Kwestie prawne a programowanie w php., Problemy wynikające z błędów programistycznych. Opcje

[ŁukaszŁ.]

Cześć. Jestem ciekaw jak to rozwiązujecie oraz jakie przykrości mogą spotkać freelancera w momencie oddania projektu, który okazuje się mieć jakieś błędy umożliwiające dostęp do bazy oraz wstrzyknięcia złośliwego kodu. Wiadomo, że programista jest od programowania a tester od testowania, niestety często osoba prywatnie zajmująca się dostarczaniem stron www musi sama zadbać o bezpieczeństwo chociaż w stopniu podstawowym, ale nie ukrywajmy, skoro co chwilę dochodzi do wycieku danych z serwisów takich jak Sony, Dropbox a nawet ostatnio afera z luką w Javie i jeszcze błędnie zaaplikowany patch, który otwiera nową lukę, okazuje się, że naprawdę ciężko jest sobie z tym tematem poradzić. Czy zabezpieczacie się na umowach zlecenie/ o dzieło ,że nie bierzecie odpowiedzialności za ewentualne błędy po zaakceptowaniu projektu? Nie wiem jak to ująć żebyście mnie dobrze zrozumieli, ale mam nadzieję, że całkiem jasno się wyraziłem (IMG:style_emoticons/default/smile.gif)

Pozdrawiam!

[xdev]

@irmidjusz: Pomyliła ci się praca z darmowym oprogramowaniem. Chociaż to fakt, zleceniodawca nie może wymagać, żeby program nie zawierał błędów. Bezpieczeństwo to proces a nie stan. Nic nie jest bezpieczne w 100%. Mało ludzi ma pieniądze, żeby na przykład pisać coś przez 6 miesięcy a później płacić przez następny rok za poprawę błędów i utrzymanie. Chociaż jeśli zlecisz komuś kto zna się na rzeczy to błędy bezpieczeństwa nie mają prawa wystąpić, jeśli tylko przemyślisz strukturę aplikacji i stosujesz dobre praktyki (na przykład przepuszczasz sql i input przez oddzielną warstwę).

A drugi problem jest taki, że możesz napisać np. formularz kontaktowy i to zajmuje 5 minut. Albo możesz napisać dobry formularz kontaktowy i to zajmuje 2 dni, albo tydzień. Zabezpieczenia to praktycznie 95% czasu jaki się poświęca na projekt. Gość na ZPN może sklecić taki formularz za 20 złotych... i ktoś bardziej kumaty ci tym wykona kod PHP na serwerze. Ja bym się podjął za 5k i bym zrobił porządnie. Co nie zmienia faktu, że większości ludzi wystarczą niepozabezpieczane skrypty za 20 złotych... ale powinni mieć świadomość, że dostają to za co płacą. Bo później jest zdziwko, jak "prosty formularz kontaktowy" skleci student za 100 złotych i z banku wycieka 3000 listów motywacyjnych (bo mu się wydawało, że zabezpieczy dane skomplikowaną nazwą katalogu:)

Wracając do tematu. Standardowa praktyka na zagranicznych portalach freelance. Jak klient płaci to od tego momentu usługa jest uważana za wykonaną. Z resztą @OP czemu sobie nie znajdziesz czegoś na jakimś vworker albo elance? Ludzie poważniejsi i stawki wyższe.

>Zazwyczaj udziela się gwarancji więc conajwyżej trzeba poprawiać znalezione błędy
To jakaś dziwna praktyka. Nie spotkałem się z tym nigdy. Myślisz, że jeśli zwolnisz się z normalnej firmy to będziesz zobowiązany jeszcze przez kilka miesięcy tam siedzieć za darmo i poprawiać błędy?

To jest może praktyka w agencjach reklamowych. Chcesz wizytówkę, płacisz 10k i masz w cenie kilka miesięcy supportu i utrzymanie. Ale nikt na polskim rynku FL nie będzie pisał skrypcików za 5-10 złotych /h brutto i jeszcze dawał na to pół roku gwarancji (IMG:style_emoticons/default/biggrin.gif) Bo po 2 miesiącach to on będzie pół godziny dziennie pracował a 8 godzin się użerał z byłymi klientami (IMG:style_emoticons/default/wink.gif) Bo jedna firma siedzibę zmieni, druga będzie chciała jaśniejszy odcień czerwonego a trzeciej coś się popsuje po nowym update FF.

Ten post edytował xdev 1.09.2012, 21:17:35