Доступ к сайтам из биллинга - вопрос к хостерам и админам

12
Unlock
На сайте с 01.08.2004
Offline
775
1105

Вопрос в первую очередь к хостерам и админам, но будет интересно узнать мнение любого человека. Вопрос простой. Считаете ли вы, что из панели через которую производится оплата/изменение услуг и связь с суппортом, должен быть полный доступ к сайтам?

Обратил внимание, что одна биллинговая панель позволяет перейти в панель управления сайтами/серверами без дополнительной авторизации. На мой взгляд это не очень правильно с точки зрения безопасности. Точнее скажем не удобно. К сайтам у меня пароли вполне нормальные и хранятся в "безопасном месте", но к биллингу пароль хоть и не примитивный, но все таки простой. Так вот, в целях безопасности надо делать сложный пароль, который не подбирается и не факт, что его будет легко запомнить.

Я все усложняю или все же это не правильно, когда из биллинга можно получить полный доступ к сайтам, без дополнительной авторизации?

Есть желание, - тысяча способов; нет желания, - тысяча поводов! /Петр-I/.
rustelekom
На сайте с 20.04.2005
Offline
533
#1

с точки зрения безопасности лучше все по отдельности. с точки зрения рядового клиента который в панель управления хостингом заходит раз в год видимо все лучше в одном месте держать.

Виртуальный хостинг, виртуальные и выделенные серверы в Германии и РФ, регистрация доменов, выдача SSL сертификатов https://www.robovps.biz/
VO
На сайте с 27.07.2008
Offline
149
#2

Если злоумышленник получил доступ в биллинг/поддержку, там же он может попросить сменить пароль/email. В большинстве случаев его просто сменят и сообщат в тикет или на email, не задавая лишних вопросов. Хотя для таких случаев обычно используют проверку по телефону.

Также если на внутреннем счету есть деньги, может зарегистрировать 1000 доменов или еще как-то потратить Ваши деньги. Так что взлом биллинг аккаунта может быть даже опаснее чем хостинг аккаунта.

Нормальные биллинг панели позволяют создавать несколько дополнительных пользователей под Вашей общей учетной записью с разными правами. Такая возможность очень удобна для корпоративных клиентов.

Однозначно ответить как правильно невозможно. Оба варианта имеют право на существование и у обоих есть свои достоинства и недостатки. Как всегда, удобство vs безопасность.

Пароли всегда лучше делать сложные и использовать менеджер паролей.

Unlock
На сайте с 01.08.2004
Offline
775
#3

Разработчики панели, точнее одна из компаний использующая ее, ответила, что типа с точки зрения безопасности все равно. Мол через панель можно запросить сброс паролей или удалить все данные. Но ведь спаммерам и для ддоса как раз интересно все скрытно сделать и с хостером переписываться на тему смены паролей никто не станет.

VO
На сайте с 27.07.2008
Offline
149
#4
Unlock:
Но ведь спаммерам и для ддоса как раз интересно все скрытно сделать и с хостером переписываться на тему смены паролей никто не станет.

Все зависит от конечной цели, и то того насколько крупный у Вас проект.

В первую очередь нужно уделить внимание безопасности рабочей станции, так как в 90% случаев воруют пароль именно с компьютера пользователя, а не подбирая пароли или взламывая скрипты.

Unlock
На сайте с 01.08.2004
Offline
775
#5
V(o)ViK:
Также если на внутреннем счету есть деньги, может зарегистрировать 1000 доменов или еще как-то потратить Ваши деньги.

Это дополнительный и не оправданный риск. Чаще доступ к серверу нужен все таки для скрытого "вредительство" и в таком случае это очень удобный вариант. Удобен хотя бы тем, что доступ будет сразу ко всему и виртуальному хостингу и VDS и серверам.

Unlock добавил 10.10.2009 в 00:55

V(o)ViK:
В первую очередь нужно уделить внимание безопасности рабочей станции

Вопросы к суппорту могут возникнуть в разных ситуациях, в том числе когда нет возможности сделать это с "безопасного компьютера". Все же на мой взгляд должна быть опциональная возможность доступа из биллинга к сайтам. Кому как больше нравится. :)

VO
На сайте с 27.07.2008
Offline
149
#6
Unlock:
Это дополнительный и не оправданный риск.

Опять же, все зависит от конечной цели. Много случаев когда просто хотят максимально навредить. Спаммеры/доссеры/.../ для них важна простота и количество зараженных хостов. Гораздо проще сломать 1000 сайтов автоматически через незакрытую уязвимость в популярном скрипте. Такие редко интересуются биллингом и действительно общаться с поддержкой не станут, так как в большинстве даже не будут знать языка.

Можно сделать это опционально, это может усложнить реализацию, но опять же после авторизации в биллинге, можно поменять опцию :)

Unlock
На сайте с 01.08.2004
Offline
775
#7
V(o)ViK:
Можно сделать это опционально, это может усложнить реализацию, но опять же после авторизации в биллинге, можно поменять опцию

Опционально должно меняться в панели управления сайтами :)

Igoron
На сайте с 24.10.2006
Offline
99
#8

Я так понимаю речь едет об этом? http://forum.ispsystem.com/ru/showthread.php?t=5924

Хостер может запретить данный функционал. Но делать этого никто не станет, т.к. все заботятся об удобстве для клиента.

Вы сами тоже можете создать себе еще одного пользователя в билинге, урезать его в правах и ходить им.

Unlock
На сайте с 01.08.2004
Offline
775
#9
Igoron:
Вы сами тоже можете создать себе еще одного пользователя в билинге, урезать его в правах и ходить им.

Что мешает злоумышленнику изменить права, если он имеет доступ к биллингу? Или этот пользователь не сможет сам менять права?

LEOnidUKG
На сайте с 25.11.2006
Offline
1747
#10

Строго разделено т.к. оплачивать может человек, которые с сайтам вообще никак не относится.

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий