Это один из комментариев к статье Генератор скриптов для создания бэкапов сайта от ph0en1x.

Интересная и эффективная задумка, скрипт генерируем при помощи JavaScript без пересылки данных на сторону сервера…соответственно ни пароли, ни логины по HTTP никуда не передаются (возможно стоит это указать в примечании). Сперва было подумал (не прочитав предупреждения выше) что данные для SSH-авторизации пересылаются на сервер в открытом виде, что является легкой добычей для атак типа MITM и других любителей полюбоваться на чужой трафик.
Можно еще добавить прямо здесь, для удобства, ссылку на скачивание plink с офф-сайта: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
Пару лет назад (когда основной рабочей средой была Windows) сам писал скрипт для бекапов сайтов на VDS’ках, использовал для этого WinSCP portable+bat файлы, конфигурацию сайтов хранил в INI-файлах. Данное творение выложил у себя на блоге — http://ph0en1x.net/news/40-script-for-sites-remote-backup-using-winscp-and-bat.html
Это было простое переносное решение, использующее подручные средства.
После того как полностью сдружился с Linux была написана похожая, но более мощную программка на Python. http://ph0en1x.net/news/62-sites-backup-script-python-class.html




Для работы с SSH применил модуль Paramiko, приложив некоторый труд данный скрипт можно заточить и под Windows.
Несколько быстрых соображений по развитию идеи вашего сервиса: добавить генерацию скрипта для SH/BASH, сделать поддержку резервного копирования разных баз данных и конфигов для демонов, а также произвольных файлов и папок в некотором количестве(динамическое добавление полей для ввода при нажатии кнопки «+»)…

ph0en1x получил(а) ответ:

Генератор скриптов для создания бэкапов сайта
Спасибо за ценные замечания! Да, немного подзаморозили проект. Дело в том, что я сам разработкой не занимаюсь, но хотел потренироваться. Вот эту реализованную часть сервиса я заказывал у разработчика и потом для nix сам хотел написать, но так и не взялся.
На самом деле генератор сделан на PHP, поэтому данные все же отправляются в него POST-запросом.


За идею насчет JS, спасибо, на днях же переработаем, чтобы вообще не было отправки на сервер. Ибо действительно, даже если мы их не используем, то сервис остается уязвим к MITM

Ссылочка на plink.exe есть в хинте (всплывающая подсказка) к полю, в котором нужно указать к нему путь.


Что касается ваших решений, они конечно хороши, если вы их пишете для себя и используете только на собственных машинах.
Здесь же, я стараюсь использовать такие решения, которые требуют минимум дополнительных файлов и настроек. Т.е. только такие средства, которые уже есть в системах по-умолчанию, ничего не нужно устанавливать дополнительно, чтобы скрипты были по максимуму универсальными и простыми.

При связке с Windows это конечно невозможно (по крайней мере пока нету нативной поддержки SSH в оной). Но вот для бэкапов в самом Linux я не вижу необходимости использовать компоненты, которые нужно ставить дополнительно.

Даже мне, linux-сисадмину, который привык ковыряться в конфигах и софте, становится очень грустно глядя на конфиги ваших скриптов и не хочется в них разбираться, особенно зная, что есть способы забэкапить гораздо проще и удобней :)









А этот сервис мы, пожалуй, доработаем на днях, уже поговорил с разработчиком, он сказал что переделать генератор на JS без отправки данных на сервер не сложно. Очень признателен вам, спасибо за идеи!