jsem jednatelem menší hostingové společnosti (cca. 300 domén) a denně trnu hrůzou, že náš hosting někdo hackne, přestože děláme maximum pro zajištění bezpečnosti (stát se to prostě může - jde jen o hru mezi hackery a sysadminy).
právě proto mě zarazilo, že je bezpečnost hostingu90 natolik mizerná, že mají někde v databázi uložená plaintextová hesla k FTP/mySQL!!! to je přeci fatální bezpečnostní selhání!!!
abych vás trochu pobavil, nebudu zastírat, že se občas porozhlédnu po serverech konkurence, když pomáhám novým zákazníkům přejít od webhostera, u kterého nejsou z různých důvodů spokojeni (myslete si o mě co chcete), a podělím se o následující zjistění:
- mnoho hostingových společností nepoužívá ani základní bezpečnostní opatření, takže získat heslo roota do mySQL není problém - pomocí skriptíku v PHP často není problém otevřít cron, najít skript, který v noci provádí zálohování, a zjistit z něj heslo (mysqldump --all-databases -u root -pMojeHeslo) :-)
- z mé vlastní zkušenosti jsou nejhorší firmy, které poskytují tzv. "webhosting" jako součást připojení k Internetu, tj. nainstalují pár balíčků, tak nějak je zkonfigurují, aby chodily, a na všechno ostatní kašlou
- zažil jsem už i větší společnost, která poskytuje serverhosting, a některým zákazníkům zapomněla nastavit heslo pro roota do databáze (takže http://www.doména.cz/phpmyadmin, root bez hesla a jupí)...
- znám pár lidí, kteří se zabývají legálním dobýváním firemních sítí, hostingů a podobných (tedy že si sám majitel/provozovatel nechá provést externí bezpečnostní audit), a také se nestačím divit, na co přicházejí...
- myslím si, že kdyby někdo hackerům platil za hackování webhostingů, až do Vánoc by lupa nepsala o ničem jiném než o hostingu90 a jemu podobných :-)
- když i Portál veřejné správy Ministerstva vnitra (za mnoho miliard) obsahoval několik fatálních SQL-injection a do databáze se připojoval pod superuserem (viz starší článek na underground.cz), nedělám si o významu slova "bezpečnost" v české společnosti vůbec žádné iluze...
Honza
Odpověď na názor
Odpovídáte na názor k článku Hosting90 byl "hacknut". Jak k tomu došlo?.
Pravidla pro diskutující
Přidáním čtenářského příspěvku do diskusí či fóra souhlasíte s tím, že budete dodržovat následující pravidla. Při jejich hrubém porušení se vystavujete riziku smazání příspěvku, jeho modifikaci, v krajním případě i zablokování přístupu do diskusí.
Redakce ze zásady nezasahuje do čtenářských diskusí a zavazuje se, že nebude mazat ani modifikovat příspěvky, kromě případů, kdy tyto porušují některé z následujících pravidel. V takové situaci je na zvážení redakce, zda příspěvek modifikuje s viditelným upozorněním, či přímo smaže. Redakce nikdy nemaže „nesouhlasné komentáře“ jen proto, že jsou nesouhlasné. Vítáme střet názorů, ale vždy v rámci slušné a kultivované debaty.
Příspěvky nesmí obsahovat:
- Vulgární či hrubé výrazy.
- Urážlivé výroky na adresu druhé osoby či skupiny osob.
- Texty, které mají za cíl jen vyprovokovat emotivní reakci (trolling).
- Rasové útoky či útoky na jakoukoliv jinou menšinu či skupinu obyvatel.
- Komerční nabídky a affiliate odkazy.
- Odkazy na warez, sériová čísla, licenční kódy, pornografii a další nevhodný materiál stejně jako žádosti o poskytnutí tohoto obsahu.
- Prokazatelně protiprávní obsah.
Informace o soukromí: U všech přidaných komentářů provozovatel ukládá IP adresu a hostname odesílatele. U neregistrovaných uživatelů se na webu zobrazuje část hostname, případně IP adresy, neumožňující identifikovat konkrétní počítač.
Povolené značky XHTML: a, br, code, em, li, ol, p, pre, strong, sub, sup, ul
