Hlavní navigace

Názor k článku Nebezpečné webhostingy III od anonym - Tak ja bych si to dovolil shrnout. 1. dil:...

Článek je starý, nové názory již nelze přidávat.

  • 2. 9. 2008 13:18

    anonymní

    Tak ja bych si to dovolil shrnout.

    1. dil: Prvni dil byl prohlasen autorem jako "teoreticky". To je ponekud ironicke, ponevadz teorie v clanku opravdu mnoho nenajdeme a autor si zrejme plete terminy "teorie" a "uvodni omacka"... coz ale neni takove prekvapeni, ponevadz jak se ukazuje v clancich, nejsou to jedine terminy ktere si autor plete.

    Dozvidame se zde, ze je nutne dbat u webhostingu na bezpecnost a ze prolomeni bezpecnosti muze mit neprijemne dusledky. Dalsi informaci je, ze i pri dobre zajistene bezpecnosti na urovni serveru mohou byt vyuzity chyby ve webovych aplikacich jako takovych. Posledni informace, kterou se ve clanku dozvidame je, ze autor ma kamarada a tento kamarad jmenoval dva "nahodne" hostingy (s velkou pravdepodobnosti, ze jde o garazovky) kde autor tvrdi, ze se dostal snadno k datum behem nekolika minut. Toto je ilustrovano malebnym obrazkem zmeny ceny produktu v MySQL databazi.

    Toto vse se dozvidame na deviti pomerne rozlehlych odstavcich.

    Shrnuti: Self-congratulatory yap ktery by se dal shrnout (a mel by se shrnout) do jedineho odstavce.

    2. dil: Druhy dil ma dle autora nabidnout jiz konkretnejsi pohled na problematiku. V uvodu se dozvidame, ze neni principialne rozdil v prubehu utoku a penetracnich testu (coz je pomerne prekvapive, kdyz vezme clovek v uvahu, ze pri utoku se clovek snazi proniknout bezpecnosti dane aplikace... narozdil od penetracnich testu, kdy se clovek snazi proniknout bezpecnosti dane aplikace).

    Dale se dozvidame, ze k tomu aby clovek mohl uspesne utoky provest musi byt uzivatelem daneho webhostingu, coz je samozrejme pravdou v tom nejsirsim hledisku. S prekvapenim zjistujeme, ze autor zna pouze nasazeni pres CGI nebo pres mod_php, ze vyzaduje nejnovejsi verzi Linuxoveho jadra a zrejme nezna moznosti backportovani oprav. Clanek nas seznamuje s tim, ze vystup funkce phpinfo() dava komplexni prehled o nastaveni PHP na webhostingu.

    V clanku je take obsazena komparativni analyza ceny beznych komodit.

    Shrnuti: Odbornejsi publikum by se tomuto clanku vysmalo (a ostatne tak ucinilo v diskuzi). Pro laicke publikum to budou poplasne zpravy, ponevadz autor se omezuje jen na konkretni pripady, konkretni nasazeni a nijak neakceptuje ani nenaznacuje v clanku rozmanitost technologii na tomto trhu.

    3. dil: Tretil dil jiz obsahuje konkretnejsi informace, ackoliv porad ze zcela omezene perspektivy. Dozvidame se o zakladnich konfiguracnich direktivach (neni na to v zaverecnem dile trochu pozde?), ale opet pouze pro konkretni pripady, konkretni nasazeni, ktere ani zdaleka nemaji obecnou platnost pro laickou verejnost, jak autor rad tvrdi.

    Dozvidame se o nekolika utilitach automatizujicich zneuziti obvyklych chyb na obvyklem nasazeni. Neni to prilis velke prekvapeni -- ostatne je skoda, ze termin "script kiddie" odesel z bezneho povedomi. Dozvidame se o nekolika moznostech zlepseni bezpecnosti (Suhosin, mod_security), ale nedozvidame se nic o jejich nastaveni. Opet, neni to na zaverecny dil tridilne serie ponekud malo?

    Shrnuti: Lepsi? Urcite. Dobre? V zadnem pripade.

    Celkem by se dalo rict, ze prvni dil "serialu" vyda obsahove tak maximalne za perex. Oznacovani jeho obsahu za "teoreticky" je naprosto smesne. Druhy a treti dil serialu, pomineme-li (rozsahle) obsahove nepresnosti vyda priblizne za jeden bezny clanek minus perex. Dozvidame se, ze webhostingy jsou vetsinou nebezpecne, ale bez jakychkoliv statistiky, prehledu nebo dukazu... coz pusobi dojmem levne "pusobive" poplasne zpravy.

    Diskusi ke clankum snad ani netreba komentovat: arogantni a urazejici vypady v diskuzi predevsim u prvniho clanku logicky vyvolaly posmech a nevoli vsech ctenaru. U druheho clanku jiz po nejake dobe autor prestal v diskuzi reagovat a neprekvapilo by mne, kdyby proto, ze dostal od lupy durazne doporuceni se diskuze vyvarovat.

    Jak si autor vysvetluje temer nulove mnozstvi kladnych reakci v diskuzi je zahadou.

    Autor tohoto serialu v diskuzi popsal svuj profil. Je mu 21 let, ma jako stredni skolu vystudovanou obchodni akademii v rakousku, je nyni studentem vysoke skoly kterou oznacil jako "informatika/ekonomie" (zda se jedna o VSE nebo o VSMIE ci neco uplne jineho nevime).

    Co se tyka svych profesnich zkusenosti, nema jedinou firmu kterou je ochoten predat jako referenci. Autor se zabyva vyvojem webovych aplikaci a penetracnimi testy. Nikdy nepracoval ve webhostingovem prumyslu. Nikdy nebyl zamestnancem a neni drzitelem zivnostenskeho opravneni.

    Jako svoje dovednosti uvedl HTML, CSS, JS, PHP, MySQL pro profesionalni potrebu a C++ "pro vlastni potrebu". O jakemkoliv nizkourovnovem vyvoji ci o administraci serveru ma pouze povsechne povedomi, natolik nizke, ze si je dle vlastnich slov netroufa dat do zivotopisu. To je ponekud prekvapive vzhledem k tomu, ze si naopak troufa verejne psat clanky o bezpecnosti ktere se v dusledcich dotykaji vetsiho mnozstvi firem.

    Co se tyka ostatnich aktivit, je autor spjat pod prezdivkou "Emkei" s komunitnim portalem http://soom.cz/ (ktery je nechvalne prosluly jako sbirka "security odborniku" bez obcanskeho prukazu), pro ktery take pise clanky. Portal soom.cz bezi na webhostingu jehoz bezpecnost (i vuci vagnim doporucenim v clanku) byla v ramci diskuze zpochybnena - autor toto vysvetluje ekonomickymi duvody.