Webhosting Vertrauenswürdigkeit

Alles, was nicht direkt mit Python-Problemen zu tun hat. Dies ist auch der perfekte Platz für Jobangebote.
Benutzeravatar
Kebap
User
Beiträge: 686
Registriert: Dienstag 15. November 2011, 14:20
Wohnort: Dortmund

Hallo Leute,

sicherlich gibt es hier jemanden, der Webhosting in Anspruch nimmt. Wie bewertet ihr die Vertrauenswürdigkeit? Man hört ja immer wieder mal, dass da im größeren Umfang Zugangsdaten entwendet werden und/oder weitere Daten herausgetragen werden. Daher zögere ich etwas, dort allzu vertrauliche Dateien hochzuladen, sei es privater oder geschäftlicher Natur. Welche Vorkehrungen kann man treffen, um das Risiko zu minimieren? Einen eigenen Server zu administrieren bedeutet ja auch nicht unerhebliche Kenntnisse und Zeitaufwand... :K
MorgenGrauen: 1 Welt, 8 Rassen, 13 Gilden, >250 Abenteuer, >5000 Waffen & Rüstungen,
>7000 NPC, >16000 Räume, >200 freiwillige Programmierer, nur Text, viel Spaß, seit 1992.
BlackJack

@Kebap: Meide einfach die wo in grösserem Umfang Daten rausgetragen werden. ;-)

Welche sind das denn? Ich habe da eigentlich eher sowas wie Yahoo und amerikanische Einzelhandelsketten im letzten Jahr in Erinnerung. :-)

Ansonsten achte darauf das der Anbieter Zusagen macht und es Vertragsstrafen gibt, damit er nicht einfach irgendwelche Zusagen macht. Das dürfte dann natürlich entsprechend Geld kosten. Sofern man so etwas überhaupt irgendwo angeboten bekommt.
grum.py
User
Beiträge: 137
Registriert: Montag 11. Mai 2015, 15:27

Kebap hat geschrieben:Welche Vorkehrungen kann man treffen, um das Risiko zu minimieren?
Nicht mehr Daten als nötig ins Internet blasen. Is' doch nicht so schwer. :K
Benutzeravatar
Kebap
User
Beiträge: 686
Registriert: Dienstag 15. November 2011, 14:20
Wohnort: Dortmund

Ich denke an verschiedene Szenarien, aber mich würden auch die Erfahrungen der anderen Benutzer dieses Forums interessieren, die schon Webservices angeboten haben.

"Ins Internet blasen" ist natürlich arg vereinfacht dargestellt.

Mir geht es insb. um interne Bereiche, die eben nicht für die Öffentlichkeit gedacht sind, sondern nur einem kleinen und begrenzten Benutzerkreis nach vorheriger Authifizierung bereitgestellt werden sollen.

Hier sollen auch keine bekannten amerikanischen Großkonzerne bemüht werden, da ja schon klar ist, wie diese ggf. mit ihnen anvertrauten Dokumenten umgehen.

Letztlich benutzen viele Firmen interne Netzwerke zur Kommunikation, aber auch im Rahmen von Familie, Freundeskreis, Vereinen, usw. wäre dies doch interessant und relevant.

edit: In diesem Zusammenhang auch interessant: Uberspace FAQ bzgl. Verschlüsselung ggü. Hostern
Es geht natürlich keineswegs um illegale Aktivitäten, sondern um private Daten, die es auch bleiben sollen. Daher sehe ich die dort genannten Behörden auch eher als geringere Gefahr im Vergleich zu Cyberattacken
MorgenGrauen: 1 Welt, 8 Rassen, 13 Gilden, >250 Abenteuer, >5000 Waffen & Rüstungen,
>7000 NPC, >16000 Räume, >200 freiwillige Programmierer, nur Text, viel Spaß, seit 1992.
grum.py
User
Beiträge: 137
Registriert: Montag 11. Mai 2015, 15:27

"Cyberattacken" sind natürlich Definitionssache, seit Geheimdienste am DE-CIX mitschnorcheln. :K

Bei Uberspace (ich habe dort auch ein wenig Kleinkram liegen) gilt gemäß FAQ, was überall sonst auch gilt: Was du irgendwo hinlegst, kann auch irgendwer lesen. Mit verschlüsselten Dateien wird Uberspace allerdings im Zweifel genau so umgehen wie z.B. Google, nämlich: "Hier, eine verschlüsselte Datei, lieber Geheimdienst - den Schlüssel haben wir selbst nicht, viel Spaß".
Sirius3
User
Beiträge: 17711
Registriert: Sonntag 21. Oktober 2012, 17:20

@Kebap: es kommt halt darauf an, wie paranoid Du bist. Wenn Du irgendwelche personenbezogenen Daten ablegen willst, ruft im Zweifel der Datenschutzbeauftragte Deines Vertrauens an, und dann brauchst Du mindestens irgendetwas TÜV-geprüftes (was nicht automatisch heißt, dass das gegen jeden erdenklichen Angriff sicher ist). Adressen, Telefonnummern, Kreditkarten, etc würde ich nur verschlüsselt ablegen und den Schlüssel mehrstufig mit dem Userpasswort und einem Masterkey verknüpfen. So muß man schon aktiv Lauschen, um an die Daten zu kommen. Idealerweise findet die Entschlüsselung auf dem Client statt, so dass man aktiv Javascript manipulieren muß, um an die Daten heranzukommen, was das Entdeckungsrisiko erhöht. Noch idealerweiser benutzt man den Masterkey nur von seinem vertrauenswürdigen Rechner aus. Und dann natürlich regelmäßig von verschiedenen Rechnern aus prüfen, ob jemand die Javascriptdateien manipuliert hat, um möglichst schnell eingreifen zu können.
Benutzeravatar
kbr
User
Beiträge: 1487
Registriert: Mittwoch 15. Oktober 2008, 09:27

Sirius3 hat geschrieben:Adressen, Telefonnummern, Kreditkarten, etc würde ich nur verschlüsselt ablegen ...
Insbesondere Kreditkartendaten würde ich meiden wie die Pest und deren Speicherung und Verwendung stets an spezialisierte Dienstleister delegieren. Dann sind alle Probleme deren Probleme.
DasIch
User
Beiträge: 2718
Registriert: Montag 19. Mai 2008, 04:21
Wohnort: Berlin

Was ist den dein Threat Model? Wenn die NSA an deine Daten will, tut sie das. Wenn du dass wirklich nicht willst hilft dir nicht Uberspace sondern ein Versteck in irgendeiner Höhle in Pakistan.

Wenn du bereit bist dich von der Paranoia zu trennen und zurück zur Realität zur kommen: Nutz AWS und beschränk dich auf die EU/Deutschland Region. Die Wahrscheinlichkeit dass sich Amazon nicht an die Datenschutzvorschriften der EU hält ist weitaus geringer als dass es irgendein kleiner Hoster für den sich niemand interessiert es tut.
BlackJack

Seit wann geht es hier im Paranoia und Geheimdienste? Ich dachte es geht um Webhostinganbieter die sich darum kümmern, dass die von ihnen angebotenen Dienstleistungen, also Webserver, Datenbank, PHP, Shopsoftware, … sicher und gepflegt sind. Also das worüber man sich Gedanken macht als jemand der *keinen* Aluhut aufsetzt. ;-)
DasIch
User
Beiträge: 2718
Registriert: Montag 19. Mai 2008, 04:21
Wohnort: Berlin

BlackJack hat geschrieben:[...]PHP[...]sicher und gepflegt sind.[...]
:lol:
grum.py
User
Beiträge: 137
Registriert: Montag 11. Mai 2015, 15:27

Klar, die Sprache ist schuld, wenn der Programmierer zu doof für Sicherheitskonzepte ist.

Mutige Aussage in einem Pythonforum, DasIch.
BlackJack

@grum.py: An irgendwas muss es ja liegen das ich dauernd PHP-Sicherheitsupdates einspielen muss. Vielleichts sind's ja die Programmierer von PHP die zu doof für Sicherheitskonzepte sind. Auf jeden Fall aber Programmierer die bei *der* Ausgangslage PHP verwenden. Das ist IMHO auch keine mutige Aussage. Das ist keine Wahrheit für die es Mut braucht, um sie auszusprechen. Höchstens in einem PHP-Forum, weil dann das Geheule der inkompetenten Fanboys losgeht. :-)
grum.py
User
Beiträge: 137
Registriert: Montag 11. Mai 2015, 15:27

BlackJack hat geschrieben:@grum.py: An irgendwas muss es ja liegen das ich dauernd PHP-Sicherheitsupdates einspielen muss.
Nicht jedes Update ist ein Sicherheitsupdate. Ansonsten verweise ich einfach mal darauf, dass die derzeit unsicherste Software In Java und C geschrieben ist und nicht in PHP ... :D
BlackJack

@grum.py: Ich weiss, darum schrieb ich ja Sicherheitsupdates und nicht einfach nur Updates. Linux-Distributionen machen diese Unterscheidung und ich meine explizit die hohe Anzahl von *Sicherheits*updates die ich einspiele, die PHP im Namen haben.
DasIch
User
Beiträge: 2718
Registriert: Montag 19. Mai 2008, 04:21
Wohnort: Berlin

Du hast vollkommen recht man sollte und kann die Schuld nicht auf die Sprache abwälzen. Die Verantwortung liegt da bei dem doofen Programmierer der sich für eine dem Zweck nicht angemessene Sprache entschieden hat.

PHP ist halt nur etwas ungewöhnlich weil es keinen angemessenen Zweck für sie gibt.
grum.py
User
Beiträge: 137
Registriert: Montag 11. Mai 2015, 15:27

DasIch hat geschrieben:der sich für eine dem Zweck nicht angemessene Sprache entschieden hat
Was ist denn eine angemessene Sprache, um mal eben was unter einem quasi beliebigen und sonstwie billigen Webhostingpaket (meist: Apache, MySQL, PHP) veröffentlichen zu können? C?
BlackJack

Um mal eben etwas auf einem beliebigen, billigen Webhostingpaket zu veröffentlichen, hat ja schon das Sicherheitsproblem das man das nur „mal eben“ auf einem beliebigen Webhostingpaket tut dessen vorrangige Eigenschaft ”billig” ist, und nicht Sicherheit. Was man unter anderem an der dem Zweck Sicherheit unangemessenen Programmiersprache in dem Hostingpaket sieht. ;-)
grum.py
User
Beiträge: 137
Registriert: Montag 11. Mai 2015, 15:27

Wenn deine Webanwendung auf Sicherheitsprüfungen verzichtet, bringt dir auch ein teureres Paket keinen Sicherheitszuwachs. Aber ich bin ja aufgeschlossen für Beispiele: welche Programmiersprache ist denn für besonders sichere Software bekannt?
Sirius3
User
Beiträge: 17711
Registriert: Sonntag 21. Oktober 2012, 17:20

@grum.py: ohne hier irgendjemandem zu nahe treten zu wollen, ein Forum hat keine hohen Sicherheitsanforderungen. Vertrauliche Information findet sich hier nicht, wenn jemand das System kapert, ist das zwar schade, aber ein größerer Schaden entsteht deshalb auch nicht.
Antworten