wie riskant ist outsourcing?

E

ethan

Guest
kann ein böser freelancer einen onlineshop kapern? wenn man jemanden beauftragt einen modul zu insttallieren, könnte dieser z.b. die downloadartikel stehlen und vertreiben , wie kann man sich davor schützen? kann man in den verlauf/tätigkeiten der letzten 2-3 monate einsehen, wenn ja wo?welche zugangsdaten solllte man auf keinen ffall herausgeben.z.b.zugangsdaten zur datenbank? was soll man unbedingt nach fremdarbeiten am shop überprüfen? wie z.b. ob die kontonr noch stimmt
das alles klingt vielleicht etwas paranoid aber sollte schon wichtig sein oder? danke schonmal.gruss.
 
Hallo,
prinzipiell ist das sicherlich moeglich. Ist der Store waehrend der wartung vermutl. offline?
Dann koennte man die DownloadArtikel durch "andere Dateien gleichen Typs" ersetzen und das simpl verhindern.
Wenn jemand ein Modul installiert, ist die Fragen, welche er benoetigt. Das kommt auf das CMS an. Unter umstaenden benoetigt er dann nur den Zugang zum Backend der Software.

Prinzipiell: Man sollte nicht mit einem Freelancer zusammenarbeiten dem man soetwas leicht zutraut.
Weiters: Ein Vertrag der belegt, dass er das Modul bei einem installiert hat, ist gut fuer einen etwaigen Rechtsstreit, so kann man belegen er hat wirkl. daran gearbeitet und hatte somit Zugang zu den Daten.
Die jeweiligen Vertreter der Wirtschaft (in Ö : Wirtschaftskammer) bieten hierzu oft Musterverträge an.
 
Exakte Sicherheitsregeln kann man nur für ein exakt beschriebenes Szenario entwerfen.

Allgemein lässt sich sagen:
- exakte Auftragsbedingungen schrieftlich fixieren.
- Nur die absolut benötigten Zugriffsrechte gewähren.
- Zugänge nach erledigter Arbeit ändern / löschen
- Keine sensiblen Daten zugänglich machen.

Und sicher noch das ein oder andere, an das ich grad nicht denke.

Ich brauche Koffein...


 
Jede Zusammenarbeit mit anderen Leuten hat Risiken und Nebenwirkungen.

Wie war das nochmal gleich? Die meisten Totschlagsdelikte - gibt es in Familien und zwischen Verwandten / Bekannten. Oder Stichwort 'Scheidungskrieg' - da ging ja etwas anderes zuvor :)

Umgekehrt hat der Freelancer das Risiko, daß er ackert und dann die Rechnung nicht bezahlt wird.

Zum Thema 'Schriftliches': Ich komme seit Jahrzehnten ohne Schriftliches aus. Da mag man viel Zeit reinstecken - und im Endeffekt hilft es doch nichts.


Zu Risiken und Nebenwirkungen fragen Sie Ihren Arzt oder Apotheker.
 
QUOTE (Jürgen Auer @ Mi 10.03.2010, 10:09) Zum Thema 'Schriftliches': Ich komme seit Jahrzehnten ohne Schriftliches aus. Da mag man viel Zeit reinstecken - und im Endeffekt hilft es doch nichts.


Das geht halt solange gut bis man vor Gericht belegen muss was wirklich Bestandteil einer Vereinbarung war....

Jeder mag hier selbst ermessen wo der eigene Kosten/Nutzen-Faktor liegt.
Mich hat die Erfahrung gelehrt bei teureren Angelegenheiten NICHT mehr darauf zu verzichten.

 
danke für alle antworten ,ich stelle mir das ganze mal so vor, vielleicht zu einfach
unsure.gif


wenn er am shop arbeitet muss er zugang zum server, admin (und der datenbank ?) haben um das ganze auszuprobieren. bei downloadartikeln müsste man im root den ordner downloads (und andere wichtige?) sperren. wie?

im admin (bankdaten)kann man nichts sperren aber später die richtigkeit kontrollieren. wenn man die zugangnsdaten vom server, shop und datenbank nach den arbeiten ändert, hat derjenige sonst irgendeine möglichkeit sich ohne mein wissen einzuloggen? indem er z.b. im verzeichnis admin ordner etwas ändert. ist sowas möglich?vielleicht einen versteckten co-admin zugang einrichtet.
blink.gif


was sind sensible daten? w enn ich später eh die zugangsdaten ändere? welche sensiblen daten kann er wofür missbrauchen?

kann er meine site , server, mailadresse als spamschleuder missbrauchen? wie kann ich das kontrollieren?

vertrauen zur person ist denke ich auch das wichtigste , am beginn der zusasmmenarbeit möchte ich wissen was da alles "passiert" ist. gruss.
 
Hiho!

Mach Dir das doch nicht so kompliziert!

Punkt 1: Entweder Du vertraust der Person und den Fähigkeiten desjenigen, an den Du outsourct, oder nicht. Wenn Du im nicht vertraust, dann laß es und sich Dir jemanden, der vertrauenswürdig ist.

Punkt 2: Bei allen Änderung einem System, ob es nun eine kleine Änderung an einer einfachen WebSite oder ein Umbeu eines komplexen Online-Shops ist, gehört es zu einer professionellen Vorgehensweise, dass man vorher ein komplettes BackUp der gesamten Ordner und Dateien sowie der Datenbank macht. Wenn dann mal was schief läuft, egal ob aus Absicht oder einfach so, dann hat man einen Datenbestand, den man fix wiederherstellen kann. BTW: alles, was man nicht mal eben fix aus einem BackUp wiederherstellen kann, ist nicht ausgereift.
wink.gif


MfG
Ansgar
 
Wenn dir der Schutz deiner Informationen derart wichtig ist, dann bleibt dir wohl nur die Variante mit 2-3 getrennten Umgebungen.
-Testumgebung (Testdaten)
-Integrationsumgebung (möglichst "echte" Testdaten)
-Produktivumgebung

Du verlangst von ihm sämtliche Komponenten und Scripts plus eine Installations- und Konfigurationsanleitung. Er kann das auf der Testumgebung bliebig ausprobieren und vorbereiten. Dein Lieferant hat lediglich auf diese Umgebung einen Zugang - bzw. betreibt diese selbst.

Danach kannst du auf der Integrationsumgebung eine Testinstallation machen - und seine Lösung testen. Geht etwas schief, landets wieder beim Entwickler/Lieferanten - und das ganze startet von vorne

Erst wenn dieser Teil klappt - machst du das Update des Produktivsystems.

Ist ein Release abgeschlossen, jeweils sicherstellen dass wieder alle Umgebungen den identischen Stand haben.

Das ganze bedeutet aber viel, sehr viel Overhead und lohnt sich bei kleineren Projekten und Applikationen kaum.
 
Das ist dann so wie bei Banken: Die Entwickler dürfen gar nicht auf das Produktivsystem, auf daß sie keine Backdoors einschmuggeln.

Aber für kleinere Projekte ist so ein Overhead aberwitzig. Das bremst ja auch gewaltig.


Sprich: Such dir einen Profi - und für den ist das selbstverständlich, daß er dir nicht schadet. Such dir einen Amateur, bezahle ihn nicht, womöglich gibt es Streit - dann kann es auch solche Probleme geben.
 
Jürgen sagt es.

Such dir jemandem, dem du vertraust und behandel ihn fair.

Nach der Umsetzung dann noch den Entwickler-FTP-Zugang gelöscht und die DB-Passwörter geändert und dann sollte das ein gangbarer Mittelweg sein.

 
hi,

nochmal vielen herzlichen dank für die antworten. denke mein misstrauen kommt daher weil ich mich damit nicht so gut auskennne. er hat im moment zugang zu allen bereichen des shops.er könnte im rootverzeichnis beliebig hantiereen und wie der jürgen schon erwähnt hat sich einen backdoor einrichten. welche anzeichen auf einen backdoorspion gibt es und wie kann man sowas entdecken? besondere Dateitypen?
ich möchte durch mein übertriebenes misstrauen wirklich niemandem nahetrereten und diese berufsgruppe schlecht machen. hatte lediglich eine schlechte erfahrung mit einem modul anbieter. schwarze schafe gibt es bekanntlich überall aber die agentur scheint schon eine seriöse zu sein .bezahlt habe ich auch schon. nur das ganze dauert mir etwas zu lang .

@alonso , wo kann ich genaueres über getrennte umgebungen erfahren? hat das u.a. mit xampp azu tun?

danke und aufwiedersehen.
 
Grundsätzlich läst sich eine Backdoor in die meisten, zum Standartsystem gehörende, Dateien integrieren.

Um das wirklich zu prüfen bliebe nichts anderes übrig als jede einzelne Datei von einem Programmierer prüfen zu lassen.

Auch eine automatische Prüfung auf veränderte Dateien würde nichts bringen, da das ja beim Moduleinbau genau seine Aufgabe ist.

DAS zu prüfen ist so ziemlich das Zeitaufwendigste was ich mir an einem solchen Projekt vorstellen kann.
 
zeitaufwendig für shopbetreiber wie mich oder gilt das auch für aagenturen und wieviel in etwa würde das kosten?( hängt wohl von der grösse des shops ab )
kann man den spion entdecken wenn er gerade aktiv ist? z.b. wenn er daten sendet oder der andere sihc eingeloggt hat.. als shop betreiber müsste man nach einer weile doch merken dass etwas nicht stimmt .

es ist ein xtc shopsystem 304.21
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben