Test hostingu..

[patryk 451]

..czyli "PCWorld - nowy ekspert w sprawach hostingu" w natarciu. Na szczególną uwagę zasługuje wybór firm do testów (nie zauwazyłem chociażby home.pl za to na liście znałazło się np... WHT!) i sam zakres testu (wyciąganie wniosków na podstawie nagłówków i to serwera obsługującego główną domenę firmy)

 

Pominę już to, że część tych "karygodnych" błędów z tabelek ma serwer PCWorld.pl ;-).

 

Całość: http://www.idg.pl/news/85872.html

[Gość adamszendzielorz]

..czyli "PCWorld - nowy ekspert w sprawach hostingu" w natarciu. Na szczególną uwagę zasługuje wybór firm do testów (nie zauwazyłem chociażby home.pl za to na liście znałazło się np... WHT!) i sam zakres testu (po łebkach i jakoś.. nie od tej strony?)

http://www.idg.pl/news/85872.html

Pominę już to, że część tych "karygodnych" błędów z tabelek ma serwer PCWorld.pl ;-).

 

Jest home.pl !

Ale test rzeczywiscie taki sobie - ja np. udostepniam shell dla klientow, a tam otwarty port SSH to wada, bzdura! ;-) Rowniez otwarcie MySQLa na zewnatrz.. Bezsens. Jezeli wersja MySQLa jest w miare nowa (czyt. nowsze wersje nie mialy zadnych security-fixow) to co w tym zlego - wielu klientow ma lokalny soft i nim zarzadza swoimi bazami.

pozdr.

 

Wysłany 2005-12-03, 00:43:

 

Aaa, nie mowiac juz o tym ze w moim wypadku serwerem jest Apache 1.3.31 (jak zreszta sie przedstawia), a HTTPrint podaje jako mozliwe wszystkie wersje od 1.3.4 do 1.3.27

[patryk 451]

Jest home.pl !  

 

Racja, autor przyjął ciekawą metodę sortowania i dodał kilka hostingów w swoich tabelkach bez przedrostka www, dzięki czemu są na samym początku - a ja szukałem home.pl w tabelce razem z innymi hostingami na "h" :-).

 

Co do wersji Apacza - mi się bardziej podoba "GoGoGadget Server" którego podobno używa np. Webd (autor artykułu na swoim blogu określa go jako "tajemniczy soft o którym nic nie wiedzą Google ani MSN" a dziwnym trafem jest tam najzwyklejszy Apache 1.3.3..).

[Gość Fobi]

A ja sie dowiedzialem, ze webhostingtalk.pl sprzedaje uslugi hostingowe

Nie liczac, ze zglasza sie jako risp :/

 

Widac, ze tekst jest zrobiony pod ludzi. Narobic szumu, troche kontrowersji - to zawsze dziala. Z jakim skutkiem to juz temat na inna rozmowe.

[hyhyhy 0]

dokładnie, aby było ... dobre z tym bruteforce Pozdr.

[T 6]

Dobrze skonfigurowany serwer powinien odrzucić moje połączenie (nie jestem przecież upowazniony choćby do rozpoczynania sesji SSH). Nieco mniej dobrze skonfigurowany - wyświetli znak zachęty do logowania oraz baner informujący o obsługiwanej wersji protokołu. Pozwoli też na wielokrotne próby logowania (3 razy na podejście).

Tego człowieka powinni zwolnić.

[dziku 0]

Dobrze skonfigurowany serwer powinien odrzucić moje połączenie (nie jestem przecież upowazniony choćby do rozpoczynania sesji SSH). Nieco mniej dobrze skonfigurowany - wyświetli znak zachęty do logowania oraz baner informujący o obsługiwanej wersji protokołu. Pozwoli też na wielokrotne próby logowania (3 razy na podejście).

Tego człowieka powinni zwolnić.

 

On ma racje. Akurat jesli ty sprzedajesz konta shellowe to dostep musi byc dla wszystkich, ale wiekszosc firm nie sprzedaje dostepu do shella, a przez otwarte porty naraża się na ataki hakerów.. Inna kwestia, że cześć ludzi prowadząca hosting nawet nie wie, że dostęp do ssh można ograniczać...

[hyhyhy 0]

Dobrze skonfigurowany server ssh to taki, ktory nasłuchuje nie na standardowym porcie, lecz 1000>, maxymalnie 3 podejscia, dla userow z dostępem dłuższe, bezpieczniejsze hasla, a gdy się już połączy, (niekoniecznie) chroot. Przecież ssh to nic złego jej ... Fakt, jest jakąś furtką, ale przeciez usługa ssh nie jest stracona na starcie. Dobry admin wie jak konfigurować. Pozdr.

[gb 12]

hmmm... co zrobila branza hostingowa w tym taniego hostingu aby "wyedukowac" prase w jaki sposob nalezy tego typu porownania wykonywac ? Moze warto zalozyc klub powazniejszych firm hostingowych, ktory bedzie dbal o to aby edukowac i informowac w danym zakresie (nie tylko prase) ?

 

Latwo siedziec i narzekac, trudniej cos zrobic :-)

[T 6]

Dobrze skonfigurowany serwer powinien odrzucić moje połączenie (nie jestem przecież upowazniony choćby do rozpoczynania sesji SSH). Nieco mniej dobrze skonfigurowany - wyświetli znak zachęty do logowania oraz baner informujący o obsługiwanej wersji protokołu. Pozwoli też na wielokrotne próby logowania (3 razy na podejście).

Tego człowieka powinni zwolnić.

 

On ma racje. Akurat jesli ty sprzedajesz konta shellowe to dostep musi byc dla wszystkich, ale wiekszosc firm nie sprzedaje dostepu do shella, a przez otwarte porty naraża się na ataki hakerów.. Inna kwestia, że cześć ludzi prowadząca hosting nawet nie wie, że dostęp do ssh można ograniczać...

Proszę, nie ośmieszaj się próbując doszukiwać się sensu w bełkocie w tym artykule. Jedyna sensowna uwaga (choć też nie do końca) którą tam znalazłem, to kwestia niepotrzebnego blokowania ruchu ICMP w całości.

 

A odnośnie SSH:

- Koleś nie sprawdził nawet, która z firm po prostu udostępnia SSH klientom.

- Dalej pisze 'nie starałem się logować' a mimo to wyciąga wnioski, jakoby każde nasłuchujące SSH było podatne na brute-force. Ciekawe na jakiej podstawie? Zresztą nawet atak brute-force na czyste, nie zabezpieczone SSH przy normalnym haśle jest statystycznie niemożliwy, szczególnie, że po chwili zaśmieciłby kompletnie logi.

- Na końcu jakiś bełkot o ssh-bannerach, nie mam pojęcia na jakiej podstawie pismak uznaje to za 'niefrasobliwość admina', zresztą on sam nie pisze konretnie, pomijając smętne rewelecje o sądach, które pokazują, że na prawie zna się tak samo marnie, jak na bezpieczeństwie.

 

Powody dla których niekiedy warto wyfiltrować SSH (oczywiście, gdy nie udostępnia się go użytkownikom) są zupełnie inne i nie mają nic wspólnego z brute-force i sądami.

 

Niektóre firmy z jego cudownej listy spokojnie mogłyby wytoczyc mu proces o zniesławienie.

[Gość patrick]

no comment.

 

Co do ssh to popierwsze istnieja takie rzeczy jak sshdfilter i inny soft blokujacy. Po drugie sam brute force jest niczym przy dobrych haslach nie jest w stanie zlamac. Miale kiedys w logach ataki typu brute force ale byly dokonywane przez "zagraniczniakow" i ich slowniki byly nieodpowiednie do polskich warunkow.

 

A ten MySQL wedlug mnie paranoja po co dawac nasluch na zewnatrz ?

[patryk 451]

hmmm... co zrobila branza hostingowa w tym taniego hostingu aby "wyedukowac" prase w jaki sposob nalezy tego typu porownania wykonywac ?

 

Jakis czas temu PB opublikowalo w dodatku cyfrowa firma artykul o hostingu i jakos oni nie mieli problemów z dotarciem do kogo chcieli i wypytaniem. Pan z PCWorlda zarzeka się (http://bigo.pcworld.pl/news/85915.html), że pisał do providerów, ale nikt mu nie odpowiadał na maile. Ciekawostka.

[T 6]

hmmm... co zrobila branza hostingowa w tym taniego hostingu aby "wyedukowac" prase w jaki sposob nalezy tego typu porownania wykonywac ? Moze warto zalozyc klub powazniejszych firm hostingowych, ktory bedzie dbal o to aby edukowac i informowac w danym zakresie (nie tylko prase) ?

Litości... ten człowiek nie ma pojęcia o bezpieczeństwie, a bierze się za pisanie tekstów na ten temat. To nie kwestia 'sposobu wykonywania porównań' tylko elementarnej wiedzy którą wypada posiadać w temacie, w którym stara się oceniać i pouczać innych.

[adx 0]

Na takich jest tylko jedna odpowiedź. Wejdź i shakuj mi serwer, masz moje pozwolenie, jak Ci się uda zapłacę Ci wystarczająco dużo. Możesz też poprosić o pomoc kolegów.

 

I wtedy żadne filozowanie o otwartych portach mu nie pomoże.

[gb 12]

Panowie, cokolwiek nie napiszecie na tym forum to do klienta koncowego zostal przeslany dosc mocny przekaz typu "z hostingiem w Polsce jest kiepsko". Co zrobicie aby to zmienic ? Ogolna dyskusja we wlasnym gronie na forum nic nie zmieni.

[hyhyhy 0]

Może by tak napisac coś do Pana Łukasza Bigo, aby w jakiś sposób zmienił treść artykułu, napisał sprostowanie etc... bo myślę, że ten artykuł to może nie do końca stek bzdur, ale w dużym stopniu na pewno zniechęci potencjalnych klijentów do danej firmy ... a art pojawil sie na potężnych serwisach (mam namyśli, że bardzo często odwiedzane ) ...

[adx 0]

Panowie, cokolwiek nie napiszecie na tym forum to do klienta koncowego zostal przeslany dosc mocny przekaz typu "z hostingiem w Polsce jest kiepsko". Co zrobicie aby to zmienic ?

 

Myślę, że firmy powinny wymusić jakieś sprostowanie bądź kontrartykuł i spodziewam się, że to zrobią.

[moDell 0]

Bardzo bym chcial przeczytac ten artykuł, ale obecnie serwer pcworld wyswietla error 500 czyzby wybrali złą firmę hostingową ?

[hyhyhy 0]

wogóle cos idg padło oj oj pozdr.

[adx 0]

W ogóle ich strona jest zawsze porządnie zlagowana i trudno się dostać, powinni się na serio zainteresować hostingiem ;-)

[maras 0]

Autor artykułu wyciągnął większość wniosków, które nie mają nic wspólnego z rzeczywistością, np. mit o brute-force i sshd. Nie raczył on zbadać serwerów głębiej, od strony konfiguracji php, cgi, czy jest środowisko chroot - przecież większość włamań z tych właśnie wynika. Zdalne włamania przez httpd, ftpd, mysqld są rzadkością i mają miejsce, gdy soft jest naprawdę archaiczny.

 

Tak więc moim zdaniem autor nie skupił się na najważniejszym aspekcie i tym samym minął się z tematem.

[zenek 0]

idg sie ośmiesza takimi artykułami. Trudno - ich strata. A co sie naśmiałem to moje.

[moDell 0]

W ogóle ich strona jest zawsze porządnie zlagowana i trudno się dostać, powinni się na serio zainteresować hostingiem ;-)

Jak to napisał autor artykułu: "Szewc boso chodzi"

Nikt myslacy nie będzie zatem bral pod uwage ich opinii. Pisząc o takich rzeczach sami powinni reprezentowac jakis "poziom".

[pozmu 0]

Ja z kolei nie wiem, co w tym artykule śmiesznego... Wersje oprogramowania to rzeczywiście tragedia - proszę mi nie mówić o łatanych wersjach, bo miałem doczynienia z serwerem, który niby był tak łatany, a okazywało się, że owszem, odpowiednie patche są dostępne, ale nie są aplikowane np. ze względów licencyjnych czy technicznych.

[Diwi 0]

Pozmu ten temat był omawiany 3 miesiące temu

 

Pozdrawiam