jsem jednatelem menší hostingové společnosti (cca. 300 domén) a denně trnu hrůzou, že náš hosting někdo hackne, přestože děláme maximum pro zajištění bezpečnosti (stát se to prostě může - jde jen o hru mezi hackery a sysadminy).
právě proto mě zarazilo, že je bezpečnost hostingu90 natolik mizerná, že mají někde v databázi uložená plaintextová hesla k FTP/mySQL!!! to je přeci fatální bezpečnostní selhání!!!
abych vás trochu pobavil, nebudu zastírat, že se občas porozhlédnu po serverech konkurence, když pomáhám novým zákazníkům přejít od webhostera, u kterého nejsou z různých důvodů spokojeni (myslete si o mě co chcete), a podělím se o následující zjistění:
- mnoho hostingových společností nepoužívá ani základní bezpečnostní opatření, takže získat heslo roota do mySQL není problém - pomocí skriptíku v PHP často není problém otevřít cron, najít skript, který v noci provádí zálohování, a zjistit z něj heslo (mysqldump --all-databases -u root -pMojeHeslo) :-)
- z mé vlastní zkušenosti jsou nejhorší firmy, které poskytují tzv. "webhosting" jako součást připojení k Internetu, tj. nainstalují pár balíčků, tak nějak je zkonfigurují, aby chodily, a na všechno ostatní kašlou
- zažil jsem už i větší společnost, která poskytuje serverhosting, a některým zákazníkům zapomněla nastavit heslo pro roota do databáze (takže http://www.doména.cz/phpmyadmin, root bez hesla a jupí)...
- znám pár lidí, kteří se zabývají legálním dobýváním firemních sítí, hostingů a podobných (tedy že si sám majitel/provozovatel nechá provést externí bezpečnostní audit), a také se nestačím divit, na co přicházejí...
- myslím si, že kdyby někdo hackerům platil za hackování webhostingů, až do Vánoc by lupa nepsala o ničem jiném než o hostingu90 a jemu podobných :-)
- když i Portál veřejné správy Ministerstva vnitra (za mnoho miliard) obsahoval několik fatálních SQL-injection a do databáze se připojoval pod superuserem (viz starší článek na underground.cz), nedělám si o významu slova "bezpečnost" v české společnosti vůbec žádné iluze...
ČLÁNKY DO MAILU