cHost.cz webhosting – přecházíme do ostrého provozu

27. 6. 2011 18:22:21

Jak bylo psano, hosting neni urcen pro masu lidi. Spise pro urcitou skupinu, ktera vi. Jenze podle me je problem, ze ta vase cilovka vam zase nebude verit natolik, ze to mate zabezpecene tak, aby k vam data dali.

27. 6. 2011 18:22:21

https://webtrh.cz/diskuse/chost-cz-webhosting-prechazime-do-ostreho-provozu/strana/3#reply649537

cHost.cz

27. 6. 2011 18:57:30

sh: Fakturaci máme z tohoto důvodu ze začátku velice krátkou - od jednoho měsíce, takže není nic jednoduššího, než si nás vyzkoušet na "vlastní kůži". Každý nějak začínal, my také začínáme.

Téma bezpečnost se tu zřejmě bude řešit velice dlouho. Chápeme správně, že největší strach je z povoleného exec()? Nebo z něčeho jiného? Ostatní parametry (SFTP, veřejné klíče, MySQL přes SSH, apod.) máme právě z důvodu zvýšeného bezpečí pro naše zákazníky.

27. 6. 2011 18:57:30

https://webtrh.cz/diskuse/chost-cz-webhosting-prechazime-do-ostreho-provozu/strana/3#reply649536

(20 hodnocení)

27. 6. 2011 19:20:20

srach ej z toho, ze velike mnozstvi lowcostu a zacinajicich hostingu nema podchyceno spousty veci, pak to muze dopadat jako kapusta,. neomezeny-hosting atd... proste se klientum ze dnbe na den ztrrati nenavratne vsechna data... a kdyz se nestane tohle tak zas servery nestihaji a neni na nove nebo se o to proste nikdo nestara (timehosting)... no a tak dale :) proste s malymi zacinajicicmi spolecnostmi jhe tu uz tolik spatnych zksuenosti, ze lide proste uz mozna trochu oteviraji oci a vidi ze to neni ta spravna cesta cpat weby za kazdou cenu na to nejlevnejsi a nejzapadlejsi an ceskem internetu :)

27. 6. 2011 19:20:20

https://webtrh.cz/diskuse/chost-cz-webhosting-prechazime-do-ostreho-provozu/strana/3#reply649535

cHost.cz

27. 6. 2011 19:30:08

Co na to říct. Holt každý začínal.

27. 6. 2011 19:30:08

https://webtrh.cz/diskuse/chost-cz-webhosting-prechazime-do-ostreho-provozu/strana/3#reply649534

petrx

(8 hodnocení)

29. 6. 2011 12:40:16

Napsal cHost.cz;670698
sh: Fakturaci máme z tohoto důvodu ze začátku velice krátkou - od jednoho měsíce, takže není nic jednoduššího, než si nás vyzkoušet na "vlastní kůži". Každý nějak začínal, my také začínáme.
Téma bezpečnost se tu zřejmě bude řešit velice dlouho. Chápeme správně, že největší strach je z povoleného exec()? Nebo z něčeho jiného? Ostatní parametry (SFTP, veřejné klíče, MySQL přes SSH, apod.) máme právě z důvodu zvýšeného bezpečí pro naše zákazníky.

http://173-203-64-171.static.cloud-ips.com/scan-files/free/154ef4f83ed745534794988a0bc4ca93/report.html

Assessment Overview
Scan: chost.cz 6/29/2011 6:38:02 AM
Summary of Issues
Severity Issue Name Affected pages
Caching Conflict (Expires and max-age) 2
Incorrect Server Time 1
SSL Resources On Non-SSL Page 1
SSL Certificate Error (Incorrect Host) 2
Adjacent Images 1

:-(

29. 6. 2011 12:40:16

https://webtrh.cz/diskuse/chost-cz-webhosting-prechazime-do-ostreho-provozu/strana/3#reply649533

cHost.cz

29. 6. 2011 13:41:07

Pokud si dobře vzpomínáme, tak Vy jste zde přes optimalizace stránek. Rádi se k tomu vyjádříme:

Caching Conflict (Expires and max-age) - způsobují věci, které se natahují od Googlu

Incorrect Server Time - způsobuje jQuery od Googlu

SSL Resources On Non-SSL Page - způsobuje naše řešení pro zjištění, jestli uživatel má nainstalovaný náš certifikát v prohlížeči, nebo ne

SSL Certificate Error (Incorrect Host) - způsobuje, že máme certifikát podepsaný naší certifikační autoritou

Adjacent Images - způsobují zřejmě ikonky na konci stránky; tento "problém" chápeme a zvážíme jeho řešení

Compressed Content Served With HTTP Compression - máme zapnutou kompresi téměř všude vyjma obrázků, pdf souborů a komprimovaných souborů (zip, gz, apod.); zde se jedná o obrázek servírovaný přes PHP skript pro měření návštěvnosti

Empty Response Body - způsobuje font, který taháme od Googlu

JPEG Candidate Image (PNG) - mnoho obrázků je průhledných, nelze použít

Static HTML Not Minified - výstup je strukturovaný, neplánujeme na tom nic měnit

Unoptimized Image (PNG) - toto vyřešíme

A tak dále. Jsou věci, se kterými nic neuděláme (věci tahané od Googlu, měření návštěvnosti, apod.), jsou věci, které vyřešíme.

Jinak dříve jste používal jiné měření, jestli se nepleteme:

http://www.webpagetest.org/result/110629_HH_YF64/

29. 6. 2011 13:41:07

https://webtrh.cz/diskuse/chost-cz-webhosting-prechazime-do-ostreho-provozu/strana/3#reply649532

petrx

(8 hodnocení)

29. 6. 2011 15:04:27

Vadí mi primárně problémy s bezpečností:

http://173-203-64-171.static.cloud-ips.com/scan-files/free/154ef4f83ed745534794988a0bc4ca93/report.html#165
SSL Certificate Error (Incorrect Host)
- Critical impact
- Challenging to solve
URLs with Issue: 2
Issue Summary
Details
Performance issue background, details, and common causes are only available to Zoompf WPO customers
Remediation
Full issue remediation information and code samples are only available to Zoompf WPO customers
Affected URLs
https://stats.chost.cz/piwik.php?idsite=1
https://admin.chost.cz/js/installedCA.js

Další chyby typu načítání statických objektů ze stejného hostname jsou třeba jen dočasné, protože nyní máte třeba jiné starosti

---------- Příspěvek doplněn 29.06.2011 v 15:07 ----------

Napsal cHost.cz;671391
SSL Certificate Error (Incorrect Host) - způsobuje, že máme certifikát podepsaný naší certifikační autoritou

Ach jo.

http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.itame2.doc_5.1/ss7aumst14.htm

http://en.wikipedia.org/wiki/Chain_of_trust

29. 6. 2011 15:04:27

https://webtrh.cz/diskuse/chost-cz-webhosting-prechazime-do-ostreho-provozu/strana/3#reply649531

cHost.cz

29. 6. 2011 15:19:37

Takže ještě jednou. První URL je z měření návštěvnosti. Pokud má uživatel povolen javascript, používá se jiná metoda, která rozlišuje, zda je uživatel na http nebo na https. Druhá URL slouží k otestování, zda má uživatel nainstalován certifikát podepsaný naší certifikační autoritou. Rozhodně se však nejedná o problémy s bezpečností.

29. 6. 2011 15:19:37

https://webtrh.cz/diskuse/chost-cz-webhosting-prechazime-do-ostreho-provozu/strana/3#reply649530

petrx

(8 hodnocení)

30. 6. 2011 20:15:43

Napsal cHost.cz;671438
Takže ještě jednou. První URL je z měření návštěvnosti. Pokud má uživatel povolen javascript, používá se jiná metoda, která rozlišuje, zda je uživatel na http nebo na https. Druhá URL slouží k otestování, zda má uživatel nainstalován certifikát podepsaný naší certifikační autoritou. Rozhodně se však nejedná o problémy s bezpečností.

Prosím, opravdu si nastudujte, co je to chain of trust. Možná pak pochopíte proč je "naše certifikační autorita" nesmysl.

Pokud bude útočník spoofovat vaši doménu, bude ji spoofovat i s padělaným certifikátem. Za normálních okolností by mu to neprošlo díky chain of trust (vazba na certifikační autoritu ve vyšším patře).

Takto si však útočník bude spoofovat, co chce

Prosím, zadejte si do Google dotaz:

ssl certifikát

a uvidíte sami

---------- Příspěvek doplněn 01.07.2011 v 16:02 ----------

cHost.cz mě kontaktoval prostřednictvím PM a vysvětlil mi, že by spoofování SSL nemusel být problém, jelikož cHost.cz navíc používá DNSSEC.

Zásadním problémem však je, že zatím DNSSEC u klientů implementováno moc není. Např. u Windows ve verzích kromě Windows 7 a Windows Server 2008 R2 podpora DNSSEC absentuje a ve Windows 7 není za normálních okolností aktivní:

http://blogs.technet.com/b/sseshad/archive/2008/11/11/dnssec-on-windows-7-dns-client.aspx

(...) The security-aware behavior of the client is not a binary on/off. It is a policy based mechanism whereby the “Name Resolution Policy Table” will tell the client on which domains it is to expect DNSSEC. Only for those domains will the DNS client set the DO bit in the query and expect the AD bit in the response. The Name Resolution Policy Table (or NRPT for short) is a table of settings and configuration which defines the DNS client’s behavior when sending out queries and tells it what to do when receiving responses. The NRPT contains settings that pertain to DNSSEC as well as another new Windows 7 technology known as Direct Access. (...)

http://technet.microsoft.com/en-us/magazine/ff394369.aspx

http://i.technet.microsoft.com/ff394369.davies-fig1(en-us,MSDN.10).jpg

(Podpora DNSSEC defaultně vypnutá...)

30. 6. 2011 20:15:43

https://webtrh.cz/diskuse/chost-cz-webhosting-prechazime-do-ostreho-provozu/strana/3#reply649529

cHost.cz

19. 7. 2011 16:15:36

Dnešním dnem zavádíme několik novinek pro naše zákazníky:

- memory_limit lze v administraci nastavit až na 128MB (po dohodě lze i více)

- GIT s rozhraním Gitweb přes HTTP (více uživatelů) i SSH (1 uživatel), repozitáře lze spravovat přes SSH

- veškeré naše weby přes HTTPS mají certifikát od důvěryhodné certifikační autority

- zákazníci mají možnost provozovat své weby přes HTTPS s vlastními certifikáty na své doméně