Вопрос к владельцам хостингов. Только честно...

Andreyka
На сайте с 19.02.2005
Offline
822
#61

Raistlin, паролей в /etc/passwd нет, учи матчасть

Не стоит плодить сущности без необходимости
MIRhosting.com
На сайте с 18.10.2006
Offline
203
#62

2 решения вопроса: правовое и техническое

Правовое:

В нем это должно быть явно прописано. Если нет - требуете с хостера заключение дополнительного соглашения на этот счет.

Это не даст гарантию что хостер не украдет, но это даст возможность подать в суд и требовать компенсации. Ну и естественно хостер должен быть легальным :)

Про техническое уже писали - шифрация данных (на уровне filesystem пожалуй наиболее надежно)

Андрей Нестеренко, MIRhosting Облачная платформа для DevOps (https://mirhosting.com/paas)
komtet
На сайте с 20.05.2009
Offline
90
#63
MIRhosting.com:

В нем это должно быть явно прописано. Если нет - требуете с хостера заключение дополнительного соглашения на этот счет.
Это не даст гарантию что хостер не украдет, но это даст возможность подать в суд и требовать компенсации. Ну и естественно хостер должен быть легальным :)

Даже если в договоре ничего не написано про это (обычно пишут) - есть Правила оказания телематических услуг связи. И закон будет на стороне Клиента.

хостинг komtet.ru (https://komtet.ru)
_
На сайте с 24.03.2008
Offline
357
#64

Я одного понять не могу, что и зачем вы собрались шифровать ?

Неужели скрипты ?

У кого-то тут есть иллюзии, что скрипты, которые ИСПОЛНЯЮТСЯ

у хостера физически не будет возможности "стырить" ?

Вот когда дешифруете, тогда их и сольют, а откуда там... с диска,

из памяти, с сокетов итп, это уже частности.

Если того стоит конечно.

Вы прям как те, кто "шифрует почту pgp" и наивно полагает, что они в бронепоезде, сидя

в прослушиваемом и проглядываемом десятком камер помещении, имея на своем ноутбуке

кучу утилит для удаленного доступа, итд итп.

Выб видели лица этих людей, когда у них на глазах их нешифрованная почта начинает

сама собой куда-то отправляться... как в кино. Исключительно заради демонстрации.

Яб наверное на таких клиентах миллионером стал, если бы не задавал им простые вопросы:

1.сколько ваша уборщица возьмет за то, чтобы прилепить вам жучка, воткнуть вам флешку,

итд итп ?

2.сколько стоит жучок?

3.вы когда-нибудь хоть что-нибудь проверяли в этом направлении ?

4.сколько будет стоить дать вам гаечным ключем по голове и тупо отнять ваш ноут ?

итд итп

и многие понимали, что деньги надо вливать в другое место.

Хотя, конечно, есть те, у кого все эти 4 пункта ОЧЕНЬ качественно закрыты, у них еще

и сотни других закрыты... может даже тысячи... но таковых людей единицы.

PS. Лет уже 10 назад видел чудо-машинку по эээ... получению ЧУЖИХ факсов.

Уж теперь не помню какой там был принцип, но работала на редкость хорошо.

Факсы приходили "токо в путь".

И тогда-же видел еще одну чудо-машинку, по типу тех что в фильмах

про ВоВ показывают... для наводки артиллерии.

Стоила сущие копейки. Не то, что первая.

Большой такой стационарный бинокль. Можно было из дома напротив не только

письма читать, но и количество волос на пятой точке рассмотреть в любых

подробностях. Зверь машина. Какие уж там секретные пароли... побойтесь

бога...

S
На сайте с 23.05.2004
Offline
294
#65
PS. Лет уже 10 назад видел чудо-машинку по эээ... получению ЧУЖИХ факсов.

Если у вас нет доступа к телефонной станции, к кросу с проводами или к блоку коммутации, то эта машинка не что более, как старый вариант развода по чтению чужих смс :)

Хотя логика конечно правильная, стоит ли ваша информация таких усилий по шифрованию.

Это просто мой личный сайт (https://phpdevs.com/) в моей подписи.
MIRhosting.com
На сайте с 18.10.2006
Offline
203
#66
komtet:
Даже если в договоре ничего не написано про это (обычно пишут) - есть Правила оказания телематических услуг связи. И закон будет на стороне Клиента.

1. Отношения между исполнителем и заказчиком осуществляются прежде всего в соответствие с договором, который лишь не должен противоречить законодательству. Не говоря о том что правила это не закон, нигде не будет жестко оговариться порядок доступа к данным клиента.

2. Не все хостеры работают под юрисдикцией Российской Федерации.

По технической части - шифрованная файловая система после ребута сервера не даст получить данные без пароля. А без ребута, если предполагать что root пароля у хостера нет - доступ к системе не получить.

Был замечательный пример с этим - на одном сервере у нас клиент залил архив ворованных кредитных карт, ну там у них был форум, еще что-то.. Пришла полиция с ордером на изъятие данных, но т.к. сервер был не администрируемый - пароля не было. А после перезагрузки сервера, чтобы изменить root, было обнаружено, что файловая система зашифрованна. В итоге сделали слепок винта, не знаю смогли они расшифровать в итоге или нет, но история показывает как можно легко и без сложных ухищрений хранить шифрованные данные.

С другой стороны, согласен что это все должно иметь смысл. Скрипт ценой в 10 баксов (условно) вряд ли имеет смысл вот так хранить. 🚬

V
На сайте с 05.01.2009
Offline
105
#67
Stek:
Если у вас нет доступа к телефонной станции, к кросу с проводами или к блоку коммутации, то эта машинка не что более, как старый вариант развода по чтению чужих смс :)

АТС-ками можно управлять удаленно. я работал в одном операторе связи, там многие станции (старые, но вполне распространенные в мире) управлялись через модемное соединение

у Кевина Миттника это кстати описано, этот мегахакер начинал же взлом с телефонных систем

по вопросу ТС

при "правильной" системе доступ к информации должен быть только у доверенных сотрудников, с которыми подписан жесткий договор о неразглашении. и админы, и владельцы хостинг-бизнеса должны быть людьми особого склада ума и характера. знаете, есть тип людей - "поэты", а есть тип людей "флегматичные админы". для таких спокойствие, почти пофигизм, полный неинтерес к чужим данным, стрессоустойчивость - какбе в крови. возможность продать ваши данные и заработать "много денег" им тоже нафиг не нужна - нормальным админам и хостерам неинтересны такие деньги, да и не деньги, а технологии для них на первом месте в системе ценностей

поэтому им не понадобятся ваши данные

про остальные причины для нормальной компании не раскрывать ваши данные уже было сказано выше

если хочется подстраховаться сильнее - велкам на собственные серверы с шифрованием

Hosterbox.ru - хостинг, серверы и cloud (http://hosterbox.ru)
Г
На сайте с 18.04.2009
Offline
89
#68

Я бы слил.

тест
Andreyka
На сайте с 19.02.2005
Offline
822
#69
_SP_:


Не сольют. Для этого нужно хачить систему и это легко отследить.
Independence
На сайте с 29.10.2005
Offline
428
#70
komtet:
Насчёт ТАМ - сказать не могу. Уверена, там законы есть. Но и, что обратиться к зарубежной юридической помощи будет трудно и дорого. В РФ хостинговая компания по закону отвечает, дословно "Оператор связи обязан обеспечить соблюдение тайны связи". Если Клиент докажет, что компанией были распространены конфиденциальные сведения Клиента - карается по закону. В теории.
Да, на виртуальном хостинге - это только вопрос доверия к компании. Так же как при пользование бесплатной почтой, веб-месенджерами и т.п.. Как и многое другое. Хостер меньше всех заинтересован, чтобы кто-либо получил доступ к Вашим данным, такой "пиар" никому не нужен.
В хостинговой компании не хранятся в открытом виде пароли Клиентов. Более того, когда Вы зарегистрировали хостинг и получили логин и пароль в открытом виде хорошая панели управления хостингом сразу предлагает сменить пароль при первом входе. Или настоятельно рекомендуется это сделать.
Надо обращать внимание на наличие сертификата и безопасного https-подключения при работе с панелью и вообще при передаче паролей. Пользоваться sftp. Не хранить пароли в бесплатных почтовых ящиках. Использовать разные и комплексные пароли для разных логинов (а не как часто бывает - один и тот же пароль от всех ящиков почты и всех услуг). Следить за обновлениями безопасности используемой CMS. В общем - предохраняться.
А хостинг - ему остаётся только доверять. Или, как уже советовали, шифровать жёсткие диски, а сервер установить в сейф.
Только вот если не соблюдать простые правила безопасности - ни один сейф не поможет.

komtet добавил 09.02.2010 в 17:02


Разочарую. Если Вы говорите про виртуальный хостинг - то у Вас есть логин и пароль пользователя аккаунта или домена. У root'а то есть доступ ко всем сайтам. И сколько это процентов персонала - зависит от политики внутренней безопасности компании. Думаю, как минимум один сотрудник в смене должен знать root-пароль.
Логин и пароль хостер может спрашивать, если хочет убедиться в легитимности запроса Клиента.
С VPS ситуация несколько другая - если хостер отдал Вам root - меняйте пароль. Пока VPS работает - Вы её контролируете полностью логин и пароль только у Вас (на Xen так). А вот в бекапах VPS "может разобраться" любой хостер.

Как "очень специальный" вариант параноидальной защиты. У хостера 1 хранить самописный bin-файл (cgi), который раскодирует и вызывает обработку php-файлов (например). А у хостера 2 - хранить эти самые закодированные файлы. Почти безопасно.

То, что у root'а есть - ладно, это понятно, что все равно он у кого-то есть. Главное, чтобы не был легко доступен всему персоналу.

Что касается нарушения конфиденциальности, то если хостер или его клиент опубликовал личное письмо (с претензией или просто какой-то письмо) на публичном форуме, и там видны все данные отправителя - его ФИО, e-mail , то это нарушение конфиденциальности или нет?

Я встречал, что в некоторых фирмах делают приписку, что запрещено письмо среди третьих лиц распространять (но они имеют ввиду и пересылку по электронной почте, а не публикацию на форумах), а на форумах личную переписку запрещено без согласия публиковать по умолчанию или как?

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий