На все мысли, кои воспоспоследуют под этим заголовком, местного автора натолкнули некоторые события, участником которых приключилось стать. Вникните, любопытно.
И для начала, правда, задумайтесь над этим вопросом. Ибо меня интересует мнение местных веб-мастеров, по этому поводу. Потому как, вопрос однозначно заслуживает внимания. Так получилось, что когда в поле зрения попадает что-нибудь интересующее, привык рассмотреть, пощупать и даже попробовать на зуб, со всех сторон и мест, с которых это только возможно. Может, это в каких-то случаях и не нужно, но что уж поделать. У каждого свои методы постижения явлений и процессов, происходящих в этом мире. И каждый их считает единственно верными. Ну по крайней мере я свои - точно. Но все эти лирические отступления хоть здесь и к месту, попробуем без философии.
В общем, довелось тут на днях похачить чужой сайт. Даже не просто сайт, а CMS. Причем, сайт довольно известного, в определенных кругах, человека. Который занимается тем, что разрабатывает собственную CMS. Очень добротную. И которая мне сильно понравилась. Чем, собственно, и заинтересовало. Движок коммерческий, закрытый. Однако, имеется урезанная версия, которую есть возможность приобрести за символическую плату. Полнофункциональная же версия оценивается очень не символически, а довольно-таки ощутимо. Но это не страшно, ибо двигатель, на мой взгляд, стоит тех денег.
Совершенно естественно, что процесс ознакомления с движком начался с урезанной версии, водруженной на локальный веб-сервер. Через несколько часов это привело к тому, что был осуществлен несанкционированный админский доступ к сайту автора CMS, который под ней же и работает, неся в составе своем различные сервисы, и в том числе магазин любопытных электронных товаров местного производства. Все это было сделано вполне осознанно - просто в силу тестерской профессиональной привычки чего-нибудь расковырять:) Причем, как потенциальный клиент, имею твердую убежденность, что подобные действия были абсолютно нормальными. К тому же, двигатель позиционируется как хорошо защищенный от всякого рода злоумышленнических атак. С чем я в принципе согласен, в большей степени. Никаких действий пакостнического характера и прочих бесчинств изнутри не совершалось - просто ознакомление с полнофункциональной версией CMS. Исходя из того, что мне продукт этот интересен как возможному пользователю движка, совершенно адекватно тотчас же вернул автору админский аккаунт, отослав на мыл ему письмецо соответствующего содержания. Разумеется, ответ с той стороны не заставил себя ждать.
И вот тут-то начинается самый веселый акт Марлезонского балета. Который поверг меня в изумление. На той стороне человек встал в позу обиженного и оскорбленного, я был воспринят как некий вредитель-бездельник, а в ответ был получен упрек, что я совершил что-то недостойное, и реплику, что дескать, на днях должна была выйти свежая версия движка, а теперь этого не произойдет по моей(!) вине, что мои действия повлекли неоправданные временные затраты на исправление и доработку, и (внимание!) бан по IP-адресу на доступ к сайту:) И вся дальнейшая переписка оставила двоякое впечатление об этом товарище. Особенно повеселил "бан". Ребячество какое-то, чесслово. Хотя уже довольно давно наблюдаю за его разработками и читаю материалы, остался в недоумении от такой позиции. С одной стороны мне нравятся вещи, которые он делает и пишет, и с серьезным уважением отношусь к трудам, а с другой - вот такая пьянка. Причем, на моих же глазах происходили изменения в структуре движка, закрывающие дыру. Что, однако, при желании, вряд ли спасет от повторной попытки взлома.
И вот теперь, серия вопросов, закономерно проистекающих из повествования. Неужели правильным было просто втихушку употребить уязвимость в своих целях? Причем не только на данном экземпляре, но и на паре десятков других клиентских сайтов, работающих на данной CMS, адреса которых тоже стали известны. Неужели было бы лучше, если бы это рано или поздно сделал кто-нибудь другой? И не факт, что из благих побуждений. Или может нужно было просто напакостить, в стиле школоты? Понятное ведь дело, что никому пользы от этого никакой. Зато есть риск очень невиртуально получить телесные или психические повреждения. Да хотя бы элементарно - я не стал ничего трогать, а просто купил его и запустил бы свой проект на движке. И меня поломали. Такая вариация радужней? И почему часть разработчиков относятся к тестированию, как к акту насилия над их творением?:) А другая часть относится к нему как к бесполезному занятию, эдакий "обезьяний труд". В каком месте я что-то неверно понимаю? Где она, сермяжная правда-то?
А я сильно убежден в том, что ничего до конца доработанного и оттестированного не существует. И сломать можно все что угодно, дело лишь во времени. Но резонный вопрос - зачем? Стоит ли цель этого самого времени? Кому нужно тестирование и стоит ли им заниматься?