Myslím, že by čtenářům mnohem více posloužil článek někoho, kdo skutečně na Internetu své stránky publikoval na několika freehostingových serverech a který je dokonale obeznámen s problematikou v praxi.
Server Jinak.cz nabízí PHP, SQL databázi, web prostor v podstatě neomezuje (záleží na volné kapacitě serveru), zasílání logů, vlastní email s pop3 přístupem, statistiky návštěvnosti a podobně. Toto nepíšu proto, že bych Jinak.cz nějak stranil, ale prostě proto, že jsem u nich byl a že jsem podobný hosting hledal několik měsíců a situaci u nás mám slušně zmapovanou. Podobných serverů je však mnoho (třeba Multiweb nebyl zmíněn ani v diskusi).
Z článku by mohlo vyplývat, že jsou vyjmenováni 4 "hlavní" hostingové servery. Chtěl bych varovat ty, kdo chtějí zkusit Mujweb (podle tohoto článku sice nejhorší, ale pořád mezi čtyřmi nejlepšími). Je to nejhorší služba, jakou dnes můžete najít, jeho časy jsou sečteny a stránky u nich si zřídí pouze internetoví začátečníci. U uploadu souborů (když jsem byl zoufalý a potřeboval aktualizovat obsah) je to o nervy, máte příšernou adresu, stránky na Mujwebu jsou také často nedostupné. Když napíšete adminovi, těžko vám odepíše. Rezignujete na možnost někdy si na webu něco vydělat, nesmíte mít bannery. Atd... To byl jen takový příspěvek pro lidi, kteří by si snad vybírali mezi čtyřmi nejzprofanovanějšími službami. Mimochodem, z oněch čtyř jsou skutečně nejlepší na Hyperlink.cz, není důvod být u někoho jiného v článku zmíněného. Třeba u SWEBu díky freemailu těžko seženete volnou rozumnou adresu.
Takze nez se vsude honit za tim, abychom meli co nejvice jen diky tomu, ze nakonfigurovat FTP sluzby je otazka 5 minut, co takhle trochu osvety i mezi davem?
Muzete to upresnit?
Me se naopak zda, ze Marek vytezil z hlubin ceskeho NETu stare harcovniky, kteri s "velkymi spolecnostmi" spjati nejsou. Namatkou:
1) Da se predpokladat, ze ten zacatecnik zacatecnikem nezustane naveky, ale ze se casem treba i neco priuci. A FTP pristup oceni mnohem driv, nez ty skutecny vychytavky typu PHP, MySQL nebo treba formularu.
2) I kdyby bod 1 nebyl pravda, faktem zustava, ze vsechny zminene servery jsou ve vsech ohledech horsi nez takrka cokoliv, co lze na ceskem (a slovenskem - Host.sk) webu najit. Z tohoto hlediska je zcela irelevantni, jestli je vetsina jima nabizenych moznosti zacatecnikem nevyuzita. Neverim, ze by zacatecnik nedokazal vyuzit prinejmensim vyssi rychlost (MujWeb neni zrovna blesk) a velikost volnyho mista (hmmm, 20 MB? wow!).
3) A dal: Absolutne nechapu ten pristup, ze "je to zacatecnik, tomu stacej smejdsky sluzby, aspon zbude vic mista na dobrych serverech pro me". Teda urcitou logiku ma, ale rozhodne to neni logika, ktera by se mi libila.
Pokud jde o vase otazky:
1) FTP a HTTP rozhodne neni to samy, a to ani pro zacatecnika. Nehlede na to, ze asi i zacatecnik dokaze v Explorerovitym interfacu (kterej se bohuzel ve FTP programech objevuje az moc casto) pretahnout soubor ze svyho lokalniho disku na server, je neoddiskutovatelnym faktem, ze HTTP pristup je a) naprosto nepouzitelnej pro upload vice souboru, b) naprosto nepouzitelnej pro upload velkych souboru, a c) v nekterych situacich naprosto nepouzitelnej vubec (treba ja si na Dattelkabelu pres HTTP neuploadnu ani 30 KB soubor, nanejvejs zcela vyjimecne).
2) Nechapu, v cem je plaintextova autentizace FTP nebezpecnejsi, nez plaintextova autentikace HTTP (kolik z freewebu pouziva zasifrovany prenosy?) nebo plaintextova autentikace mailu (kolik zacatecniku bere postu pres zakodovany protokoly - to mimochodem nedelam ani ja). Jinak bych jen podotkl, ze to, ze je "sluzbe z kamennych dob dinosauru", se da chapat taky tak, ze je tak dobra, ze se zatim na nic lepsiho neprislo (coz mi u FTP prijde jako vcelku opravneny tvrzeni).
Pepa Kokes
Rozdil v autentizaci mezi FTP a HTTP je v tom, ze HTTP ma BASIC autentizaci (BTW ta je alepson BASE64 kodovana, coz POP3, FTP, Telnet... neni bohuzel vubec) jen jako jednu moznou, FTP jinou moznost nema (snad vyjma sifrovaneho kanalu a v nem klasicke FTP, coz ale nezvlada ani jeden mne znamy program). Navic, pro HTTP pozadavek je celkem trivialni dotaz presmerovat na HTTPS server => zadna autentizace nemusi jit po nesifrovanem kanalu, u FTP tezko proveditelne...
Plaintextova autentizace mailu, to si asi delas legraci, ze? Nevim jak ty, ale postu zasadne stahuji pres SSH tunel...
Tvrdit, ze nic lepsiho nez FTP pro prenos souboru neexistuje svedci o Tve naproste neznalosti problematiky...
A posledni - pro zacatecnika je putna, zda-li data stahuje pres HTTP nebo FTP, WWW klienti stejne neumi stahovani od kusu souboru (paklize aspon kus nemaji v cache a nevyuziji side-efekt - napr. MSIE) definovat a tak zpravidla casto stahuji soubory porad znovu...
Autor vybira z mnoziny, kterou lze jen tezko definovat jinak nez vyctem. Nemyslim napriklad, ze MujWeb je posledni vykrik techniky, na druhou stranu ma jistou kontinuitu a da se cekat, ze kdyz mu pribyde 1000 uzivatelu, tak se jeho schopnost poskytovat stranky nejak zmeni. Vsechny ty aktivni blbosti jsou potencialne nebezpecne a skutecne bych se rad dockal toho, ze nejaka sluzba, poskytujici tyto sluzby bude mit radove desetitisice hostovanych webu.
Podotykam, ze bych se take mohl tvarit mrzute, protoze PinkNET nabizi uplne vsechno (aspon myslim), co ony vychvalovane systemy. Nicmene neaspiruji na milion hostovanych webu :-)))))
Ale Marek Antos Vam urcite nebude branit, abyste napsal clanek o "nezavislych" hostovacich systemech.
Jak uz vam napsal dalsi clovek, naprosto jsem se nezameroval na to, jestli je mozny zabezpecit postu/HTTP vic nez FTP, ale zcela azmerne na to, ze to ani jeden ze serveru nedela, a i kdyz dela, drtiva vetsina lidi to nepouziva (posta - btw., pokud chci, aby mi lidi postu necetli, tak si ji zasifruju celou, jinak at si ji klidne precte kdo chce).
Ktery lepsi protokol nez FTP pro upload souboru znate? Rad se poucim a budu ho pouzivat.
O downloadu jsem nemluvil vubec.
Pepa Kokes
Pro zacatek scp (soucast SSH) by vam nestacil? A s tim e-mailem, zasifrovanim tela zpravy zrovna tak moc nevyresite, jak vite, ze ten mail (byt zasifrovany a podepsany spravnou osobou) skutecne poslala ta a ta osoba... pri jistem zpusobu sifrovani napr. v IPsec se totiz sifruje a kontroluje vse, vcetne IP hlavicky (AH protokol?), takze ani takova vec jako Masquerade nema sanci a je to dobre...
BTW ja se opravdu divim spouste firem, ze nejsou ochotni investovan ani korunu napr. do domeny nebo alespon e-mailu jinde nez na Free sluzbach (co si o takove firme mam myslet?) a casto znacne relevantni a vyuzitelne/zneuzitelne informace o sobe posilaji skoro tak, ze mohou otevrit okno a vytrubovat to do sveta... bohuzel cast Evropy si stale jeste nezvykla, ze informace jsou a budou nejdrazsi obchodni artikl, ktery se velmi, ale velmi dobre prodava a dle toho s tim naklada (jak inkriminovane firmy, tak 'sikulove' okolo;-))
SCP neznam a nejaky informace o nem bych docela uvital. Jaky ma vyhody proti FTP (teda krome toho, ze to snad zadnej free server, kterej znam, neumi)?
Nemyslite ze takoveto jednosmerne uvazovani je spatne, zejmena uvazime-li kolik pomerne silnych komercnich subjektu se na nic vice nezmohlo?
Mluvit o CR internetu v souvislosti s crackingem je irelevantni
No ja bych ani nerekl, z RIPE je mozno pomerne dobre dohledat, ktere rozsahy komu patri a kdyz napr. ten a ten ISP operuje jen na jistem uzemi (coz casto lze vycist i z WWW) a IP mobile tu jeste nemame, pak mame temer absolutni jistotu, alespon geograficky, kde stroj lezi (byt z hlediska IP muze byt kdekoli, coz nam ale velmi casto traceroute (UDP ci ICMP) potvrdi). Proto ta zminka, ze CR je velmi zajimavym prostredim je na miste, zejmena v souvislostmi nedavno minulymi (masovy scan/hack BINDu loni apod.), staci sledovat patricne konference a narky uzivatelu... pak mozna zmenite nazor.
o utok na zname bezpectnosnti diry ( nejen demonu ) neni imho utok sofistikovany, spis bych ho nazval cilenym scanem. Projevy sofistikovanych utoku pravdepodobne v logu nenajdete...
Klasicka ukazka:
Jan 8 23:24:17 app ftpd[15819]: ANONYMOUS FTP LOGIN FROM ns1.theomnistore.com [ 212.210.91.9], <90><90><90><90><90><90> . . . <90><90><90><90><90>1Ŕ1Ű1É°FÍ<80>1Ŕ1ŰC<89>ŮA°?Í<80>ëk^1Ŕ 1É<8D>^^A<88>F^Dfš˙^A°'Í<80>1Ŕ<8D>^^A°=Í<80>1Ŕ1Ű<8D>^^H<89>C^B1ÉţÉ1Ŕ<8D>^^H°^LÍ <80>ţÉuó1Ŕ<88>F^I<8D>^^H°=Í<80>ţ^N°0ţČ<88>F^D1Ŕ<88>F^G<89>v^H<89>F^L<89>ó<8D>N^H <8D>V^L°^KÍ<80>1Ŕ1Ű°^AÍ<80>č<90>˙˙˙0bin0sh1..11 Jan 8 23:25:25 app ftpd[15819]: FTP session closed
posilat data pre https je samozrejme bezpecnejsi nez ftp, ale p. Kokes uvedl argument, ze u vetsiny webhostingu nepouziva, a tomu bych celkem veril
To vazne neznate jiny zpusob, kdyz tak zasvecene o tom mluvite? Argument ze se neco nepouziva je sice hezky, ale proc? Protoze uzivatele vubec nevedi nic o nebezpecich, ktera cihaji (neznam firmu, kde kdyz jsem patricne objasnil 'moznosti' Internetu, nezabihal jsem ani do podrobnosti a vubec si nevymyslel, ale demonstroval na medializovanych kauzach, tak dotycny subjekt chtel aspon radne nastaveny firewall ci skoleni, dohodnuta cena bylo to posledni co ho v te chvili zajimalo). Jenze kdyz se uzivatelum bude furt mazat med kolem huby, ze je vse OK, pak je asi neco spatne, nemyslite?
nerekl bych, ze nepouzivani chraneneho kanalu je az takova rarita, tipnul bych si tak 99%
Zalezi na vzorku lidi, BFU nepochybne, obchodni partneri jsou jiz nyni na tom jinak a jsem tomu nesmirne rad...
tvrdit, ze nic lepsiho nez ftp pro prenos neexistuje imho nesvedci o naproste znalosti spis nez svedci o naproste neznalosti
To si nyni delate legraci nebo jste na tom podobne?
Pro uzivatele, ktery je zacatecnikem na internetu je imho dulezitejsi uzivatelsky komfort systemu
Vazeny pane, nepochybne Vam neuniklo, ze i MS musi se svym 'komfortem' neco delat, protoze prave diky tomu naprostemu teplicku tu mame kauzy jako ActiveX volani do tramtarie, Melisa a podobne mail cervy a jine, zamerne jmenuji MS, protoze ten v prve rade vymyslel ptakoviny pro uzivatele a teprve pak prichazel (resp. jini prichazeli) na moznosti, co to vse dokaze. U jinych jsem se setkal s metodikou, ze nejprve premysli, pak implementuji a kdyz jim neco unikne (nezamerne), pak udelaji opravu, ale MS dokonce nektere veci prohlasuje za features (vlastnosti) a tvari se, ze jeho se problem netyka...
Na zaver snad jedno, pouze osveta muze s dnesnim znacne nelichotivym stavem neco delat. Michal Krsek dela IMHO velmi dobre osvetu v tom, jak funguje Internet z hlediska ISP a zakazniku, jake jsou trendy, jak se zakaznici sidi, na co si dat pozor apod. Ja se trochu(?) vyznam v bezpecnosti, znam pomerne dobre low-level programovani a vyuziti ruznych systemu, protokolu (ktere uzivatelum pres nejaky std. program neni umozneno) a vim, jake maji moznosti a co s nimi lze delat, proto delam osvetu v oblasti, do ktere vidim a po vysvetleni mne jeste nikdo nenapadl, ze si vymyslim... jen ne vse lze obsahnout na jedne A5, pak jsou nektere vety skutecne napadnutelne...
Muze mi nekdo vysvetlit co je na FTP tak zasadniho, ze ho musi kazdy mit? 1. Zacatecnik o nem casto vubec nikdy neslysel a kdyz uz tak zpravidla vi, ze to same muze delat pres HTTP (coz je a neni pravda, zalezi na uhlu pohledu) 2. Jakozto sluzba z kamenych dob Dinosauru ma zakladni plain textovou autentizaci (a jinak nic), tudiz je pro dnesni praci temer k nicemu (krome zabezpeceneho Intranetu)
Na coz jsem reagoval vysvetlenim duvodu, proc ma FTP smysl i pro zacatecnika (coz jste mi strhal zpusobem "jsi uplne blbej, kdyby ses kouknul do logu, tak vidis, jak moc se v CR hackuje"). Probehlo par odpovedi, a najednou se ptate:
Pro zacatek scp (soucast SSH) by vam nestacil? A s tim e-mailem, zasifrovanim tela zpravy zrovna tak moc nevyresite, jak vite, ze ten mail...
WTF? Co to ma spolecnyho??? No dobra, chapu, ze jste uplne nejgenialnejsi clovek na ceskym internetu, ale neni to ponekud offtopic? Az se budu se svym nazorem cpat do diskuse o tom, jak moc nebo malo se v CR hackuje, tak prosim, klidne me muzete timto argumentem sejmout. Ale v tyhle diskusi??? To dokazu kohokoliv preargumentovat taky, kdyz mu v polemice o FTP zacnu vykladat o tom, ze by nepoznal dobrou filmovou hudbu, i kdyby ho kousla do zadku...
Muzes udelat totez - serial o bezpecnosti. Marek Te urcite neodmitne. Jen upozornuju, ze budes mit tezsi roli. V dnesni dobe je odbnornikem na webhosting a bezpecnost kazdej druhej, zatimco jak funguje ISP tady vi par lidi (a ti si to nechavaji predevsim pro sebe :-)).
Ja to delam zistne ze dvou duvodu:
Nemyslite ze takoveto jednosmerne uvazovani je spatne, zejmena uvazime-li kolik pomerne silnych komercnich subjektu se na nic vice nezmohlo?
Mam za to, ze si stale nerozumime a kazdy mluvi o necem jinem. Samozrejme, ze je treba dbat jak na zabezpeceni serveru ( sluzeb ), tak i na dodrzovani bezpecneho chovani uzivatelu. Ale tento subthread vzniknul na zaklade otazky, zda je ftp protokol vhodnejsi nez http pristup pro spravu stranek na freehostingovych sluzbach. Takze to shrnu:
| http | ftp | |
| bezpecnost | vysoka pres https ( neni pouzivana - nemam neovereno ) | nizka ( hesla jsou prenasena v nezasifrone podobe ) |
| ovladani | casove narocne, neintutivni | rychle, integrovane do mnoha sw produktu |
Samozrejme, ze existuji i jine moznosti, jako scp, sftp nebo i cvs s overovanim uzivatele napr. pres kerberos, ale tyto sluzby nejsou standardne v nabidce freehostingovych sluzeb a mohou s sebou prinaset dalsi bezpecnostni rizika.
Mluvit o CR internetu v souvislosti s crackingem je irelevantni
No ja bych ani nerekl, z RIPE je mozno pomerne dobre dohledat, ktere rozsahy komu patri a kdyz napr. ten a ten ISP operuje jen na jistem uzemi (coz casto lze vycist i z WWW) a IP mobile tu jeste nemame, pak mame temer absolutni jistotu, alespon geograficky, kde stroj lezi (byt z hlediska IP muze byt kdekoli, coz nam ale velmi casto traceroute (UDP ci ICMP) potvrdi). Proto ta zminka, ze CR je velmi zajimavym prostredim je na miste, zejmena v souvislostmi nedavno minulymi (masovy scan/hack BINDu loni apod.), staci sledovat patricne konference a narky uzivatelu... pak mozna zmenite nazor.
Ano, je mi znamo, ze s urcitou pravdepodobnosti se da urcit geograficka poloha serveru podle ip. Poznamku jsem myslel tak, ze mi unika, jaky je rozdil mezi ceskym internetem a svetovym internetem ( pro crackery ).
o utok na zname bezpectnosnti diry ( nejen demonu ) neni imho utok sofistikovany, spis bych ho nazval cilenym scanem. Projevy sofistikovanych utoku pravdepodobne v logu nenajdete...
Klasicka ukazka:
Jan 8 23:24:17 app ftpd[15819]: ANONYMOUS FTP LOGIN FROM ns1.theomnistore.com
...
1.Nazvat toto pouze cilenym scanem je opravdu odvazne
Budiz, je to jen o slovech. Ale mluvit o utoku jako sofistikovanem, pokud nejake script kiddie ( z 99% ) zkousi odnekud stazeny exploit mi prijde take prehnane.
2.uvedeny stroj a IP adresa existuje fyzicky cca 3 dny v cele ere Internetu, do te doby na tom nikdy nic neposlouchalo... a stejne zkusenosti mam i s jinymi 'aktivovanymi' IP adresami, mohu se opravdu jen usmivat nad nazorem ala "dyt ten stroj je tam chvilinku, to o nem jeste nikdo nevi, tak co by na nem hledal" - moje praxe ukazuje presny opak, patricne struktury presne vi o novych strojich...
Kazdy stroj, ktery zapojite do internetu, je od teto chvile v ohrozeni. Pochybuji, ze 'patricne struktury' vi o nove pripojenych strojich, patrne slo o nahodu, ze se kolem zrovna prohnal nejaky netblock scan. Myslim, ze Vy sam jste tu psal az o trech scanech za den...
3.LOGy muze utocnik smazat a zamest za sebou stopu, ale pouze v par pripadech: 1.nalezne vsechny mista a cesty kudy se LOGuje ci jinak informuje a je schopen infromace vymazat (odeslane SMSko z SMS brany tezko dostanete zpet)
Abyste se jednou nedivil...
posilat data pre https je samozrejme bezpecnejsi nez ftp, ale p. Kokes uvedl argument, ze vetsiny webhostingu nepouziva, a tomu bych celkem veril
To vazne neznate jiny zpusob, kdyz tak zasvecene o tom mluvite? Argument ze se neco nepouziva je sice hezky, ale proc? Protoze uzivatele vubec nevedi nic o nebezpecich, ktera cihaji (neznam firmu, kde kdyz jsem patricne objasnil 'moznosti' Internetu, nezabihal jsem ani do podrobnosti a vubec si nevymyslel, ale demonstroval na medializovanych kauzach, tak dotycny subjekt chtel aspon radne nastaveny firewall ci skoleni, dohodnuta cena bylo to posledni co ho v te chvili zajimalo). Jenze kdyz se uzivatelum bude furt mazat med kolem huby, ze je vse OK, pak je asi neco spatne, nemyslite?
Tak v tomto mam ponekud jinou zkusenost, ale to uz jsme zasli hodne daleko od webhostingu. Moje zkusenost je takova, ze klienti z 90 % pouzivaji prave ftp pristup a 'donutit' je pouzivat neco jineho ( bezpecnejsiho ) je takrka nemozne. Mel byste si uvedomit, ze uzivatele internetu uz nejsou jen pocitacovi geekove. Samozrejme s Vami souhlasim, ze by meli byt informovani o rizicich a moznych nahradach ftp ( nejenom ), ale to uz si musi rozhodnout sami, webhostingova firma je do toho nemuze nutit ( a vetsinou ani nedonuti ).
nerekl bych, ze nepouzivani chraneneho kanalu je az takova rarita, tipnul bych si tak 99%
Zalezi na vzorku lidi, BFU nepochybne, obchodni partneri jsou jiz nyni na tom jinak a jsem tomu nesmirne rad...
Ano, je tu znat jisty posun v chovani lidi k informacim, ale opet je to imho off-topic
tvrdit, ze nic lepsiho nez ftp pro prenos neexistuje imho nesvedci o naproste znalosti spis nez svedci o naproste neznalost
To si nyni delate legraci nebo jste na tom podobne?
Jinymi slovy, kdyz nekdo nevi vse, tak to neznamena, ze nevi nic. Stylisticky jsem to napsal opravdu hrozne ;)
Pro uzivatele, ktery je zacatecnikem na internetu je imho dulezitejsi uzivatelsky komfort systemu
Vazeny pane, nepochybne Vam neuniklo, ze i MS musi se svym 'komfortem' neco delat, protoze prave diky tomu naprostemu teplicku tu mame kauzy jako ActiveX volani do tramtarie, Melisa a podobne mail cervy a jine, zamerne jmenuji MS, protoze ten v prve rade vymyslel ptakoviny pro uzivatele a teprve pak prichazel (resp. jini prichazeli) na moznosti, co to vse dokaze. U jinych jsem se setkal s metodikou, ze nejprve premysli, pak implementuji a kdyz jim neco unikne (nezamerne), pak udelaji opravu, ale MS dokonce nektere veci prohlasuje za features (vlastnosti) a tvari se, ze jeho se problem netyka...
Mel jsem na mysli komfort systemu freehostingu, nikoli OS. O MS produktech ma myslim na Lupe uz kazdy svuj nazor...
ČLÁNKY DO MAILU