сервис Usabilla () хорош тем, что, во-первых, позволяет получить фидбэк от пользователей, а во-вторых, в отличие от остальных юзабилити-тестеров, имеет базу русскоязычных тестировщиков. Принцип работы прост: вы отправляете ссылки на страницы вашего сайта и получаете отзывы о том, что с ними не так. Можно сузить запрос и попросить тестировщиков выполнить определённое задание. Например, купить ботинки на сайте, комментируя каждый свой шаг. Есть ещё один неплохой бесплатный вариант — сервис Mouseflow (), позволяющий записывать действия реальных посетителей сайта, точнее — движения их мышки. Благодаря этому можно узнать, насколько долго они ищут нужный элемент, какой путь проходят до совершения покупки, что их смущает в заполнении.

Как проверить сайт на адаптивность.

В идеале современный сайт должен хорошо смотреться на множестве устройств: смартфоне, планшете, ноутбуке и телевизоре с выходом в интернет. С ростом мобильного интернет-трафика адаптивность сайтов становится критически важной функцией. Бесплатных инструментов проверки работы сайта на различных устройствах в интернете много. Некоторые эмуляторы (iPhone Tester, iPad Peek) позволяют увидеть свой сайт только на экране iPhone ( ) или iPad (), другие, как Screenfly (), — на экранах различных мобильных телефонов, включая HTC, LG, BlackBerry и Samsung. Популярный сайт кроме картинок выдаёт аналитику — информацию о том, что можно улучшить, чтобы сайт правильно отображался на экране мобильного.

Как проверить сайт на быстроту восприятия.

Если в течение первых пяти секунд пользователь не смог понять, что ему делать на сайте, он, вероятнее всего, его покинет. В столь жёстких условиях конкуренции за внимание аудитории именно первое впечатление от вашего сайта играет огромную роль. Сервис 5secondtest () предлагает вам поэкспериментировать на потенциальных клиентах. Для этого он показывает страницу сайта тестировщикам в течение пяти секунд, а потом предлагает им ответить на интересующий вас вопрос. Например, каково их общее ощущение от сайта и почему? Смогли ли они понять, чем занимается ваша компания и какие действия они должны совершить в следующий момент?

Как проверить сайт на валидность.

Владелец сайта не обязан уметь исправлять ошибки в коде своего сайта, но об их существовании знать обязан. Проверить сайт на валидность — значит посмотреть, соответствует ли его исходный код стандартам W3C (). Несоответствие этим нормам и правилам может привести к тому, что сайт будет неадекватно отображаться в различных браузерах и пользоваться дурной репутацией у поисковиков. Считается, что валидный код влияет на рейтинг сайта в поисковых системах, потому что валидность HTML-кода является одним из показателей качества сайта. Проверить свой сайт на ошибки можно с помощью сервиса

Как проверить сайт на безопасность.

Последствия заражения сайта вирусами могут оказаться плачевными как для владельца сайта, так и для его посетителей. Наиболее подвержены заражению самые популярные бесплатные движки сайтов — Joomla и WordPress, но и остальным не стоит расслабляться. Может случиться всякое: кража паролей, личных данных и номеров пластиковых карт пользователей, превращение компьютера в «зомби», рассылающего спам (ботнет), клоакинг, делающий сайт невидимым для поисковиков, подстановка платёжных реквизитов и многое другое. Чтобы всё это не навредило бизнесу, нужно то и дело проверять сайт на наличие вредоносного кода. Для этого можно использовать такие бесплатные инструменты как , «Яндекс» для веб-мастеров (вкладка «безопасность») и Antivirus Alarm ()

Как проверить отображение сайта в браузерах.

Кроссбраузерное тестирование необходимо для того, чтобы определить, идентично ли отображается сайт во всех популярных браузерах (Google Chrome, Internet Explorer, Mozilla Firefox, Opera, Safari, «Яндекс.Браузер»). Под идентичностью понимается отсутствие развалов вёрстки и отображение материала с одинаковой степенью читабельности и стабильной работой всех функций. Бывает, что код неодинаково воспринимается разными версиями одного браузера. Чтобы отследить эти нюансы, можно воспользоваться популярным платным сервисом или его бесплатными аналогами и Правда, в бесплатных вам, возможно, придётся немного подождать в очереди из желающих.Естественно, сайт не должен соответствовать стандартам всех существующих браузеров. Сначала можно просто при помощи Google Analytics изучить статистику посещений, посмотрев, какими программами пользовались посетители. Определив наиболее популярные с точки зрения количества посещений, стоит приступать к тестированию и удалению неполадок.

Как проверить скорость сайта.

Любая мелочь, даже медленная загрузка страницы, может заставить потенциального клиента уйти с сайта. Исследование, проведённое в 2010 году, показало, что более 30% пользователей покидают страницу, если она загружается дольше секунды. 37% из них больше никогда не возвращаются на этот сайт, а 27% идут на сайт конкурента. позволяет не просто увидеть время загрузки страницы и сравнить её с оптимальным, но и узнать, в чём причина этой ошибки. Сервис даёт подробные рекомендации по оптимизации элементов страницы.

Как проверить битые ссылки.

Гиперссылки, которые ведут на несуществующие страницы и выдают ошибку 404, всех раздражают. Битые ссылки появляются по разным причинам: истекает срок хранения или удаляются файлы, указываются неправильные URL, меняются адреса страниц. Самая плохая черта битых ссылок — незаметность: можно долго ходить по собственному сайту, не обращая на них внимания. Поэтому стоит время от времени проверять сайт на их наличие. Делать это можно при помощи бесплатных сервисов , и других.

Как проверить орфографию сайта?

Если владельцы сайта не могут себе позволить нанять корректора, вероятность возникновения орфографических ошибок на нём довольно велика. Чтобы лишний раз не трепать нервы граммар-наци и просто интеллигентным людям, стоит иногда проверять сайт на орфографию. Для этого можно использовать специальный сервис на Достаточно ввести URL сайта, и он выделит слова, отсутствующие в словаре, жёлтым цветом. Проверка не будет работать для страниц, требующих авторизации. Можно также воспользоваться более подробным и внимательным к мелочам сервисом проверки

Как проверить поисковую оптимизацию сайта?.

Сайты бывают красивые, но неэффективные. даёт прекрасную возможность увидеть сайт таким, каким его видят поисковики. Никаких рюшечек, стильных рамочек и других отвлекающих манёвров — только голая правда. Полезный сервис для тех, кто планирует оптимизировать сайт под поисковые системы.

Похожее

belashoff.com

Безопасность сайта. Проблема и решение.

Безопасность сайта складывается из трех вещей:
  1. безопасности программной части (CMS, скриптов)
  2. безопасности сервера (хостинга)
  3. осведомленности и аккуратности администратора сайта или тех, кто работает с сайтом как администратор
Если все три составляющих организованы надлежащим образом, то сайт будет неприступным для хакеров и вирусов.

Надежность программной части

Программная часть — это система управления сайтом (Joomla, Wordpress, Bitrix и др) или скрипты, на которых работает сайт. Надежность программной части подразумевает отсутствие уязвимостей («дыр»), позволяющих злоумышленнику получить доступ к базе данных, файловой системе или панели администратора сайта.

Чтобы в программной части не было уязвимостей, разработчики должны разрабатывать скрипты с оглядкой на безопасность, что выполняется не всегда. Правда жизни такова, что практически в каждой CMS или в скрипте существуют уязвимости. Часть из них опубликована в открытом доступе (публичные уязвимости), другая не доступна широкой аудитории и используется злоумышленниками для целевых атак на сайты. Для того чтобы программная часть сайта была надежна и неприступна, нужно уделять внимание проблеме безопасности.

Если сайта работает на одной из популярных систем управления сайтом, нужно следить за обновлениями и патчами, и своевременно обновлять CMS до самой последней доступной версии.

Если сайт работает на скриптах собственной разработки, нужно выполнить сканирование сайта доступными средствами поиска уязвимостей (XSpider’ом, Acunetix Web Vulnerability Scanner’ом, утилитами для поиска SQL иньекций, XSS, RFI и другими), проверить исходный код сайта средствами статического анализа исходного кода (RIPS) и, если обнаружатся уязвимости, исправить их. Кроме регулярных обновлений скриптов и CMS есть еще один важный момент, усиливающий безопасность и надежность скриптов — это правильная конфигурация сайта. Необходимо:

  1. грамотно прописать права на файлы и директории
  2. закрыть доступы к внутренностям сайта (каталогам с резервными копиями, конфигурационным файлам и пр)
  3. запретить выполнение скриптов в директориях загрузки
  4. поставить дополнительную защиту на вход в панель администратора
  5. и др.

Данные меры позволяют значительно снизить вероятность взлома сайт, даже при наличие уязвимостей в программной части.

Безопасность сервера (хостинга)

Вторым важным моментом, влияющим на безопасность сайта в целом, является хостинг, на котором размещается сайт. Хостинг может быть shared («общий») или dedicated («выделенный»).

Для shared-хостингов ответственность за безопасную настройку сервера лежит на администраторе хостинг-компании. Для dedicated-сервера (VDS/VPS/DDS) эта ответственность лежит на владельце сервера.

Как в случае shared-хостинга, так и в случае dedicated-сервера конфигурация должна обеспечивать минимальную свободу действий, не нарушающих работоспособность сайта. То есть на сервере должны быть разрешены только самые необходимые функции, а все остальное — запрещено. Например, если сайт не выполняет внешних подключений к другим серверам, должны быть отключены опции внешних соединений. Если сайт не использует системные вызовы (system, shell_exec, и др), эти функции необходимо отключить. Кроме того, должна быть ограничена область видимости файловой системы из скриптов и многое другое. Обо всем этом должен позаботиться системный администратор сервера.

Как известно, на одном сервере shared-хостинга размещаются сотни сайтов, и каждому сайту требуются свои функции. Поэтому хостинг-компании максимально лояльно подходят к вопросам настроек сервера, разрешая практически все. Естественно, это сказывается на общем уровне безопасности всех сайтов, размещенных на их серверах. Поэтому владельцу сайтов нужно тщательно подходить к вопросу выбора хостинга: выбирать нужно тот, который позволяет производить настройку веб-сервера и php персонально для эккаунта, а не использовать установки по-умолчанию.

Настройку dedicated-сервера должен проводить опытный системный администратор, который изолирует сайт от остальной части системы, максимально ограничит свободу скриптов и область их видимости, а также организует механизмы контроля целостности файловой системы, систему резервного копирования и логгирования.

Осведомленности и аккуратности администратора сайта

Владельцы сайта, обычно, уделяют мало внимания вопросам безопасности, предполагая, что программная часть безупречна, настройки сервера надежны и безопасны. Хотя собственная беспечность наиболее часто является причиной взлома сайтов и заражения вирусами.

Ниже приведен чеклист, который должен постоянно держать в голове администратор (владелец) сайта:

  1. Компьютер, с которого выполняется работа с сайтом, должен быть защищен коммерческим антивирусным программным обеспечением и регулярно им проверяться. Если с сайтом работает несколько человек, данное требование применяется к каждому.
  2. Пароли от ftp/ssh/панели администратора нужно менять регулярно, хотя бы раз в месяц
  3. Не хранить пароли в программах (ftp-клиентах, браузере, электронной почте)
  4. Ставить сложные пароли вида «[email protected]%4»
  5. Работать по безопасному протоколу SFTP или SCP

Итог

Чтобы сайт был защищен от вирусов и хакеров, нужно достаточно много внимания уделять проблеме безопасности: поддерживать программное обеспечение в актуальном состоянии, правильно настраивать хостинг и следить за доступами к сайту. Если хотя бы один из трех элементов будет слабым звеном, сайт останется уязвимым.

---

По вопросам защиты сайта вы всегда можете обратиться к специалистам.

Обсуждаем и комментируем

revisium.com