Домены и хостинги - основные грабли

Основано, как обычно, на реальных событиях...

При диджитализации всего и вся не стоит забывать, а стоит, наоборот, постоянно помнить про то, что имена и пароли, под которыми в интернете что-то регистрируется - это очень важная штука.

Мы сейчас даже не будем говорить про то, что пароли должны быть посложнее, чем "1234", "qwerty" и так далее. Это тема из области информационной безопасности. Мы поговорим про саму регистрацию, и что следует за ней. Как показывает практика, тут насыпаны довольно однотипные грабли, по которым люди ходят дружным армейским строем.

Возьмем, например, такую ситуацию.

Компания захотела сделать себе сайт. Крутой. Нашли себе подрядчика. А подрядчик возьми, да и задай вопросы, типа "А на каком доменном имени запускать ваш сайт? А на каком хостинге его выкладывать?". Вопросы вполне себе логичные, и правильные, если отталкиваться от технологии. Только вот про технологию люди, заказывающие сайт, далеко не всегда в курсе.

И если с доменным именем так-сяк разбираются быстро, то с хостингом иначе дела обстоят.Про хостинг зачастую заказчики задают вопрос "а что это такое?", слышат ответ, потом задают вопрос: "а это обязательно надо? Если это надо, то сколько это стоит?". Услышав небольшую, как правило, цифру, заказчик решает - ну это какая-то неважная фигня и говорит подрядчику: "слушай, ну сделай все, что нужно сам, выстави счет, оплатим".

Образовательная минутка:
Доменное имя - тот набор букв, который пишется в интернет-браузере, чтобы зайти на сайт. И то, что стоит в электронном почтовом адресе после собачки.
Хостинг - условно это ящик, или коробка, где лежит сам сайт (файлы, картинки, тексты), а может быть и электронная почта. Ящик с содержимым находится где-то далеко, на чьем-то складе. И то, и то должно регулярно оплачиваться, обычно 1 раз в год, и если не оплатить, то сайт и/или почта перестанут работать. Если не платить долго, то и сайт, и почту можно потерять совсем. Статистика:

Что такое доменное имя, в среднем, достаточно объяснить 1 раз, а вот что такое хостинг, и зачем он нужен, в среднем, нужно объяснять 1 раз при старте проекта, и потом, в среднем, 1 раз в год на протяжении жизни проекта.

Грабли № 1. Регистрация доменного имени.

Регистрировать доменное имя всегда надо на того человека, или на ту компанию, кому будет принадлежать сайт.

Доменное имя - это актив. Как мебель, как оборудование, как помещение. На доменном имени, стоимостью в несколько сотен рублей может лежать сайт стоимостью, равной стоимости бизнеса. В этой связи несколько правил, которые не то, чтобы лучше не нарушать, а категорически нельзя нарушать:

1. Должно быть правильно зафиксировано, кому принадлежит доменное имя.
2. От этого актива должны быть логин и пароль у его хозяина.
3. Если логин и пароль изменяются, то у хозяина должны появляться новые логин и пароль.
4. При регистрации доменного имени надо использовать рабочую, проверенную, доступную его хозяину электронную почту.

Теперь реальный пример.

Довольно крупное предприятие. Производственное. Хозяин предприятия решает сделать сайт. Находит подрядчика. Совместно с подрядчиком решают, под каким именем будет работать сайт. И потом подрядчик регистрирует доменное имя. Только при регистрации указывает неверные паспортные данные хозяина.

Делают сайт, выпускают его. Все довольны - хозяин с сайтом, подрядчик с деньгами. Через несколько лет отношения между подрядчиком и хозяином предприятия разлаживаются, они расстаются, сайт какое-то время работает по инерции, а потом наступает день "икс", и с сайтом нужно что-то поделать, потому что он почему-то перестал работать. И вот тут начинаются многомесячные упражнения по восстановлению исторической справедливости. Потеряно много денег и много времени.

Грабли № 2. Хостинг "на доверии".

Конечно же, не хочется погружаться в детали в той теме, в которой ты либо ничего не соображаешь, либо совсем мало соображаешь. И если появляется человек, который может решить твой вопрос, и цена тебя устраивает, обычно происходит сделка - ты платишь человеку сумму, человек решает твой вопрос, и все довольны.

Именно так довольно часто и происходит, когда возникает вопрос "на каком хостинге размещать сайт". В результате сайт размещается где-то, где определяет подрядчик, за это платятся какие-то небольшие деньги, и вроде как вопрос решен. Грабли хищно подстерегают в том месте, где с подрядчиком что-то случается. Или что-то случается в отношениях между хозяином сайта и подрядчиком.

Вот тут куча разных вариантов развития событий, и многие из них - совсем не в пользу хозяина сайта. Примеров тому - масса.

Подрядчик может начать шантажировать - "мы вернем вам сайт, только если заплатите вот столько-то денег".

Подрядчик может элементарно перестать работать, по разным причинам, и перестать из-за этого выходить на связь.

Или что-то случается с тем самым хостингом, который выбрал подрядчик, а прошло уже много лет, и подрядчик у себя все данные стер и ничем помочь не может. И то, и другое, и третье - вполне реальные примеры из жизни. Причем, не по одному разу случившиеся.

Поэтому опять правила, которые нельзя нарушать.

1. Хостинг, на котором будет лежать сайт, должен иметь прямые договорные и финансовые отношения с хозяином сайта. Без посредников в виде подрядчиков.
2. Пароли от хостинга обязаны храниться у хозяина.
3. При регистрации хостинга должна использоваться электронная почта, которая подконтрольна хозяину сайта.

Грабли № 3. Своевременная оплата.

Это поле, пожалуй, самое богатое на грабли.

И доменное имя, и хостинг должны оплачиваться регулярно. Обычно это бывает 1 раз в год. Если все настроено правильно, то периодически в ту самую подконтрольную хозяину почту будут приходить напоминалки на тему того, что "скоро заканчивается срок действия доменного имени", или "скоро заканчивается срок действия хостинга". Если этих писем нет, значит, или они приходят кому-то другому, и про этого другого мы будем разговаривать чуть ниже, либо все настроено неправильно, и скоро сайт может перестать работать.

Есть даже такой бизнес - скупать просроченные по оплате доменные имена, и затем их задорого продавать бывшим владельцам, которые не оплатили их своевременно. Стоимость возврата домена может быть довольно высокой. Нам известен случай, когда заказчик вынужден был заплатить 10 000 $ за то, чтобы ему вернули его доменное имя. 10 000 - 20 000 рублей - это более или менее стандартная цифра, которую запрашивают за просроченные доменные имена.

Логика развития событий такая - сначала система регистрации доменов фиксирует, что домен скоро закончится, и начинает предупреждать хозяина домена об этом. И именно для этого надо, чтобы использовалась подконтрольная и доступная электронная почта. Затем, если оплаты не поступило, система регистрации доменов перестает обслуживать этот домен. Сайт и электронная почта, которые были на этом домене перестают работать. Далее у хозяина есть 1 месяц на то, чтобы сделать оплату. Если в течение месяца оплаты за домен не поступает, он освобождается и его может купить кто угодно.


Грабли № 4. У кого есть пароль. Или "Этих паролей столько, что в них не разберешься"

Как показывает опыт, ключи от такого актива, как доменное имя, могут храниться у кого угодно, кроме его хозяина.

Они могут храниться у компании, которая когда-то сделала, сейчас делает, или продвигает сайт. Если продвижением занимается 2 компании - у обеих из них могут храниться эти пароли. Так тоже бывает.Пароли могут храниться у системного администратора компании, который работает в ней сейчас, или который уже давно уволился и уехал в другой город. Они могут храниться в какой-то старой почте, к которой уже ни у кого нет доступа.

Это удивительно, но вот за ключами от офиса, в котором компания работает, более или менее еще следят, а вот за ключами от сайта, который может составлять весьма важный, а иногда и ключевой аспект в работе компании, довольно часто не следят вообще. И вспоминают об этом когда уже получили граблями по лбу.Если посчитать, сколько паролей у среднестатистического пользователя интернета - возникает масса вопросов:

- А что со всем этим добром делать?
- Как и где его хранить?
- Как учитывать то, у кого есть те или иные пароли?
- И как бы еще разобраться, какие пароли нужны?

Да, вопросов много, часть из них имеют простые ответы, часть - нет.

Если говорить просто о паролях, то есть такие специальные программы, аналог органайзеров для обычных ключей. Ими можно пользоваться. Есть очень даже удобные.

А если говорить про сайт, то хозяину сайта нужно хранить следующее: логин и пароль личного кабинета того регистратора, при помощи которого регистрировалось доменное имя, и логин и пароль от личного кабинета хостинга, где лежит сайт. Это два принципиальных личных кабинета, и если ключи от них потеряны, то в течение ближайшего года с сайтом наверняка будут проблемы.


Грабли № 5. Добавка. Или еще кучка паролей.

Если мы говорим не про простой сайт, а про сайт более сложный, например, на котором есть личные кабинеты клиентов, есть система он-лайн оплаты, есть каталог продукции или возможность заказать какую-то услугу, то тут появляется еще одна полянка с граблями. Дело в том, что к разным частям сайта, ровно как и прикрученным к сайту дополнительным сервисам тоже могут быть логины и пароли.

Мы сталкивались с такими ситуациями, когда и доменное имя и хостинг доступны, а с сайтом мало что можно сделать, потому что нужных для работы паролей не хватает. Начинаются долгие и нудные упражнения по получению полного контроля над системой. Длиться это может неделями и даже месяцами.

Как бороться с такими ситуациями, например, компании, которая просто захотела сделать себе крутой сайт, а в штате нет специалиста, который хотя бы как-то может проконтролировать программистов, все ли они отдали?

2 простых рекомендации:

Во-первых, более тщательно выбирать подрядчиков на создание сайтов. Если вы вроде бы подрядчика уже выбрали, и все вас в нем устраивает - и портфолио у него отличное, и рекомендации хорошие, и разговоры у вас с ним содержательные и понятные, но подрядчик ни слова не сказал и ни одного вопроса не задал про такой организационный вопрос, как обмен паролями - однозначно стоит задуматься, тот ли это подрядчик, который вам нужен?

Во-вторых, в договор (хоть на создание, хоть на поддержку, хоть на продвижение сайта) нужно обязательно включать пункты, фиксирующие ответственность подрядчика за то, что он передает вам исчерпывающий список логинов и паролей для функционирования, поддержки и развития вашего сайта, либо какой-то его части.