- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
reyicapow, все намного проще
Скорее всего, пользователь, который обратился к вам за помощью, после установки вдс при начальной настройке системы не убрал галочку "Разрешить доступ поддержке", которая стоит по умолчанию.
[ATTACH]148378[/ATTACH]
А кто сказал, что у нас нет стандартов безопасности?
На самом деле это только внешне выглядит, что ключ один на всех, однако это совсем не так.
Приватный ключ находится в одном единственном месте, на так называемом сервере досупа, ни один сотрудник компании (кроме самых ответственных лиц), не имеет к нему прямого доступа. сотрудники попадают на сервер доступа по своему ключу, соответсвенно увольнение сотрудника влечет за собой просто удаление его ключа с сервера доступа. Доступ к этому серверу ограничен только из офиса компании. Далее с помощью специальной команды сотрудник может залогинится на сервер клиента.
Кроме того на сервер доступа ведется учет кто и куда логинился, а так же сколько провел времени на сервере клиента.
Более подробно о том как все устроено можно почитать в документации от ISPsystem — http://doc.ispsystem.ru/index.php/Установка_сервера_для_доступа_поддержки
PS.
Если кого-то не устраивает сам факт наличия ключа, просто удалите его, тем более если не планируете пользоваться услугами поддержки, никаких проблем это не вызовет.
Обычно при обращении за поддержкой не составляет труда передать текущий пароль через тикет систему или же сгенерировать временный....
Это, как раз, более опасный способ, потому что к системе тикетов, как правило доступ имеет гораздо больший круг сотрудников, нежели к серверам клиентов.
Кроме того клиенты склонны никогда их не менять, таким образом засвеченный один раз пароль рискует навсегда осесть в записной книжке "плохого сотрудника" и ему ничто не помешает воспользоваться им в любое время из любого места.
Решая именно эту проблему, мы у себя в ISPsystem выработали описанный ваше стандарт безопасности и рекомендуем его всем своим хостинговым партнерам. Кстати через наши продукты можно дать или обобрать доступ поддержке одной галочкой, не заморачиваясь одноразовыми паролями и их последующей сменой.
А кто сказал, что у нас нет стандартов безопасности?
Надеюсь поймете, что собственные фантазии и фантазии ispsystems ими не являются.
На самом деле это только внешне выглядит, что ключ один на всех, однако это совсем не так.
Вы там ниже подтвердили, что не только выглядит, а так и есть. Один единственный и неповторимый ключ, через который все ходят по всем серверам.
Приватный ключ находится в одном единственном месте, на так называемом сервере досупа, ни один сотрудник компании (кроме самых ответственных лиц), не имеет к нему прямого доступа. сотрудники попадают на сервер доступа по своему ключу, соответсвенно увольнение сотрудника влечет за собой просто удаление его ключа с сервера доступа. Доступ к этому серверу ограничен только из офиса компании. Далее с помощью специальной команды сотрудник может залогинится на сервер клиента.
А эта специальная команда берет и читает тот единственный приватный ключ, потому что другим способом установить ssh соединение невозможно :) (и не надо говорить, что какой-нибудь setuid через плечо и тысяча других выворотов обезопасят, судя по одному ключу на всех мозгов там не хватает)
Доступ к этому серверу ограничен только из офиса компании.
Это если по какому-то невероятному стечению обстоятельств еще никто не спер тот единственный и неповторимый приватный ключ, а с ним оказывается хоть из Африки можно на все серверы.
Решая именно эту проблему, мы у себя в ISPsystem выработали описанный ваше стандарт безопасности и рекомендуем его всем своим хостинговым партнерам. Кстати через наши продукты можно дать или обобрать доступ поддержке одной галочкой, не заморачиваясь одноразовыми паролями и их последующей сменой.
Ага, так решили, что можно всех поиметь стащив один ключик к которому и так фактически есть доступ у всех сотрудников, исходя из озвученных описаний.
Аудит безопасности для того и проводится, чтобы такого ламерства не допускать.
Ага, так решили, что можно всех поиметь стащив один ключик к которому и так фактически есть доступ у всех сотрудников, исходя из озвученных описаний.
Аудит безопасности для того и проводится, чтобы такого ламерства не допускать.
Приходите к нам поработать и попробуйте его стащить или отправьте своего лучшего друга хакера :)
Мы четко осознаем серьезность этой точки отказа и уделили ее безопасности должное внимание.
Кроме того, имея доступ к серверу клиента, сервер лицензий может автоматически менять ключи с какой-то периодичностью.
В банках не может, там есть стандарты безопасности, проводятся аудиты и так далее, все не настолько примитивно.
Не надо усложнять, вы прочитайте внимательно, что я написал, сотрудник может!!!! и это факт, все точка... а то что дальше его найдут путем аудита или клиент обратится с жалобой или еще как-то это все вторично, нет механизма который запрещает оператору в банке списать бабки с вашего счета.....
---------- Добавлено 20.01.2016 в 08:32 ----------
Это, как раз, более опасный способ, потому что к системе тикетов, как правило доступ имеет гораздо больший круг сотрудников, нежели к серверам клиентов.
Кроме того клиенты склонны никогда их не менять, таким образом засвеченный один раз пароль рискует навсегда осесть в записной книжке "плохого сотрудника" и ему ничто не помешает воспользоваться им в любое время из любого места.
Решая именно эту проблему, мы у себя в ISPsystem выработали описанный ваше стандарт безопасности и рекомендуем его всем своим хостинговым партнерам. Кстати через наши продукты можно дать или обобрать доступ поддержке одной галочкой, не заморачиваясь одноразовыми паролями и их последующей сменой.
Igoron, причем тут это? Давайте сейчас поговорим о людях которые ставят себе пароль 12345, вот у них вообще много проблем если разобраться.....)))))) Вы говорите о рисках, которые связаны с "дебилизмом пользователей", а я вам говорю о "дебилизме провайдера"... по моему объективно разные вещи.... Пользователь может и вирус подхватить дома у себя просматривая порнушку, причем тут хостер? пароль или ключ уедет точно так же..... А вот если уедет общий ключ у провайдера.... ну вы понимаете..... Гораздо безопасней, выдать пароль в тикетах на полчаса и после сменить его на другой..... (а не оставлять таким же на всю жизнь... :D )
К сожалению именно так и есть, любой сотрудник любого банка может совершить любую сделку со счетом любого абонента без его фактического присутствия или согласия... Я говорю о возможном факте... то, что потом это будет быстро выяснено и сотрудник будет взят за яйца - это совсем другое дело и предмет другого разговора, но это возможно технически! Ведь по сути именно сотрудник банка занимается подтверждением ваших намерений по той или иной операции... что ему мешает фальсифицировать пару бумажек и сделать вид что вы "приходили в офис лично"..... ничего..
Очень интересно читать, когда сотрудники хостеров начинают писать про организацию банковской деятельности. Продолжайте пожалуйста.
Очень интересно читать, когда сотрудники хостеров начинают писать про организацию банковской деятельности. Продолжайте пожалуйста.
Если даже оператор на телефоне знает о вас все, то почему рядовой работник банка не должен знать больше чем все? Скажем данных ФИО и секретного слова более чем достаточно, что бы тем или иным способом скомпрометировать счет, заблокировать карту и т.д. А этот ключ в нашем случае и кодовое слово в случае банка одно и то же.
К приватному ключу у сотрудников техподдержки доступа нет, но они могут по нему зайти на сервер клиента, все подключения журналируются.
Всё сводится к посту #12. Клиент сам решает дать ли доступ к своему серверу техподдержке или нет. По факту клиент сначала разрешил доступ, а потом поднял кипеж о том, что у хостера оказывается есть доступ. Еще и на хабре запостили для вящего эффекта.
Если этот ключик появляется только при получении согласия клиента, думаю ТСу, стоило бы честно признать свою ошибку и публично принести извинения компании за голословные и необоснованные обвинения.
PS. Даже отлуп в тикете нельзя признать виной компании, так как они не обязаны отвечать на вопросы от третьих лиц не имеющих активных услуг или задающих вопросы по услугам находящихся у других клиентов. Но лично я бы таки послал человека в раздел базы знаний, где размещена та же информация, что и в посте #12. Это бы сняло все вопросы у человека и предотвратило бы замусоривание интернета очередным громким фейком.