Dyskusja nt. promocji Insane

[harbi 0]

Ja tez przed chwila zamowilem konto. Mialem watpliwosci co wybrac: insane czy masternet, ale ta promocja jest na tyle kuszaca, ze nie moglem sie oprzec

[Tobi 0]

No ja mam dylemacik bo testuję już KEI, a tu taka pokusssssa

[Tomasz Fiedoruk 98]

kei i insane to troche inna bajka, kei ma support 24h na dobe i lepsza serwerownie

[Relayed 0]

Wiesz Insane niewidziałem złych opini a kei ma podejszcie masowe a tu możesz pogadać z adminem i zawsze jako się dogadać a w kei tylko support jest wielkim plusem

[Tomasz Fiedoruk 98]

a dzwoniles do kei? ja z glownym adminem kei wiele rzeczy ustalilem poza standardowa procedura.

 

masowka? nazwa czy home to masowka. widziales reklame kei typu 50zl za pierwszy rok czy inne bzdury marketingowe bo ja nie. kei idzie na jakosc i szybkosc serwerow

[Relayed 0]

Ja do kei.pl nic nie mam ich obsługa telefoniczna jest jak najbardziej OK tylko wolę da kasę insane.pl i niech oni się rozwijają co ich usług tez nic nie mam.

[Tobi 0]

Coś mi się wydaje, że wezmę i tu i tu - KEI na ważne site'y i insane na zaplecze

[harbi 0]

Wczoraj wzialem Insane, a dzisiaj chyba skusze sie na najmniejsze konto w Masternet.pl. Dzieki tym promocjom moge miec dwa konta na roznych IP pod zaplecze, praktycznie za cene jednego konta w az.pl.

 

Martwie sie tylko, ze przez te promocje biznes hostingowy stanie sie mniej rentowny, a przez to ucierpia po czesci kliencie np z powodu gorszego supportu - firmy musza gzies ciac koszty:(

[MasterNETpl 100]

Martwie sie tylko, ze przez te promocje biznes hostingowy stanie sie mniej rentowny, a przez to ucierpia po czesci kliencie np z powodu gorszego supportu - firmy musza gzies ciac koszty:(

W przypadku mojej firmy tj. MasterNET.pl wszystko jest odpowiednio kalkulowane bowiem nie sztuką jest sprzedać ogromne ilości tanich kont a potem martwić się co dalej...

Osobiście będę robił wszystko aby support oraz jakość nigdy nie zeszło do lamusa, w końcu nie po to tworzy się firmę od zera już praktycznie cztery lata aby po jakimś czasie spocząć na laurach...

[T 6]

Martwie sie tylko, ze przez te promocje biznes hostingowy stanie sie mniej rentowny, a przez to ucierpia po czesci kliencie np z powodu gorszego supportu - firmy musza gzies ciac koszty:(

Wszystko zalezy od tego, jak dana firma podchodzi do tematu. Firmę istniejącą na rynku wiele lat stać na różne akcje promocyjne. Nie istnieje przeciez zasada, ze każde, pojedyncze konto musi być "opłacalne". Zysk ma przynosić firma jako całość.

[GLOBUS 1]

zarejestrowałemm się na tym serverze i przez te 14 dni "testowania" doszedłem do wniosku że moje pliki "nie są tam bezpieczne"

[p 3]

zarejestrowałemm się na tym serverze i przez te 14 dni "testowania" doszedłem do wniosku że moje pliki "nie są tam bezpieczne"

Jakies argumenty czy rzucamy sobie slowka na wiatr?

[GLOBUS 1]

pisiadamy konto np. xxx poprzez include można załączyć z tego konta plik np config.php

 

dostęp do /etc/passwd

[irvinek 4]

Tzn?

Możemy "załączyć" plik /home/innyuser/config.php?.

Czy chodziło ci o passwd?

Nie wiem czy wiesz ale hasła do użytkowników nie są zapisanie w passwd tylko w shadow i to w dodatku zahaszowane.

[GLOBUS 1]

jednak każdy serwis powinien chronić te pliki ... nie wiem nawet po co listuje katalogi na ftp ..

 

 

passwd ... użytkownik jak ma login "innyuser" to hasło też "innyuser" albo odwrócone

"resuynni" dzięki tym danym przynajmniej 3 na 100 użotkowników ma takie hasła

 

 

większość użytkowników kieruje się ceną za hosting jednak nie patrzy na bezpieczeństwo plików ... na wszystkich stronach oferujących www powinien być 14-dniowy okres testu

[T 6]

jednak każdy serwis powinien chronić te pliki ... nie wiem nawet po co listuje katalogi na ftp ..

passwd ...

A dlaczego miałby tego nie robić? Po to wymyślono /etc/shadow wiele lat temu, żeby /etc/passwd mogło być dostępne.

 

Oferujemy dostęp do shella (dla niektórych kont pełny, z możliwością kompilacji własnego oprogramowania itd.) więc w zasadzie niemożliwe (a w każdym razie bezsensowne) byłoby ograniczenie dostępu dla klientów do ich katalogu domowego. Możliwość odczytania /etc/passwd czy wylistowania katalogów domowych użytkowników nie jest żadną luką w bezpieczeństwie.

 

użytkownik jak ma login "innyuser" to hasło też "innyuser" albo odwrócone

"resuynni" dzięki tym danym przynajmniej 3 na 100 użotkowników ma takie hasła

To już ich problem. Zabezpieczeniem konta jest hasło, nie login. Loginy z definicji są jawne.

 

Oceniając bezpieczeństwo warto wiedzieć, na co patrzeć. Z ciekawszych (raczej rzadko spotykanych rzeczy) rzeczy mamy np.:

 

- Katalog na strony jest podlinkowany do domowego z zupełnie innego miejsca, dzięki czemu do samego katalogu domowego nie ma praw dostępu nawet apache

- Prawa dostępu do wielu rzeczy są ustawione za pomocą aclek

- Wszystkie skrypty użytkowników są uruchamiane z prawami danego użytkownika, a nie serwera httpd

 

To są właśnie jedne z rzeczy, które mają istotny, a przede wszystkim rzeczywisty wpływ na bezpieczeństwo.

[alien 345]

Ciezko sie z tym nie zgodzic. Dostep do /etc/passwd z definicji jest jawny i brak takiego dostepu bedzie ograniczac funkcjonalnosc wielu narzedzi dostepnych z poziomu shella. Proponuje rozejrzec sie wokol, wielu dostawcow oferuje dostep do tego pliku, nawet najwieksi. Nie jest to zadna luka.

 

Dostep oczywiscie mozna chronic, ale to kwestia zadania sobie pytania czy brak dostepu bedzie bardziej uciazliwy i szkodliwy dla klientow niz udostepnienie tego pliku. Z punktu widzenia istotnosci /etc/passwd dostep do tego pliku nie jest problemem.

 

Nie bez powodu jest on defaultowo ogolno dostepny chyba we wszystkich popularnych dystrybucjach Linuxa.

 

System 100% bezpieczny to system z odcieta wtyczka od sieci (i to tez do momentu, az ktos nie przyjdzie i nie wyjmie dyskow). Czy zatem dostawca hostingu powinien proponowac klientom, ze w trosce o ich bezpieczenstwo odetnie na serwerze dostep do internetu? Wazny jest tu pewien rozsadek, czyli rozsadne analizowanie ryzyka i sensownosci pewnych rozwiazan.

 

Co do prostoty hasel... Chronic uzytkownikow przed nimi samymi da sie tylko do pewnego stopnia...

[p 3]

Oceniając bezpieczeństwo warto wiedzieć, na co patrzeć. Z ciekawszych (raczej rzadko spotykanych rzeczy) rzeczy mamy np.:

(...)

- Wszystkie skrypty użytkowników są uruchamiane z prawami danego użytkownika, a nie serwera httpd

A mi sie zawsze wydawalo, ze to jest standard

 

Co do prostoty hasel... Chronic uzytkownikow przed nimi samymi da sie tylko do pewnego stopnia...

Zawsze mozna wymuszac pewien stopien 'jakosci' hasel

[T 6]

A mi sie zawsze wydawalo, ze to jest standard

Zdziwiłbyś się. ;-)