- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
Raistlin, паролей в /etc/passwd нет, учи матчасть
2 решения вопроса: правовое и техническое
Правовое:
В нем это должно быть явно прописано. Если нет - требуете с хостера заключение дополнительного соглашения на этот счет.
Это не даст гарантию что хостер не украдет, но это даст возможность подать в суд и требовать компенсации. Ну и естественно хостер должен быть легальным :)
Про техническое уже писали - шифрация данных (на уровне filesystem пожалуй наиболее надежно)
В нем это должно быть явно прописано. Если нет - требуете с хостера заключение дополнительного соглашения на этот счет.
Это не даст гарантию что хостер не украдет, но это даст возможность подать в суд и требовать компенсации. Ну и естественно хостер должен быть легальным :)
Даже если в договоре ничего не написано про это (обычно пишут) - есть Правила оказания телематических услуг связи. И закон будет на стороне Клиента.
Я одного понять не могу, что и зачем вы собрались шифровать ?
Неужели скрипты ?
У кого-то тут есть иллюзии, что скрипты, которые ИСПОЛНЯЮТСЯ
у хостера физически не будет возможности "стырить" ?
Вот когда дешифруете, тогда их и сольют, а откуда там... с диска,
из памяти, с сокетов итп, это уже частности.
Если того стоит конечно.
Вы прям как те, кто "шифрует почту pgp" и наивно полагает, что они в бронепоезде, сидя
в прослушиваемом и проглядываемом десятком камер помещении, имея на своем ноутбуке
кучу утилит для удаленного доступа, итд итп.
Выб видели лица этих людей, когда у них на глазах их нешифрованная почта начинает
сама собой куда-то отправляться... как в кино. Исключительно заради демонстрации.
Яб наверное на таких клиентах миллионером стал, если бы не задавал им простые вопросы:
1.сколько ваша уборщица возьмет за то, чтобы прилепить вам жучка, воткнуть вам флешку,
итд итп ?
2.сколько стоит жучок?
3.вы когда-нибудь хоть что-нибудь проверяли в этом направлении ?
4.сколько будет стоить дать вам гаечным ключем по голове и тупо отнять ваш ноут ?
итд итп
и многие понимали, что деньги надо вливать в другое место.
Хотя, конечно, есть те, у кого все эти 4 пункта ОЧЕНЬ качественно закрыты, у них еще
и сотни других закрыты... может даже тысячи... но таковых людей единицы.
PS. Лет уже 10 назад видел чудо-машинку по эээ... получению ЧУЖИХ факсов.
Уж теперь не помню какой там был принцип, но работала на редкость хорошо.
Факсы приходили "токо в путь".
И тогда-же видел еще одну чудо-машинку, по типу тех что в фильмах
про ВоВ показывают... для наводки артиллерии.
Стоила сущие копейки. Не то, что первая.
Большой такой стационарный бинокль. Можно было из дома напротив не только
письма читать, но и количество волос на пятой точке рассмотреть в любых
подробностях. Зверь машина. Какие уж там секретные пароли... побойтесь
бога...
Если у вас нет доступа к телефонной станции, к кросу с проводами или к блоку коммутации, то эта машинка не что более, как старый вариант развода по чтению чужих смс :)
Хотя логика конечно правильная, стоит ли ваша информация таких усилий по шифрованию.
Даже если в договоре ничего не написано про это (обычно пишут) - есть Правила оказания телематических услуг связи. И закон будет на стороне Клиента.
1. Отношения между исполнителем и заказчиком осуществляются прежде всего в соответствие с договором, который лишь не должен противоречить законодательству. Не говоря о том что правила это не закон, нигде не будет жестко оговариться порядок доступа к данным клиента.
2. Не все хостеры работают под юрисдикцией Российской Федерации.
По технической части - шифрованная файловая система после ребута сервера не даст получить данные без пароля. А без ребута, если предполагать что root пароля у хостера нет - доступ к системе не получить.
Был замечательный пример с этим - на одном сервере у нас клиент залил архив ворованных кредитных карт, ну там у них был форум, еще что-то.. Пришла полиция с ордером на изъятие данных, но т.к. сервер был не администрируемый - пароля не было. А после перезагрузки сервера, чтобы изменить root, было обнаружено, что файловая система зашифрованна. В итоге сделали слепок винта, не знаю смогли они расшифровать в итоге или нет, но история показывает как можно легко и без сложных ухищрений хранить шифрованные данные.
С другой стороны, согласен что это все должно иметь смысл. Скрипт ценой в 10 баксов (условно) вряд ли имеет смысл вот так хранить. 🚬
Если у вас нет доступа к телефонной станции, к кросу с проводами или к блоку коммутации, то эта машинка не что более, как старый вариант развода по чтению чужих смс :)
АТС-ками можно управлять удаленно. я работал в одном операторе связи, там многие станции (старые, но вполне распространенные в мире) управлялись через модемное соединение
у Кевина Миттника это кстати описано, этот мегахакер начинал же взлом с телефонных систем
по вопросу ТС
при "правильной" системе доступ к информации должен быть только у доверенных сотрудников, с которыми подписан жесткий договор о неразглашении. и админы, и владельцы хостинг-бизнеса должны быть людьми особого склада ума и характера. знаете, есть тип людей - "поэты", а есть тип людей "флегматичные админы". для таких спокойствие, почти пофигизм, полный неинтерес к чужим данным, стрессоустойчивость - какбе в крови. возможность продать ваши данные и заработать "много денег" им тоже нафиг не нужна - нормальным админам и хостерам неинтересны такие деньги, да и не деньги, а технологии для них на первом месте в системе ценностей
поэтому им не понадобятся ваши данные
про остальные причины для нормальной компании не раскрывать ваши данные уже было сказано выше
если хочется подстраховаться сильнее - велкам на собственные серверы с шифрованием
Я бы слил.
Не сольют. Для этого нужно хачить систему и это легко отследить.
Насчёт ТАМ - сказать не могу. Уверена, там законы есть. Но и, что обратиться к зарубежной юридической помощи будет трудно и дорого. В РФ хостинговая компания по закону отвечает, дословно "Оператор связи обязан обеспечить соблюдение тайны связи". Если Клиент докажет, что компанией были распространены конфиденциальные сведения Клиента - карается по закону. В теории.
Да, на виртуальном хостинге - это только вопрос доверия к компании. Так же как при пользование бесплатной почтой, веб-месенджерами и т.п.. Как и многое другое. Хостер меньше всех заинтересован, чтобы кто-либо получил доступ к Вашим данным, такой "пиар" никому не нужен.
В хостинговой компании не хранятся в открытом виде пароли Клиентов. Более того, когда Вы зарегистрировали хостинг и получили логин и пароль в открытом виде хорошая панели управления хостингом сразу предлагает сменить пароль при первом входе. Или настоятельно рекомендуется это сделать.
Надо обращать внимание на наличие сертификата и безопасного https-подключения при работе с панелью и вообще при передаче паролей. Пользоваться sftp. Не хранить пароли в бесплатных почтовых ящиках. Использовать разные и комплексные пароли для разных логинов (а не как часто бывает - один и тот же пароль от всех ящиков почты и всех услуг). Следить за обновлениями безопасности используемой CMS. В общем - предохраняться.
А хостинг - ему остаётся только доверять. Или, как уже советовали, шифровать жёсткие диски, а сервер установить в сейф.
Только вот если не соблюдать простые правила безопасности - ни один сейф не поможет.
komtet добавил 09.02.2010 в 17:02
Разочарую. Если Вы говорите про виртуальный хостинг - то у Вас есть логин и пароль пользователя аккаунта или домена. У root'а то есть доступ ко всем сайтам. И сколько это процентов персонала - зависит от политики внутренней безопасности компании. Думаю, как минимум один сотрудник в смене должен знать root-пароль.
Логин и пароль хостер может спрашивать, если хочет убедиться в легитимности запроса Клиента.
С VPS ситуация несколько другая - если хостер отдал Вам root - меняйте пароль. Пока VPS работает - Вы её контролируете полностью логин и пароль только у Вас (на Xen так). А вот в бекапах VPS "может разобраться" любой хостер.
Как "очень специальный" вариант параноидальной защиты. У хостера 1 хранить самописный bin-файл (cgi), который раскодирует и вызывает обработку php-файлов (например). А у хостера 2 - хранить эти самые закодированные файлы. Почти безопасно.
То, что у root'а есть - ладно, это понятно, что все равно он у кого-то есть. Главное, чтобы не был легко доступен всему персоналу.
Что касается нарушения конфиденциальности, то если хостер или его клиент опубликовал личное письмо (с претензией или просто какой-то письмо) на публичном форуме, и там видны все данные отправителя - его ФИО, e-mail , то это нарушение конфиденциальности или нет?
Я встречал, что в некоторых фирмах делают приписку, что запрещено письмо среди третьих лиц распространять (но они имеют ввиду и пересылку по электронной почте, а не публикацию на форумах), а на форумах личную переписку запрещено без согласия публиковать по умолчанию или как?