Ano, /27 IPv4 adres je skutecne hodne. O tom se prave bavime. V pripade IPv6 to totiz funguje trochu jinak - tam kdyz si reknete o /123 (128-(32-27)), daji vam nejmene /72, spise vsak /64 (tedy pres triliardu adres), a budou se ptat co blbnete.
Pokud myslite zdroj adres, tak ne. Moje adresy jsou z byvaleho freenet6, nyni Hexago, a za rozumny zdroj to nepovazuji, na druhou stranu co chtit vic za ty prachy co jsem jim dal (tj. zadara).
Vyjadroval jsem se obecne, ne ke konkretnimu problemu. Pro FTP nepotrebuju fyzickou osobu a patrne by stacilo kdyby dali ID klice na svuj web, jako primitivni ochranu proti MiM pri prvnim pristupu - tj. neni zapotrebi ani disketa, ani Verisign.
To, ze Vam IP nekdo ted neda, nezaklada zadny duvod k tomu, ze by Vam dal IPv6.
Ja Vam prefix nedam, protoze nejsem LIR, takz Vam ho pridelit nemuzu.
Nicmene nejake ty prefixy na sve jmeno mam a nemel jsem nikdy problem dat takovou zadost, bych dostal takovy profix, ktery skutecne potrebuju. Ale mozna je to tim, ze pro dva weby obvykle nechci /27 :-)
1) Firma FORPSI (alebo ako sa vlastne volaju) v zaujme rychleho zbavenia sa klienta nepovedala pravdu a operovala s FTP-ckom. Pritom sa predpokladam vobec do logov nepozerali (ako ste uz naznacili, pozerali sa az potom ako ste ich poziadali o detailnejsie info). Subory mohli byt nahrate cez nejaku deravu php aplikaciu, co je _ovela_, _ovela_ castejsi sposob ako kradnut FTP hesla.
2) Moznost uniku FTP hesla je prave cez firmu FORPSI (aj ked zrejme neumyselne). Kazdy seriozny webhoster skladuje hesla klientov len v kryptovanej podobe, mozno aj FORPSI, ale je mozne ze nie. Doteraz sa najde zopar webhosterov, ktory hazarduju s doverou zakaznikov a skladuju hesla ako fulltext. Videli sme uz zopar takych unikov na webe. Tato moznost je ciste teoreticka, nakolko neviem v akej podobe FORPSI hesla skladuje.
Ale maji v zasade pravdu, SSL lze provozovat pouze na IP based virtualech. Samozrejme to mohou obejit, ale lidi vetsinou chteji, aby chodili na ftp.mojedomena.cz a ne na ftp.forpsi.com.
Kazdopadne masivni nasazeni sifrovani je vice nez zadouci.
Dle sdělení FORPSI to bylo přes FTP účet naším heslem. Jak bylo heslo zjištěno to by mě také zajímalo - možností je zřejmě však asi hodně. Netrvám na tom, že to není problém na naší straně, ale nelíbí se mi, že nám bylo sděleno, že jsme tam podvodné aplikace museli nahrát my (to že bylo zneužito naše heslo nechtěla webhostingová společnost připustit) a také se nám nelíbí, že jsme důkazy dostali, které měli ukazovat na nás dostali až po 4 dnech a 2 dni se s námi nikdo nebavil. Takže zastavení beru, jen komunikace mohla být rychlejší (nicméně po bitvě je každý generál, že?)
Když jsem koukal na stránky konkurenčních společností, tak šifrované FTP není zas takovu samozřejmostí.
rekl bych ze vsichni rozumni, na vlastnich IP je jeden problem. a to (tak to delame my) ten ze jednaj je IP omezene mnozstvi (tim myslim ze slusna webhostingova firma by mela mit nejmene 1000 IP adres) ale i to ze na sdilenem hostingu pak mit na serveru prirazeno treba 300 IP je trosku prekazke pro funkcni IDS a konfiguraci FW (nicmene toto je problem poskytovatele jak si to poresi).
Nicmene ten kdo nekomu v rozumen variante (tj od 250 czk mes vyse) nevyhovi na zadost o vlastni IP pro SSL ani za priplatek (tedy ty sazby okolo 100 jsou fakt palka slusnost by bylo pouzivat jednorazovy) je proste amater. kdyz uz je za to ochoten nekdo i platit pak je to jen neschopnost hostera to realizovat.
no vyloucime-li hypoteticky priklad ze si nekdo objedna hosting a jeste pred PRVNIM prihlasenim nekdo nachysta M-I-M utok. Ano pak to ma slabinu, pokud ne pri prvni zmene klice na me FTPS klient vykrikne PRRRRRRRRRRRR zmenil se klic a je vymalovani. Klic netreba prenaset bavime se o nahravani dat na FTP server.
jak jsem psal je to technicke omezeni ne problem. prislo mi to HODNE na jeden web. kazdopadne ipv6 uz by melo byti pak bude i ip accounting a bude klid. webhostingove firmy dostanou novy nastroj na sledovani kdo dela co.
nejaky rozumny zdroj krome Ocka a cesnetich zdroju?
Klic, ktery osobne majitel donese me osobne na diskete, povazuji za verohodnejsi nez klic podepsany Verisignem. Ze je to pracne nepopiram, ale pokud se smlouva stejne podepisuje na papire ...
nene, slo o to jaka je to technologie - na P6 se da wifi pekne poslouchat. Bud memu kamaradovi nebe otevreno kdyz jezdil ze skoly tak si jeste v aute nekde nasel hot-spot vyridil za 20 minut maily a tak a sel domu (to byli doby kdy jeste adsl na p6 petrinach nebylo k dispozici, kabelovka take ne)
Tohle mám dojem není první případ, který čtu na internetu, kdy takhle společnost nějak nepěkně vyběhla s klientem.
Ale komu není rady, tomu není pomoci. Kdekoliv se řeší hosting, často tam je nějaký příspěvek o tom, jaký hosting nebrat. Myslím, že se některé společnosti často opakují - v negativním smyslu - pes (kdoví proč přejmenovaný na forpsi), banan, superhosting atd. Takže kdo to tam dá, ať se potom nediví.
Může autor ještě zveřejnit, jaké tam měli uživatelské jméno a heslo? Osobně bych to odhadl na nějakou jednoduchou kombinaci, která jim byla uhodnuta pomocí wordlistu. Protože sice odchycení hesla z nešifrovaného ftp je jednoduché, ale pokud nemají zavirovaný počítač a útočník není nikde "po cestě" (a nepoužívá nějaký složitější způsob útokum jako třeba změna DNS atd.), tak to je neproveditelné. Hádání hesel pomocí wordlistu je v současné době nejjednodušší a nejrozšířenější metoda. Pokud se hostingová společnost těmto metodám nebrání, dá se vyvinout dost slušný počet pokusů za sekundu a uhádnutí nějaké funkční kombinace je pouze otázka času. A času, toho mají podvodníci dost (leží přece na lehátku někde na Bahamách)...
Ale tfuuuj kolego, od profesionala bych ocekaval profesionalni pristup. Znovu si zopakujme k cemu certifikat slouzi a jaky je jeho ucel. Tak a ted mi reknete, jak ses tim shoduje to wildcard?! To, ze nektere CA jsou dobytkove a ve svem PKI prostoru to umoznuji na veci nic nemeni...
holy nesmysl, to co tu povidate je nesmysl na nonplus ultra.
1. ssl jde provozovat i na jedne IP ftp/http pouze budete mit sdileny certifikat. Tzn bude vyskakovat hlaska ze server se vydava za X jmenuje se Y. To se da vyresit za 200USD wildcard certifikatem pro vsechny tyto sluzby.
2. i kdyby tak pro sftp uzivatele donutite aby se pripojovali na server205.poskytovatel.cz a tim problem s identitou odpada
3. na http jde sdileny ssl certifikat jak na apache tak na iis, chce to schopneho admina
Tak o těch daleko jednodušších metodách sniffingu se můžeme pobavit, možná se něco dozvíme. Zkusme odhadnout, jak se útočník k heslu dostal. Složité metody nepřicházejí v úvahu, kdyby to byl profesionál, tak jim hackne celý stroj :) Cílem útočníka je získat hosting s php, naprosto ho nezajímá, koho při tom "použije". Takže jde cestou nejmenšího odporu.
Jinak já vždycky myslel, že profesionálové hostují na svém serveru. Vždycky je potřeba něco přenastavit, přiinstalovat, upravit a na to se vám jakýkoliv hosting vyprdne (ber co je, nebo běž). Při současných cenách se naprosto nevyplatí dělat jednomu ze stovek zákazníků nějaké úpravy na míru. I když hosting stojí (přehnaně) 300 měsíčně tak to je tak půl hodiny práce profesionála. A za tu dobu stihne tak přečíst mail s požadavkem a odpovědět "tohle my neděláme" :)
politika CA nijak nesouvisi s bezpecnostni meho certifikatu mozna ve slusnych krajinach a ne tam, kde je (bylo) nutnosti vygenerovat jak certifikat, tak zadost pres prasacky kus kodu, o kterem nikdo nikdy nic nevedel... navic za podpory technologii, jejichz (ne)bezpecnost je dostatecne znama i prumernemu (poucenemu) uzivateli Internetu...
nevim kde na tom jste? ktera CA nutila generovat zadost pres nejaky nebezpecny kus kodu?
Ja jsem dodal sve vlatni CSR generovane na pc ktere nikdy nebylo a nebude fyzicky pripojeno k zadne datove siti a je k tomuto vyhradne urceno. Nyni se klic nachazi na dvou mistech - v bance v bezpecnostni schrance spolecne s dalsimi Cennostmi a to dokonce v ascii na papire (co vim co bude kdyz bude atomova valka :) a na druhem v bezpecnostnim tokenu co mam pridelany ke klicum.
nyni opravdu snazsi me prepadnout nez se pokouset klic hledat nekde na disku a jit na to pres IT bezpecnost. Ja jako radny obcan s prijmy pro zlodeje nezajimavymi se nemusim bat, ze vyrobce tech tokenu (rainbow) polozi svuj bussines kvuli tomu ze ke klici jsou nejaka zadni vratka.
Hu? to ma byt na me? neresime pripad ze gweb.cz chce mit jistotu ze to nahrava na server3.levny-hosting.cz ALE ze mezi bodem A server a bodem B klient je dostatecne bezpecny kanal.
Uz me moc nebavi to rozlisovat bezpecnostni/organizacni bezpecnost. Jako duveryhodny certifikat/klic muze slouzi self-signed certifikat stejne jako jakykoliv zhluk odpovidajiciho poctu bitu treba zrova 1024bitu.
Bezpecnost prenosu pres SSL nema s CA a jejich politikou NIC spolecne, kanal je bezpecny z PRINCIPU ne z duvodu nejake CA.
Stejne tak me opravdu bavi narky lidi ze QCA PostSignum nemuze byt bezpecnejsi nez ICA etc. Toto siri naprosti amateri politika CA nijak nesouvisi s bezpecnostni meho certifikatu. MUJ PRIVATNI KLIC mam pouze ja a co dela CA s mym CSR je mi putna, ja si zpetne overim ze podepsali MUJ CSR a ne CIZI a ten pak spolecne s PKEY importuju do sveho uloziste na certifikaty.
V cr jsou hosteri kteri vam k libovolne casti vasi vlastni prezentace dokazou omezit pristup jen pro drzitele konkerntich osobnich certifikatu, to same na sftp. Nehlede na to ze se da ftp na slusnem hostingu zakazat do doby nez je potreba. Dobre pro korporatni klientelu. Pravda asi to nepujde poridit za 50 czk/mes
Pokud rezignujeme na podepisovani verejne casti klice CA, nastava zasadni problem, jak dopravit certifikat bezpecnym zpusobem ke klientovi. Samozrejme mu ho muzu dat na diskete, kdyz uzavirame smlouvu, ale je to ponekud pracne.
Kanal je z principu bezpecny jen kdyz jsem si jisty druhou stranou. Bezpecny kanal koncici na pocitaci utocnika je mi prd platny.
není pravda, sniffing lze provozovat i jinak, a daleko jednodušeji.
a hostingu, kterej nenabízí přes web přístup ssl, přes poštu pop3s, imaps, přes ftp ftps atd. bych nezaplatil ani korunu, protože je to amatérský a hlavně debilní - nejsme v počítačovym pravěku!
servery.cz (největší hosting v čr! - jak je to možný netušim, ale kdo chce kam...), forpsi.cz...
prostě používám kvalitní hostingy, a když mě někdo naštve na podpoře, tak du prostě jinam. žádnej problém.
dokud se některý hostingy budou chovat jako amatéři, který neuměj ani zařídit šifrování (a to bez keců a zcela samozřejmě), a k zákazníkovi, kterej je platí se budou chovat jako k obtížnýmu hmyzu, profesionálové k nim chodit hostovat nepudou ani omylem.
Ano, na svoje vlastni ssl je opravdu potreba vlastni IP.
ALE vlastni IP je prece potreba i na vlastni ftp. Takze nevidim rozdil. ftp.domena.tld stejne je prece resene pres unikatni uzivatelske jmeno.
Uz aby bylo IPv6.
pobavit se můžeme u piva, tady to rozebírat nebudu. skoč si na nějaký hackerský stránky (některý jsou i veřejný, protože tam jsou většinou i rady, jak se proti tomu čemu bránit) a trochu si tam poserfuj. nebude tam všechno, kdo by taky chtěl všude rozdávat svoje know-how, ale náznaky jo...
jako, ano, svoje věci mám samozřejmě na svým serveru, ale tuhle jsem měl nějakej (levnější) server doporučit, a rozhodně jsem varoval před amatérama a nebo "dojičema", který tomu vůbec nerozuměj (když mi napsali, že ftps u nich nejde udělat, protože se jedná o virtuální domény - myslel jsem si tehdy něco o tom, že se můj e-mail dostal pravděpodobně sekretářce popelářů nebo co, nebo hodně špatnýmu automatickýmu odpovídači ze 70. let) a nebo na zákazníka kašlou, jak tu je zmíněno: "máme tohle a tohle, a jestli chcete tamto a tamto, neni problém, ale bude to stát hodně peněz a hodně času" (kdybych si tam došel sám, mám to za minutu nastavený) a nebo "nemáme to, nejde to..." (vsadil bych se spíš, že vůbec netušili, na co se jich ptám - tak tam jako už vůbec ne).
a kdyby to někoho zajímalo, tak zprovoznit ssl nebo ftps je otázkou skutečně pár minut - když je dobře udělanej skript, tak i pár sekund (nevim jak na widlích - taky bych to ale v těch woknech nějak nabastlil, na *nixu určitě - a jiný hostingy než na *nixu bych ani nedoporučil, protože třeba php je s widlema tragédie, možnosti nastavení a zabezpečení se nedaj srovnávat ani vzdáleně).
O delce hesla to neni a jeho zmenach to asi neni. Z clanku jsem nepochopil, jakym zpusobem doslo k neporavnenemu pristupu o vaseho weboveho prostoru. Jak ziskal utocnik heslo ? Pokud pouzivate FTP, tak stacilo aby utocnik mel pod kontrolou pocitac nekde po ceste, pripadne nekde pobliz (arp spoofing...). Deravy pocitac klienta, heslo v mailu ... moznosti je mnoho. Je-li pravdou, ze podvodna aplikace byla nahrana pomoci FTP z vaseho uctu, tak si myslim, ze hostingova spolecnost je v tom po technicke strance v nevine.
Pokud je vas web natolik zasadni, ze jeho vypadky vam pusobi vyznamne skody, je asi treba pouzit jine reseni, nez nejlevnejsi webhosting (jde o zabezpeceny pristup sifrovanym protokolem). Pripadne si stanovit nejake zasady bezpecnosti na pocitaci, se kterym ke strankam pristupuje.
Bezpecnost stoji nejake naklady a kdyz se na nich setri, tak se holt jednou za cas stane neprijemnost a pak je otazkou, jake jsou priority.
K puvodnimu komentari - riziko (po technicke strance) je pouzivat protokol FTP bez ohledu na to kde stranky hostujete.
Ze se weby s podvodnymi ci deravymi aplikacemi co nerychleji zastavuji a teprve pak se zkouma, co na to majitel, je jenom dobre.