Мне не нравится то, что людей вводят в заблуждение.
Да, конечно, есть примеры, но есть и идеалы. Есть очень старые игроки на этом рынке на самом-то деле. Джет-Инфосистемс, к примеру. Там же совсем другой уровень. Они никогда не будут вешать ярлык - "безопасное приложение...". Т.е. там же есть какие-то стандарты, какие-то методики и т.д... всё называется своими именами.
Поясните мне пожалуйста, как человеку считающему, что он в ИБ не совсем копенгаген(тм)... как приложение с программным кодом, который можно изменять, может считаться безопасным? Может я совсем там полный ноль в этой теме?
Да всё нормальным языком поясняется, человеческим. Всё переводится в деньги и раставляются приоритеты... это для людей принимающих решение и подписывающих счета как-то более приемлимо.
Если там код проверяется, то заранее говорится по каким позициям он там проверяется и какие ситуации будут исключаться... какие там тесты для этого применялись и т.д. и т.п... и все прекрасно понимают, что при желании можно найти еще что-то... но это уже на кого какие пдонки нападают, т.к. у некоторых и после рекламной компании сайт загибается... ну т.е. с потоком посетителей не справляется.
Все это как-то планомерно нужно решать, но не всегда для этого надо и код переписывать, т.к. можно и железа докинуть, какие-то кэширующие сервера сверху поставить и т.д... нет предела совершенству.
Если нужно что бы сайт был виден всегда, а атакующие затрагивали только свои зеркала по географии, так что бы с гарантией. То могу размножить автономочку и анонсировать её как раз из мест установки зеркал, тогда как-то все атаки будут касаться только конкретных зеркал. Это на уровне маршрутизации гарантируется.
Да какое там. Какие-то продукты приходилось использовать, но оно как-то надо понимать для чего можно, а для чего не имеет смысла.
да, давайте там поторгуемся в этом р-не.
Сейчас WAP истерия кругом... пошли SMS оно сдохнет скоро, сейчас уже есть контент-провайдеры, которые деньги берут прямо в WAP.
PS. У нас же еще не конец света. Скоро опять будет какой-то бум нумер два. Не "пошли SMS на номер", а "Зайди на WAP ....ru", к примеру.
Ничего не могу сказать, т.к. не знаю URL их сайта.
У меня немного другие цифры для людей выдаются, т.к. их специалисты на своих серверах это могут посмотреть сами. По каким-то позициям и без тестов ясно, что надо оптимизировать/прикрывать/рефакторить и т.д. и т.п.
Это лирика всё. Это никому не надо в реальности. Надо тестировать и обозначать сложности атак, какой-то их уровень, стоимость организации и т.д. и т.п. Специалисты заказчика уже сами делают вывод... если специалистов нет, то говорится прямым текстом - себестоимость 3$ в день... это как-то на свои места всё сразу ставит.
Есть серьезные компании, специалисты которых иногда вводят руководство в заблуждение. Это очень хорошо, заключить договор, что бы твой ресурс слегка потестировали и посмотреть как твои специалисты будут этот вопрос решать. Там же нормальные вопросы сразу всплывают... начиная от полной растеренности и продолжая историями про "флуд с бот-сетей", но руководство то получает полный отчет.
Всем, кто тут обращался эти узкие места были показаны. Был один человек с IIS и статическим контентом, но без каких-то бумаг, кидать ему пару тройку тыс запросов с изменяющихся IP это же уже DDOS получается. Да, он там заметил на сервер, кто-то там его "гнул". Ну человек спокойно спать может, т.к. что бы DDOSили его ресурс нужен бюджет... а бюджеты не бывают вечные, т.к. если заказчик не получает быстрого и гарантированного результата, то исполнители про этот ресурс как-то забывают... т.е. там уже другого рода провакации начинаются.
Кидал ссылки на свои мыльные подписи, кому надо, тот почитал.
Если Вы профессионал, то на каком основании сделали вывод? Все делается через проксики. Проксики эти светят в хидерах север с которого производится тестирование. Можно делать с тех, которые не светят. Можно через socks-ы делать. Где тут преступление? От заказчика же никуда не прячусь, чего тут скрывать то. Есть трафик, который сами представляете где, который благодаря AJAX прилетает куда скажут. Там какой-то connection rate может покупаться. И владельцы ресурсов спокойны, т.к. знают, что никакого криминала не совершается.
Да, возможно для кого-то это и глупо, т.к. под рукой есть дорогие генераторы трафика.
Говорю что думаю. Положите наитупейший дырявый скрипт на MH и наблюдайте как их сканер там присылает вам респекты. Зачем людей вводить в заблуждение? Вторая тональность... со смехом. Просто есть области, которые они затрагивают, которые вводят людей в заблуждение. Ну это не совсем профессионально, т.к. если они специализируются на ИБ, то должны называть всё и своими именами. Это даже про сертификации там... это маркетинговые лозунги, чистейшей воды PR по каким-то позициям... людям это как-то расшифровать надо, а то как-то думают совсем не про то, а воспринимают это как панацею.
Ну и специализация у них слегка другая, т.к. они специализируются на уязвимостях, на каких-то дырах там. Смотрят скрипты на XSS, на SQL injection и т.д. и т.п. Но это всё не настолько серьезно. Они же сертификат только недавно по гостайне получили... может через какое-то время совсем будут серьезными, но им тогда уже не до этого рынка будет... который копеечный. Там цены уже вышли на другой уровень... ну а эта PR манера "Программному продукту "Битрикс: Управление сайтом 4.0" присвоена категория "Безопасное веб-приложение" и выдан сертификат соответствия.". Вы посмотрите фиксы для 4рки, там же какие-то моменты интересные были... уже после выдачи этого ярлыка.
Да нет компаний которые бы за разумные деньги на этом специализировались бы. Зайдите в IBS, там за хитрую автономку 1000у.е. в месяц предложат... оперативность как и у любых других крупных компаний. Любят рисовать солюшены, а потом от них отказываться. Т.е. это тоже такая манера крупных компаний, которая иногда проскакивает. Не совсем отказываться, а как бы какие-то моменты умалчивать, т.е. они как-то сами собой подразумевались, но за дополнительные деньги. От части это правильно, т.к. с клиента надо зарабатывать, но как бы не надо его в заблуждение вводить и всё...
Зайдите в Зенон! Оч хорошо вопрос решают, но поднимают фильтр в Телии и забугорный ddos обламывается, но туда же и часть РФ попадает. Т.е. они все эти вопросы решают, но как-то со своей колоколни. Должен сервера к ним принести, должен договора с ними заключить.. Зенон вообще много от чего спасать может, но как бы в рамках своих возможностей. Там широкий спектр вопросов решается, но это как-то уже для тех у кого статика, т.к. номинально, будут просить клиента убрать динамику.
Где-то за паразитный трафик должен оплатить. MH некоторым в договора прописывает, что паразитный трафик оплачивается отдельно. У меня же всё дешево и со вкусом. Вообще могу ни к чему не прикасаться, а работать на уровне оперативных консультаций ваших специалистов...
Ваше право.
Жжош. Тебе просто повезло.
Резюмирую список с автоматическим и почти мгновенным заведением:
firstvds.ru (поверил на основании фидбэков друзей)
masterhost.ru
hoster.ru
PS. За админов и программеров стыдно... если уже WM не могут привинтить, то что тогда там с остальным?
http://firstvds.ru/img/license.jpg - оч хорошо, возьму на заметку.
А чего у вас с каналами там получается? Трафик платный что-то смущает.
PS. спс за информацию.
Потерпите.
Портинг приложений под платформу максимально простой. Сертификация приложения и тестирование идут в полупедальном режиме. Все максимально тупо и просто. Для зареганых девелоперов есть тестовый сервер с панелькой, там они могут тестировать/сертифицировать, пробовать под нагрузкой и т.д...
Если у Вас свой хостинг и Вы хотите предоставлять какие-то приложения для клиентов, т.е. как-то сами, то пропишите всем какой-то ключик в конфиг виртуалхоста, что бы приложение могло различать для какого клиента оно работает. Какую-то там переменную окружения и т.д... да можете ничего не прописывать, там и так из переменных окружения можно понять для кого оно запущено.
Следовательно и настройки все для разных клиентов храните в разном месте. Но если есть желание завернуть то что описано в первом посте, то нюансов возникает сотни. Это вот как описывать чем отличается virtuozzo от обычного jail.
У меня все построено с помощью стандартных фич уеб-сервера... для хостинг провайдера весь гемор по активации услуги заключается в активации на нашем софте и выкладке .htaccess в заданную клиентом директорию.. и всё... клиент может наслаждаться софтом, за который он оплатил и не парить себе голову как это работает.
Для HSP доступна масса способов, в т.ч. и не только в реальном времени. Есть режими премодерации и т.д... там какая-то панелька присутствует, вот сейчас её как раз разукрашивают. Тем, кто умеет дергать какие-то методы по ssh или через HTTP по ssl достаточно это прописать в своей АСР... ну а тем кто не умеет, у тех как-то через портал это будет доступно... т.е. это как-то прячется за авторизацией их клиентов, что бы портал мог скинуть какую-то заявку клиента с просьбой активировать услугу. На портале естественно будут доступны живые демки софта.
Если спецы HSP умеют работать с MySQL, то могут активировать прямо в табличках. Это все сейчас документируется и ничего сложного в этом нет. Так же эти таблички могут использовать в какой-то своей системе учета. От какого-то софта который надо обсчитывать пока отказался, т.к. возникает масса нареканий. До таких маразмов как оплата за количество запусков опускаться это не будет. Там модель продаж совсем прозрачная, что бы там никто никуда не бегал и не перепроверял десять раз.
Если у hsp каменный век, то на платформе это из панели, а клиенту надо всего лишь положить сформированный .htaccess в нужную директорию. Потом уже клиент как-то сам там в админку зайдёт, ну или можно за него всё там прописать, но опять же всё это из панели. Для всяких там "традиционных" хостингов тоже есть прозраный способ подключения, но некоторым провайдерам потребуется дополнительное железо... ну если им это надо будет.
Единое api на всякие там панельные интерфейсы будет еще не скоро, но что-то универсальное уже есть... т.е. это скорее экзамплы конфигурационных интерфейсов для клиентов. От единого стиля отказали по причине отсутствия подходящего солюшена. В едином стиле будет только базовая конфигурация модулей... т.е. сама панель. Как там дальше будет кастомизироваться этот модуль... собсно уже не важно.
Т.е. если это какой-то форум или CMS, то будет работать так же, как и работает на обычном хостинге... т.е. там свой админ заход, свои настройки и т.д... просто какие-то вещи зарестрикчены из соображений безопасности. В итоге какие-то куски уже существующих приложений надо чуток подрефакторить, т.к. иначе они не будут работать... ну или будут, но не совсем так как надо. Большой список на самом деле, но есть ради чего рефакторить, т.к. ваше приложение выходит на рынок мгновенной аренды... скольки тысячам пользователей пока еще не знаю.
Девелоперам с энкрипченым софтом очень многое зарестрикчено. Какие-то функции php они должны будут взять из user level библиотеки, а это уже как-то на производительность влияет... ну и функции там переименовывать надо и т.д.
Тут скорее удар по пиратам наносится больше, т.к. чем ставить себе на хостинг паленую CMS или форум, которое через google в скором времени найдут... ну проще там какие-то деньги платить ежемесячно. Если бы у нас какой-то софт продавали в кредит, в исходниках особенно, то жить как-то было веселее... выплаты на 3 года пересчитали бы и не такое оно страшное было бы. Если отвлечься от темы php, то windows сейчас в р-не 2тыс руб стоит, если бы его по 30руб (да хоть по 150) в месяц отдавали, то много народу на такой вариант пошли бы...
Я уже молчу про какие-то инет магазины, аукционы и т.д... скрипты стоят по несколько тысяч долларов а по e2k доступны все версии в исходниках. Софт этот переписывают, изменяют url, убирают защиту и т.д... это тоже каких-то денег же стоит. Многие для этого программистов нанимают... занулить там битрикс или акцион какой.
У моего клиента php аукцион стоит нулёный, неудержался так сказать, но лицензия куплена. Так девелоперы теребят постоянно... типа поставьте нормальную версию... я им на ломаном английском постоянно отвечаю, что ваша защита тормозит наш сервер. Вот эти вот все десятикиловые перлы из немыслемых eval... оно там каждым реквестом обрабатывается.... каждый раз дергает mysql и проверяет ключик.... чуть что, так сразу на странице пишет "no license"... это маразм какой-то. Надо с этим глобально бороться. Каждый раз какие-то даты проверяет, какие-то файлы смотрит, раз на на дню к ним на сервер стучит и т.д... пока все вычистил чуть не полысел. И этот мега ключик блин... так и не понял что это было, но дергать 4 киловый файл это круто.
Битрикс вот сейчас в e2k лежит, IPB и т.д.. всё там есть! а на рапидшаре вообще какие-то залежи несусветные. Там еще как-то забанить можно, а вот в e2k наверное хотят но не могут. Им надо в код какие-то сигнатуры внедрять, что бы потом отлавливать кто из клиентов туда сливает. В каких-то функциях названия переменных менять и т.д... т.е. это как-то под каждого клиента на автомате можно делать. Потом когда кусок кода в сети всплывает, то как-то уже знаешь откуда оно уплыло.
Гкхм... и что там? Кстати, предложили бы ДЖЕТ услуги оптимизации, а то, что-то этот хитрый url подзабыл... на яндексе как-то с пяти запросов найти не удалось. Так вот, если про OSI речь зашла, то это вообще к чему? Дозор, по сути, вполне себе почтовик, только снифающий. Имея наирутовейший доступ можно вполне себе что-то там слизать и почитать... попробую завтра уточнить у Легендарного(тм), если это не военная тайна Джета. Это так, к теме кстати, что в тех конторах совсем всё никак у нормальных людей. Там и без доп продуктов, в некоторых местах, ничего не вынесешь. Когда над консолью видео 24x7, то как-то и без дополнительных механизмов особо всё спокойно. Да и зачем шифровать мыло отдельно, когда шифруется цельный хард... вилку из розетки и всё тип-топ.
Собственно речь за рутовый доступ, а не за обычный саппорт и операторов-почтовика. HSP такие продукты не используют ибо они дорогие.
Попросите у них shared или colo. Голдена вообще не оперативный вариант... это когда всё устаканилось, то можно к ним со стойками заходить потихонечку, а когда метания из ДЦ в ДЦ, то приходится ходить к тем, кто всё делает быстро и без лишней бюрократии. Про цены и оперативность Экванта на тему colo вообще молчу.
Мне не нравится тема гарантированного качества... она у меня блин крови пьёт много. Эта такая блин замануха, на этот гарантированный uptime блин... 99%, 99.4% и т.д. и т.п... вплоть до 99.9%. Это, блин, если в минуты пересчитать, то если в удачный момент, то как-то совсем хреново получается. Дешевле зарезервироваться через мелких. А если что-то там надо пускать на полушифре(тм), то точку выхода в инет разместите на colo, а до неё VPN over пару каналов... в ДЦ трафик вообще копейки стоит... это если с офисным сравнить. Это вот для тех, кому 100% хочется реальных. Клиент он же этих тонкостей не понимает... он же потом спрашивает, а что это за такая, извиняюсь за выражение, херня, которая 99.9%... это типа круто?... берем в руки калькулятор и начинаем высчитывать сколько это в часах... 1% от сотни это ~7 часов, если память не изменяет... может и больше... пересчитал вот только что, а там почти 8. Вы меня понимаете? Вы обратите внимание, на какие-то отдельные пункты договоров, которые как раз про математику и высчитывание SLA... про некоторых надо в интернет выкладывать.
Это к любым SLA относится... и по shared, и по colo, и по dedicated и т.д.
Ну могу я сейчас какую-то стату по простоям выдать... но она там в рамках договора же... а мы блин в некоторых верили, надеялись, относились с пониманием. Короче все они одинаковые. Всеми этими SLA можно задницу подтереть... откровенно говоря.
Тут уже как-то от условий задачи играть надо... может 1 канал через крупного, а бэкуп от мелких... или же 2 канала от мелких, но только более или менее серьезных. Да даже три канала через всяких(тм) и это вполне себе приемлемо, только хвосты с разных концов закинуть, а то оно как-то, когда через один "короб".
Ну у меня тоже так же было, а у последнего работодателя еще и дядька с кнутом над тикетером стоял. Оно когда за отработкой тикетов отслеживают, на самом высоком уровне, то оно чем быстрее тикет закроешь, тем лучше. Причем сам-же эту заразу и притащил в контору, сам же её поставил, сам же научил этой гадостью заниматься... не скажу что поплатился, но блин кровь оно пьёт. SLA исполнения под страхом увольнения... достаточно действенно.
IMHO RT для любого бизнес процесса присобачить можно. Потом никакие комерческие продукты уже не интересны будут.
IMHO я уже ответил в максимально развернутом виде. Те кому это надо уже поняли в какую сторону копать. Если Вы рассматриваете солюшен в банк-клиенте, то я рассматриваю в каких-то фичах, которые банк с его помощью позволяет. Пример приводить не буду! Это военная тайна и причем не моя. У кого-то это можно сказать конкурентное преимущество. Обзвоните банки, может что-то прояснится. Так будет корректнее.
PS. Давайте лучше вернемся к теме "Если хостинг нужен прямо сейчас", а то как-то оно так уже получается, что это вырисовывается "просто интересный трэд про...". Штафовать пока не начали... значит всем интересно. Вроде всё по теме.
IMHO к рынку хостинга уже никакого отношения не имею. Я там уже не работаю давным давно... это копеечный бизнес.
Мне больше на хостинг провайдерах интересно зарабатывать. HSP API уже почти дописано, а цепляется к любой площадке с апачем и даже каким-то боком к IIS... вот это будет тема... а сам хостинг он копейки-то приносит... если массштабы крупных HSP не брать! но они к этому пятилетками подкрадывались... вполне законно теперь упиваются успехом и этих товарисчей надо только укреплять, помогать, стимулировать.
ЗЫ. А по поводу MODHOST и FreeBSD 6.x... ну интересно мне очень, как она там стабильно ведет себя. С каждым положительным отзывом подумываю на неё переехать... но что-то еще на четверке стоит, а основная масса уже на пятерке.
