Weboldaladon telepített bővítmények biztonsági ellenőrzése és fejlesztése

Bővítmények ellenőrzése magánügyfeleknek

A Bővítmények ellenőrzése akkor hasznos, ha egy weboldal, böngésző vagy tartalomkezelő rendszer lassú, hibásan működik, gyanús hozzáféréseket mutat, vagy egyszerűen túl sok kiegészítő fut benne. A cél nem az, hogy mindent törölni kelljen. A cél az, hogy egy online szakember átnézze, melyik bővítmény biztonságos, melyik elavult, melyik felesleges, és melyik okozhat adatvédelmi vagy működési gondot. Én azt látom, hogy sok magánügyfél csak akkor kér segítséget, amikor már megjelent egy hibaüzenet, eltűnt egy funkció, vagy az oldal betöltése érezhetően lassabb lett. Pedig a megelőző ellenőrzés általában olcsóbb, mint egy későbbi hibakeresés.

A Qjob.hu felületén magánszemélyek is kereshetnek olyan szabadúszó informatikust, webmestert vagy biztonsági szemléletű fejlesztőt, aki távolról tud dolgozni. Ehhez nem kell személyes találkozó. Elég a hozzáférések pontos egyeztetése, a feladat leírása, majd a vizsgálat eredményének átadása érthető formában. Szerintem ennél a munkánál az a legfontosabb, hogy az ügyfél ne csak egy rövid igen vagy nem választ kapjon. Jó eredmény az, amikor világos lista készül a kockázatokról, a javasolt törlésekről, a frissítésekről és a következő lépésekről.

Bővítmény ellenőrzés ára

Az ár főleg attól függ, hány bővítményt kell átnézni, milyen rendszerben futnak, és kell-e javítást is végezni. Egy egyszerű átnézés gyors lehet, de egy régi weboldalnál vagy sok kiegészítőt használó felületnél már több idő kell. A túl olcsó munka ezen a területen gyakran gyengébb minőséget jelent, mert a szakember csak ránéz a listára, de nem vizsgálja meg a jogosultságokat, a frissítési állapotot, az ismert sebezhetőségeket és az ütközéseket.

Tapasztalatom szerint magánügyfélként érdemes előre tisztázni, hogy az ár csak az ellenőrzésre vonatkozik-e, vagy benne van a javítás is. Nem ugyanaz a két munka. Az ellenőrzés diagnózis. A javítás már beavatkozás. Ha ezt az elején nem beszélik meg, könnyen vita lesz abból, hogy mit kellett volna elvégezni az adott összegért.

Bővítmények biztonsági átnézése

A bővítmények biztonsági átnézése nem csak frissítések keresését jelenti. A szakember megnézi, hogy a kiegészítő aktív-e, mikor frissült utoljára, milyen jogosultságokat kér, mennyire ismert a fejlesztője, vannak-e negatív jelzések, és okozhat-e adatvédelmi vagy belépési kockázatot. Egy régi, elhagyott bővítmény látszólag még működhet, de közben nyitva hagyhat olyan kaput, amelyen keresztül később gond keletkezik.

Sokan ott hibáznak, hogy minden kis funkcióra külön kiegészítőt telepítenek. Egy űrlaphoz egyet, egy képméretezéshez egyet, egy méréshez egyet, egy látványelemhez még egyet. Pár hónap után senki sem tudja pontosan, mi mire való. Ilyenkor a bővítmény vizsgálat első része gyakran nem is technikai, hanem rendrakás. Mi szükséges. Mi ismétli ugyanazt a funkciót. Mi maradhat kikapcsolva. Mi törölhető biztonságosan.

Volt olyan eset, amikor egy ügyfél csak annyit mondott, hogy a weboldala néha furcsán viselkedik. Nem tudta pontosan leírni a hibát. Az online ellenőrzés során kiderült, hogy több régi kiegészítő ugyanabba a részbe avatkozott bele. Egyik sem volt látványosan hibás, együtt mégis bizonytalan működést okoztak. A megoldás nem egy nagy javítás volt, hanem két felesleges elem eltávolítása és egy beállítás rendezése. Ez jó példa arra, hogy a tiszta rendszer sokszor többet ér, mint egy újabb bővítmény.

Bővítmény ellenőrző szakember kiválasztása

A megfelelő szakember kiválasztásánál nem elég azt nézni, hogy valaki tud-e weboldalt készíteni. Ennél a feladatnál fontos a biztonsági gondolkodás, a rendszerszemlélet és az óvatosság. Egy jó szabadúszó nem kezd azonnal törölni. Először mentést kér vagy készít, átnézi a hozzáféréseket, majd jelzi, melyik lépés jár kockázattal. Ez különösen fontos akkor, ha a weboldalon ügyféladatok, rendelési adatok, fizetési értesítések vagy személyes tartalmak vannak.

Érdemes olyan informatikust választani, aki érthetően ír. Nem baj, ha technikai fogalmakat használ, de az ügyfélnek végül tudnia kell, mi történt. A jó munkaleírásban szerepelhet a bővítmények száma, a rendszer neve, a hibajelenség, az elvárt határidő és az, hogy csak ellenőrzést kérsz, vagy javítást is. Ha van képernyőkép, lista vagy hozzáférési korlátozás, azt is jobb előre jelezni.

Szerintem gyanús, ha valaki látatlanban teljes biztonságot ígér. Ilyen nincs. Egy bővítmény ellenőrzés csökkenti a kockázatot, segít kiszűrni a gyenge pontokat, és érthetőbbé teszi a rendszert. De nem helyettesíti a rendszeres frissítést, a mentést, az erős jelszót és a megfelelő tárhelybeállításokat.

Online bővítmény vizsgálat menete

Az online munka általában rövid egyeztetéssel indul. Az ügyfél leírja, milyen rendszerben kell dolgozni, milyen problémát észlelt, hány bővítmény van telepítve, és van-e sürgős hiba. Ezután a szabadúszó megmondja, milyen hozzáférésre van szüksége. Nem mindig kell teljes adminisztrátori hozzáférés, de sok vizsgálathoz korlátozott nézet nem elég. Ezért fontos a bizalom és a pontos keret.

A munka biztonságosabb, ha előtte készül mentés. A szakember ezután átnézi a listát, ellenőrzi a verziókat, a frissítési előzményeket, a jogosultságokat, a szükségtelen elemeket és a lehetséges ütközéseket. Ha böngészőbővítményekről van szó, akkor az engedélyek különösen fontosak. Egy kiegészítő kérhet hozzáférést az oldalak tartalmához, a böngészési adatokhoz vagy bizonyos fiókfunkciókhoz. Magánügyfélként ezt nem mindig könnyű értelmezni.

Az eredmény átadása lehet egyszerű üzenet, táblázat, rövid jelentés vagy javítási javaslat. A lényeg, hogy legyen benne döntési alap. Mit kell frissíteni. Mit kell törölni. Mit kell figyelni. Mi az, ami nem veszélyes, csak felesleges. Jó esetben a munka végén az ügyfél nemcsak egy tisztább rendszert kap, hanem jobban érti azt is, miért volt szükség a vizsgálatra.

Bővítmény vizsgálat és gyakori hibák

A leggyakoribb hiba az, hogy az ügyfél csak a látható problémát írja le, de nem mondja el az előzményeket. Pedig sokszor fontos, hogy mikor frissült az oldal, mikor került fel új kiegészítő, történt-e sabloncsere, volt-e tárhelyváltás, vagy megváltozott-e valamilyen belépési beállítás. Ezek nélkül a szakember több időt tölt találgatással.

A másik gyakori gond a túl sok aktív bővítmény. Nem minden bővítmény rossz, de minden új elem új függőséget jelent. Lehet lassulás, ütközés, adatvédelmi kockázat vagy karbantartási teher. Egy magánügyfél számára ez sokszor csak akkor válik láthatóvá, amikor már nem működik egy űrlap, eltűnik egy gomb, vagy a weboldal adminfelülete lassan reagál.

Az is hiba, ha valaki frissítés nélkül kér végleges megoldást. Egy régi rendszerben lehet javítani, de a biztonsági állapot nem lesz tartós, ha a környezet elavult marad. De a másik véglet sem jó. Nem szabad mindenre gondolkodás nélkül rányomni a frissítést. Előbb mentés kell, utána ellenőrzés, majd csak ezután érdemes változtatni.

Bővítmények ellenőrzése után

A Bővítmények ellenőrzése után az ügyfélnek érdemes megőriznie az átadott listát. Ez később sokat segít, ha újabb hiba jelenik meg, vagy másik szabadúszó veszi át a munkát. Egy rövid, de pontos dokumentum többet ér, mint egy hosszú üzenet, amelyből nem derül ki, mi történt.

Én azt tartom jó eredménynek, ha a végén kevesebb a bizonytalanság. Nem kell mindent technikailag érteni, de az ügyfélnek tudnia kell, mely bővítmények maradhatnak, melyek igényelnek figyelmet, és milyen gyakran érdemes újra ellenőriztetni a rendszert. Kisebb oldalaknál elég lehet időszakosan ránézni. Aktív, sok adatot kezelő felületnél gyakoribb átvizsgálás indokolt.

Ezen a felületen a feladat leírásánál érdemes konkrétan megadni, hogy online munkát kérsz, milyen rendszerhez kapcsolódik a vizsgálat, és milyen eredményt vársz. Így a szakember pontosabban tud árat adni, te pedig könnyebben hasonlítod össze az ajánlatokat. A bővítmények biztonsági átnézése nem látványos munka, de sok későbbi problémát előzhet meg. És ez magánügyfélként is számít.