Autor Zpráva
patrik_sima
Profil
Dobrý den,

nedávno jsem chtěl něco řešit na jistém hostingu a druhá strana mi odpověděla, že všechno bude, ale že jim mám zpět zaslat přístupové údaje k ftp pro doménu, které se problém týkal.

Jeví se vám tento požadavek běžný? Jaký máte na to názor?
quinux
Profil
patrik_sima
Tento požadavek určitě běžný není a být tebou, tak si sbalím svých pár švestek a jdu k serióznějšímu hostingu. ;o)
xHire
Profil
Seriózní hosting s tebou normálně komunikuje na kanálech uvedených při objednávce (určitý e-mail/ICQ apod.), a pak už po tobě prakticky nic chtít nemá (jedině pokud tam máš víc domén, tak doménové jméno). Dotyčný hosting buď jen přeprodává a nemá tedy přístup k serverům nebo to je učiněný amatér. Ani jedno se však vzájemně nevylučuje. ;-) Rozhodně bych u nich dál nesetrvával, nechal si vrátit peníze a šel pryč.
patrik_sima
Profil
quinux a xHire: Mohl bych znát nějaké konkrétní argumenty? Tuším, že to je špatně, ale neumím argumentovat, proč?
djlj
Hosting subreg.cz
Profil
Tuším, že to je špatně, ale neumím argumentovat, proč?
Protože by k účtům a datům měla mít technická podpora běžně přístup; není třeba se přihlašovat pod účty uživatelů…
YoSarin
Profil
djlj
Jestli jsem pochopil, tak tady šlo podpoře spíš o identifikaci uživatele...
quinux
Profil
patrik_sima
Mohl bych znát nějaké konkrétní argumenty
Tak jak již psal djlj, admin by měl mít ke všemu přístup, aniž by potřeboval zasílat tvé údaje.


YoSarin
Jestli jsem pochopil, tak tady šlo podpoře spíš o identifikaci uživatele
To by mělo být zajištěno buď
a) zasláním požadavku z formuláře v administraci účtu
b) mailem, který byl použit při registraci

A pokud by již náhodou hostér chtěl nějak více zabezpečit ověření identity, mělo by to být imho na nějaké jiném způsobu. Např. nějaké ID, které zná jen ten kdo si službu opravdu objednal (přišlo mu na mail). Ale posílání přístupových údajů, by požadavkem být nikde nemělo.
YoSarin
Profil
quinux
Souhlasím, leč bod b) je lehce podvržitelný (pokud tedy podpora nezasílá ověřovací mail).

Každopádně zasílat podpoře hesla k čemukoli je nemoudré - když už, tak by k tomu měli mít speciální heslo pro tyhle účely, jak píše quinux.
patrik_sima
Profil
YoSarin
pokud může podpora cokoliv i bez mého hesla, tak je celkem jedno jestli jim údaje pošlu či nikoliv. Pokud jim to slouží k identifikaci, tak je to asi nejjednodušší způsob.

Dobry den,

jeste bych si dovolil doplnit, ze pri pouzitych technologiich (predevsim L2-4 switche) a objemech dat je prakticky vyloucene, resp. nemozne sniffovat a analyzovat traffic. Tady opravdu nejde o nasazeni a prostredi kancelarske techniky.

Dalsi zalezitosti je nas poskytovatel a trasa od Vas k nemu, kde se bavime v ramci IXu rovnez o jine technice a radove vyssich datovych tocich, takze tutorialy "howto hack-it" zde proste nefunguji.

V neposledni rade si neodpustim poznamku, ze v kontrastu s tim, u koho hostujete svuj web Vy, jsou veskere teorie o bezpecnostni politice prinejmensim pozoruhodne.

Preji prijemny a uspesny zbytek vikendu.

Hosting

Dobry den,

zaverecne zpravy ke sluzbam, resp. pristupove udaje apod. se beztak posilaji emailem, bez ohledu na poskytovatele, takze je otazkou, o jake bezpecnostni politice se tu bavime a jakou iluzi o prehnane bezpecnosti kde dostavate. Navic jak jiz bylo receno, muzete vyuzit SMTP/TLS. Dalsi veci je, ze pristupy k serverum nikdy u zadne serioznejsi spolecnosti nedrzi vyhradne jeden clovek. Nasi zamestnanci jsou rovnez vazani smlouvou a svym lidem duverujeme.

V kazdem pripade predem dekujeme za autorizaci.

Preji prijemny den.

Hosting

Patrik Ší­ma:
> Dobrý den,
>
> vaše bezpečnostní politika mě fascinuje. Jsem rád, že u vás nemám data.
> Každopádně děkuji za spolupráci a pokusím se zajistit telefonát nebo zaslání přístupových údajů (ty ať si zašle majitel sám).
>
> S pozdravem
> Patrik Šíma
>
> Hosting napsal(a):
>> Dobry den,
>> Vas dotaz/podnet mi byl predan jako jednateli spolecnosti. Nas zamestnanec opravdu nezertoval, protoze zaslanim hesla pro overeni je nejsnaze overitelne, ze se jedna o Vas a nejedna se o pokus o zneuziti. Nasim zamestnancum plne duverujeme a jsou vazani smlouvou. Pokud podporuje Vase smtp sifrovany TLS prenos, pak nehrozi jakekoli vyzrazeni hesla. Nebo muzete vyuzit kontaktni formular na nasich strankach pri pripojeni pres https:// a opet nehrozi zadny utok.
>>
>> Zadost z emailu nepostacuje, protoze odesilatele je velice snadne podvrhnout. Kontakt z registrovaneho telefonu (v pracovni den) je v poradku.
>>
>> Vas originalni zpusob overeni pres web je vyjimecne take akceptovatelny, ale rozhodne se nemuze jednat o pravidlo (zadosti potrebujeme archivovat kvuli pripadnym reklamacim).
>>
>> Preji prijemny den.

YoSarin
Profil
patrik_sima
Jde IMHO o to, že si NIKDY nemůžeš být jistý kdo vlastně na té druhé straně sedí. Oni třeba mají přístup k tvým datům, ale určitě ne (nebo by neměli mít) přístup k tvým heslům.
xHire
Profil
YoSarin
Přesně tak. Svoje heslo bych nikdy nikomu neposlal, ať by se jednalo o kterékoliv a o kohokoliv. Navíc pokud nemají hesla šifrovaná jednosměrně, tak při menší bezpečnostní chybě na webu se k nim útočník může teoreticky (prakticky těžko říct, jaká tu je ta pravděpodobnost) dostat. To už zabíhám hodně do spekulací. ;-) Komunikace na registrovaném e-mailu je zcela běžný postup u drtivé většiny společností. Je tedy záležitostí klienta, aby si vše dostatečně dobře ohlídal - hostingová společnost totiž potom nenese vůbec žádnou zodpovědnost. A vůbec - heslo k FTP??!! To je to nejabsurdnější, co jsem mohl slyšet. To přeci není tak kritické heslo, které jsem třeba mohl dát kamarádům, aby mi tam nahráli fotky nebo cokoliv... Takže jako prostředek k identifikaci zákazníka naprosto nevhodné.

Umí to hezky obalit do všemožných frází, to se jim musí nechat, ale já bych jim nevěřil... Nevím už, co bys rád za další argumenty...
djlj
Hosting subreg.cz
Profil
YoSarin
Jo, já to špatně pochopil :).

Každopádně souhlasím s xHire: „Je tedy záležitostí klienta, aby si vše dostatečně dobře ohlídal.“
U nás (přijde mi hloupé sem psát odkaz, ještě by to vypadalo jako reklama) navíc přijde při každém přijatém mailu zpětně automaticky potvrzení na mail odesílajícího, takže v případě podvodně zaslaného emailu může jeho pravý majitel zasáhnout…
quinux
Profil
xHire
A vůbec - heslo k FTP??!! To je to nejabsurdnější, co jsem mohl slyšet. To přeci není tak kritické heslo
U osobního webu možná heslo k FTP tak kritické není, ale u webu, který tě živí a jehož pár hodinový výpadek tě může stát spoustu peněz je to něco jiného.


Takže jako prostředek k identifikaci zákazníka naprosto nevhodné.
A to, že to heslo předáš někomu známému je tvoje chyba a pokud ti ho tak někdo zneužije, je vina jen na tvé straně. Ty jsi povinen si to heslo ochránit, stejně jako třeba musíš chránit pin k platební kartě.


patrik_sima
Vas originalni zpusob overeni pres web je vyjimecne take akceptovatelny, ale rozhodne se nemuze jednat o pravidlo (zadosti potrebujeme archivovat kvuli pripadnym reklamacim)
Pokud to chápu dobře, tak jim nestačí, že ses přihlásil do webového rozhraní svého účtu a provedl jsi požadavek odsud? Vždyť tam můžou mít dokonce dvojí archivaci - uložení do databáze a odeslaný mail adminovi.


Pokud jim to slouží k identifikaci, tak je to asi nejjednodušší způsob.
Nejjednodušší způsob je ten co jsem psal. Jako majitel účtu se přihlásíš do administrace svého učtu (pršel jsi přihlášením tedy i ověřením) a odsud zašleš požadavek. Je to nejméně pracné a neobtěžuje tě to neustálým mailováním s podporou.

Další možnost je nějaké to ID - nedojde k prozrazení hesla, které mnozí lidé mají stejné třeba i pro všechny své účty co na netu mají založeny.

Poslední možností je komunikace pomocí elektronicky podepsaných mailů (pokud podpis máš tak to jim musí jako ověření stačit).
patrik_sima
Profil
Zapomněl jsem dodat, možná důležitou informaci a to, že nejsem majitelem domény, ale pouze provozovatel aplikace na doméně. Samozřejmě přístup mám ke všemu neomezený, ale psal jsem z emailu, který určitě není registrovaný pro komunikaci s hostingem dané domény.
I tak si ovšem myslím, že vyžadovat pro identifikaci heslo k ftp je nesmysl a nikdo na to nemá právo.
patrik_sima
Profil
quinux
Pokud jim to slouží k identifikaci, tak je to asi nejjednodušší způsob.
Nejjednodušší způsob je ten co jsem psal. Jako majitel účtu se přihlásíš do administrace svého učtu (pršel jsi přihlášením tedy i ověřením) a odsud zašleš požadavek. Je to nejméně pracné a neobtěžuje tě to neustálým mailováním s podporou.


Ne, vyvěsil jsem žádost přímo na doménu ve formě html stránky, čímž jsem potvrdil, že tam přístup asi mám :)
quinux
Profil
patrik_sima
Ne, vyvěsil jsem žádost přímo na doménu ve formě html stránky, čímž jsem potvrdil, že tam přístup asi mám
Taky možnost, ale na druhou stranu tebe to jako uživatele docela omezuje a obtěžuje (alespoň mne by to obtěžovalo). Tkaže bych jim doporučil vymyslet méně obtěžující způsob a nebo bych opravdu šel jinam. Já třeba vždy když kladu nějaký požadavek na hosting, dělám to právě přes administraci (ale nevím jestli to mají nějak na hostingu kontrolované) a nikdy jsem neměl problém. Vždy jsem pak obdržel potvrzení, že můj požadavek byl vyřízen a byl klid ;o)
xHire
Profil
quinux
Jasně, máš pravdu, vždycky je důležité, z jakého úhlu se člověk na věc dívá. ;-)
patrik_sima
Profil
Teď už jen zbývá zveřejnit jméno hostingu :)
Ale nevím nevím, zda to je správné a zda bych nejprve neměl poslat odkaz na tuto diskuzi.
Toto téma je uzamčeno. Odpověď nelze zaslat.