logo
09.07.2020 02:39
1
Dobry den,

muze provozovatel webhostingu, u ktereho mam registrovanou domenu a zrizeny web, cist me maily? Diky

Co se právě děje na Webtrhu?

09.07.2020 06:56
2
Pokud si je nešifruješ, nebo jinak nechráníš, tak ano

Mail je obecně něco jako korespondenční lístek nebo pohled, co posíláš klasickou poštou
09.07.2020 09:04
3
Myslím, že může, ale je to dosti neslušné...
09.07.2020 09:16
4
pravděpodobně to je porušení listovního tajemství, posledních 20 let se objevuje rozšířená interpretace ústavy (myslím čl. 13), která tohle vztahuje i na elektronickou komunikaci, v tom případě za to hrozí trestní stíhání.

Ve všech společnostech, kde pracuji k tomu tak přistupujeme a je interními předpisy a kontrolními mechanismy zakázáno přistupovat k poště uživatelů. Určitou vyjímku tvoří automatické nástroje pro analýzu obsahu (spam a jiné nepěknosti). Chovají se i tak hostingy, s kterými jsme spolupracoval.

Technicky vzato se na obsah emailů vztahuje i GDPR, protože není možné prokázat, že osobní identifikační údaje emaily neobsahují, naopak to lze předpokládat.
09.07.2020 14:09
5
Původně odeslal ze_vsech_nejchytrejsi
Dobry den,

muze provozovatel webhostingu, u ktereho mam registrovanou domenu a zrizeny web, cist me maily? Diky
Tvůj nick nějak nesedí hele.
09.07.2020 20:54
6
Mám dotaz na TomášX - já osobně nevěřím hostingům a cloudům a to je právě ta bezpečnost. Ono se o tom moc nemluví a každý bude říkat to si nikdo nedovolí, ale např. mám eshop cca 2000 klientů a to je moje zlato a Gró obchodu. Pokud by někdo dokázal ukrást databázi např. Konkurence tak mi dokáže parádně zatopit. A to že mi někdo napíše to máme ošetřené je hezké, ale nikdo mi nezaručí že se to nestane. A nejsnadnější cesta je právě zevnitř. Tak to vidím já proste nevím kdo na 3 straně má přístup k serveru a datům a hodně pochybuji že klasické hostingy data šifrují - cloudy to tvrdí otázkou co je pravda. Dekuji za odpoved
09.07.2020 21:10
7
Nikdy není nic v bezpečí, to je fakt. Nikdy, nic, nikde. A zároveň všechno, všude a vždycky. Dychotomie se tomu říká mám pocit. Vyber si.
14.07.2020 12:47
8
Původně odeslal Hagen
Mám dotaz na TomášX - já osobně nevěřím hostingům a cloudům a to je právě ta bezpečnost. Ono se o tom moc nemluví a každý bude říkat to si nikdo nedovolí, ale např. mám eshop cca 2000 klientů a to je moje zlato a Gró obchodu. Pokud by někdo dokázal ukrást databázi např. Konkurence tak mi dokáže parádně zatopit. A to že mi někdo napíše to máme ošetřené je hezké, ale nikdo mi nezaručí že se to nestane. A nejsnadnější cesta je právě zevnitř. Tak to vidím já proste nevím kdo na 3 straně má přístup k serveru a datům a hodně pochybuji že klasické hostingy data šifrují - cloudy to tvrdí otázkou co je pravda. Dekuji za odpoved
a kde je ta otázka? :)

Z mého pohledu se data nejčastěji odcizí z nedostatečně zabezpečené aplikace, kdy její zranitelnost dovolí vytěžit celou databázi, nebo z nechráněných záloh či excel dumpů posílaných do emailů.

Pokud chceš chránit data zákazníků (či svoje), musíš řešit celý řetězec, kde se data zpracovávají, zároveň musíš zvolit odpovídající zabezečení k určitému riziku. Bát se, že ti hosting odcizí data a zároveň používat třeba Wordpress se spoustu pluginů, je celkově nesmyslné. Nesouhlasím s tím, že nejsnadnější je cesta zevnitř, ta naopak bývá těžká a hlavně je dobře zpětně dohledatelná a útočník se vystavuje trestnímu stíhání.

Pokud bych vzal tvůj případ, začnu definicí rizik a poté zvolím odpovídající zabezpečení, na které mám rozpočet:

a) odcizení dat od provozovatele

Mohu zvolit provozovatele, kterýmu dostatečně věřím, jedná se o zažitou společnost, mohu zjistit její historii, vím s kým je majetkově provázaná atd. V oblasti bezpečnosti dat se mohu opřít třeba o certifikaci ISO 27001:2006 (či jinou) a vybrat provozovatele, který jí splňuje.

Pokud moji důvěru nebudí ani jeden provozovatel, mohu si pořídit vlastní servery, pronajmout si klec v datacentru a sám si je provozovat. Proti hosting ale musím řešit administraci, sledovat bezpečností rizika, pravidelně aktualizovat, mít monitoring přístupů. Většinou nejsi schopný si servery administrovat sám, takže musí zase hledat dodavatele/administrátora, který ti to zabezpečí, takže znovu řešíš to stejné. Ty jako objednatel zároveň nemáš potřebnou kvalifikaci posoudit kvalitu administrace serveru a jeho nastavení. Za mě to je nejhorší možnost, jakou můžeš zvolit pokud ti jde o bezpečnost a zároveň tomu nerozumíš.

Tvoje aplikace může data šifrovat a klíč jí můžeš poskytnout z venku bez toho, abys ho uložil na disk, tím můžeš riziko dostatečně minimalizovat, ale tvoje aplikace to musí podporovat. Stejně tak můžeš zvolit dostatečně velký hosting, u kterého riziko úplacení administrátora je nížší než u home made hostingu jako banan. Klasické hostingy data většinou nešifrují a tahle technologie zatím k nám doráží pomalu, avšak šifrování brání pouze úniku dat např. odcizením disků či přímém přistupu k HW, pro fungování aplikace musí být data stejně připojena dešifrovaná a pokud někdo z administrátorů má přístup k živým serverům, může data číst.


b) únik dat špatnou konfigurací nebo únikem hesel:

Přístupová hesla jsou kruciálně důležitá, z velké části hostingů ti vygenerované heslo chodí do emailu, sám ho máš různě ukládané, často sdílené mezi kolegy, pravidelně ho určitě neměníš. Stejně tak otevřený přístup na administraci eshopu z jakékoliv IP vede k pokusům o brute force průnik, u slabých nebo slovníkových (či uniklých) hesel se to může podařit a dojde k úniku dat. Tohle je za mě nejčastější příčina, kterou řeším a která vede k incidentům a vážným problémům. Občas vidím databázové exporty nahrané na ftp, kam je přístup z webu, stačí málo a pokud někdo tohle objeví, odcizil ti data.

Nejsnažší zabezpečení je si všechna hesla přegenerovat, mít je uložená bezpečně, nesdílet a každému spolupracovníkovi dát vlastní heslo, v administraci mít ACL a dostatečně omezená oprávnění. Přístup na administraci a FTP mít chráněn přes IP filtr a notifikovat při opakovaných neúspěšných a úspěšných pokusech o přihlášení. Některé hostingy umí takové notifikace posílat. Pravidelně chce kontrolovat, kdo a odkud přistupoval a hledat nesrovnalosti. Kontrolovat obsah na ftp a integritu aplikace.


c) zranitelnost v CRM/pluginu/aplikace:

Drtivá většina open source CRM pro eshopy jsou zranitelné a nevhodně navržené. Různé šablony, pluginy a vše je nutné udržovat aktualizovane, zabezpečené a snižovat vektor případného útoku.

Obranou je udržovat aktualizované všechny součásti, sledovat bezpečnostní hlášení, logovat jednotlivé transakce (kroky aplikace) a logy vyhodnocovat. Opět je to jeden z nejčastějších problémů u aplikací a důvod k úniku dat.

----

Takhle bych mohl ještě pár bodů rozepsat, bezpečnost tvých dat v eshopu není určena jen tím, že hosting šifruje nebo ne, ale poměrně dlouhým seznamem kroků, které musíš absolvovat a pravidelně vyhodnocovat.