Das deutsche Python-Forum

Hallo Leute,

sicherlich gibt es hier jemanden, der Webhosting in Anspruch nimmt. Wie bewertet ihr die Vertrauenswürdigkeit? Man hört ja immer wieder mal, dass da im größeren Umfang Zugangsdaten entwendet werden und/oder weitere Daten herausgetragen werden. Daher zögere ich etwas, dort allzu vertrauliche Dateien hochzuladen, sei es privater oder geschäftlicher Natur. Welche Vorkehrungen kann man treffen, um das Risiko zu minimieren? Einen eigenen Server zu administrieren bedeutet ja auch nicht unerhebliche Kenntnisse und Zeitaufwand... :K

@Kebap: Meide einfach die wo in grösserem Umfang Daten rausgetragen werden.

Welche sind das denn? Ich habe da eigentlich eher sowas wie Yahoo und amerikanische Einzelhandelsketten im letzten Jahr in Erinnerung.

Ansonsten achte darauf das der Anbieter Zusagen macht und es Vertragsstrafen gibt, damit er nicht einfach irgendwelche Zusagen macht. Das dürfte dann natürlich entsprechend Geld kosten. Sofern man so etwas überhaupt irgendwo angeboten bekommt.

Kebap hat geschrieben:Welche Vorkehrungen kann man treffen, um das Risiko zu minimieren?

Nicht mehr Daten als nötig ins Internet blasen. Is' doch nicht so schwer. :K

Ich denke an verschiedene Szenarien, aber mich würden auch die Erfahrungen der anderen Benutzer dieses Forums interessieren, die schon Webservices angeboten haben.

"Ins Internet blasen" ist natürlich arg vereinfacht dargestellt.

Mir geht es insb. um interne Bereiche, die eben nicht für die Öffentlichkeit gedacht sind, sondern nur einem kleinen und begrenzten Benutzerkreis nach vorheriger Authifizierung bereitgestellt werden sollen.

Hier sollen auch keine bekannten amerikanischen Großkonzerne bemüht werden, da ja schon klar ist, wie diese ggf. mit ihnen anvertrauten Dokumenten umgehen.

Letztlich benutzen viele Firmen interne Netzwerke zur Kommunikation, aber auch im Rahmen von Familie, Freundeskreis, Vereinen, usw. wäre dies doch interessant und relevant.

edit: In diesem Zusammenhang auch interessant: Uberspace FAQ bzgl. Verschlüsselung ggü. Hostern
Es geht natürlich keineswegs um illegale Aktivitäten, sondern um private Daten, die es auch bleiben sollen. Daher sehe ich die dort genannten Behörden auch eher als geringere Gefahr im Vergleich zu Cyberattacken

"Cyberattacken" sind natürlich Definitionssache, seit Geheimdienste am DE-CIX mitschnorcheln. :K

Bei Uberspace (ich habe dort auch ein wenig Kleinkram liegen) gilt gemäß FAQ, was überall sonst auch gilt: Was du irgendwo hinlegst, kann auch irgendwer lesen. Mit verschlüsselten Dateien wird Uberspace allerdings im Zweifel genau so umgehen wie z.B. Google, nämlich: "Hier, eine verschlüsselte Datei, lieber Geheimdienst - den Schlüssel haben wir selbst nicht, viel Spaß".

@Kebap: es kommt halt darauf an, wie paranoid Du bist. Wenn Du irgendwelche personenbezogenen Daten ablegen willst, ruft im Zweifel der Datenschutzbeauftragte Deines Vertrauens an, und dann brauchst Du mindestens irgendetwas TÜV-geprüftes (was nicht automatisch heißt, dass das gegen jeden erdenklichen Angriff sicher ist). Adressen, Telefonnummern, Kreditkarten, etc würde ich nur verschlüsselt ablegen und den Schlüssel mehrstufig mit dem Userpasswort und einem Masterkey verknüpfen. So muß man schon aktiv Lauschen, um an die Daten zu kommen. Idealerweise findet die Entschlüsselung auf dem Client statt, so dass man aktiv Javascript manipulieren muß, um an die Daten heranzukommen, was das Entdeckungsrisiko erhöht. Noch idealerweiser benutzt man den Masterkey nur von seinem vertrauenswürdigen Rechner aus. Und dann natürlich regelmäßig von verschiedenen Rechnern aus prüfen, ob jemand die Javascriptdateien manipuliert hat, um möglichst schnell eingreifen zu können.

Sirius3 hat geschrieben:Adressen, Telefonnummern, Kreditkarten, etc würde ich nur verschlüsselt ablegen ...

Insbesondere Kreditkartendaten würde ich meiden wie die Pest und deren Speicherung und Verwendung stets an spezialisierte Dienstleister delegieren. Dann sind alle Probleme deren Probleme.

Was ist den dein Threat Model? Wenn die NSA an deine Daten will, tut sie das. Wenn du dass wirklich nicht willst hilft dir nicht Uberspace sondern ein Versteck in irgendeiner Höhle in Pakistan.

Wenn du bereit bist dich von der Paranoia zu trennen und zurück zur Realität zur kommen: Nutz AWS und beschränk dich auf die EU/Deutschland Region. Die Wahrscheinlichkeit dass sich Amazon nicht an die Datenschutzvorschriften der EU hält ist weitaus geringer als dass es irgendein kleiner Hoster für den sich niemand interessiert es tut.

Seit wann geht es hier im Paranoia und Geheimdienste? Ich dachte es geht um Webhostinganbieter die sich darum kümmern, dass die von ihnen angebotenen Dienstleistungen, also Webserver, Datenbank, PHP, Shopsoftware, … sicher und gepflegt sind. Also das worüber man sich Gedanken macht als jemand der *keinen* Aluhut aufsetzt.

BlackJack hat geschrieben:[...]PHP[...]sicher und gepflegt sind.[...]

Klar, die Sprache ist schuld, wenn der Programmierer zu doof für Sicherheitskonzepte ist.

Mutige Aussage in einem Pythonforum, DasIch.

@grum.py: An irgendwas muss es ja liegen das ich dauernd PHP-Sicherheitsupdates einspielen muss. Vielleichts sind's ja die Programmierer von PHP die zu doof für Sicherheitskonzepte sind. Auf jeden Fall aber Programmierer die bei *der* Ausgangslage PHP verwenden. Das ist IMHO auch keine mutige Aussage. Das ist keine Wahrheit für die es Mut braucht, um sie auszusprechen. Höchstens in einem PHP-Forum, weil dann das Geheule der inkompetenten Fanboys losgeht.

BlackJack hat geschrieben:@grum.py: An irgendwas muss es ja liegen das ich dauernd PHP-Sicherheitsupdates einspielen muss.

Nicht jedes Update ist ein Sicherheitsupdate. Ansonsten verweise ich einfach mal darauf, dass die derzeit unsicherste Software In Java und C geschrieben ist und nicht in PHP ...

@grum.py: Ich weiss, darum schrieb ich ja Sicherheitsupdates und nicht einfach nur Updates. Linux-Distributionen machen diese Unterscheidung und ich meine explizit die hohe Anzahl von *Sicherheits*updates die ich einspiele, die PHP im Namen haben.

Du hast vollkommen recht man sollte und kann die Schuld nicht auf die Sprache abwälzen. Die Verantwortung liegt da bei dem doofen Programmierer der sich für eine dem Zweck nicht angemessene Sprache entschieden hat.

PHP ist halt nur etwas ungewöhnlich weil es keinen angemessenen Zweck für sie gibt.

DasIch hat geschrieben:der sich für eine dem Zweck nicht angemessene Sprache entschieden hat

Was ist denn eine angemessene Sprache, um mal eben was unter einem quasi beliebigen und sonstwie billigen Webhostingpaket (meist: Apache, MySQL, PHP) veröffentlichen zu können? C?

Um mal eben etwas auf einem beliebigen, billigen Webhostingpaket zu veröffentlichen, hat ja schon das Sicherheitsproblem das man das nur „mal eben“ auf einem beliebigen Webhostingpaket tut dessen vorrangige Eigenschaft ”billig” ist, und nicht Sicherheit. Was man unter anderem an der dem Zweck Sicherheit unangemessenen Programmiersprache in dem Hostingpaket sieht.

Wenn deine Webanwendung auf Sicherheitsprüfungen verzichtet, bringt dir auch ein teureres Paket keinen Sicherheitszuwachs. Aber ich bin ja aufgeschlossen für Beispiele: welche Programmiersprache ist denn für besonders sichere Software bekannt?

Nota bene: wir sind hier in einem phpBB...

@grum.py: ohne hier irgendjemandem zu nahe treten zu wollen, ein Forum hat keine hohen Sicherheitsanforderungen. Vertrauliche Information findet sich hier nicht, wenn jemand das System kapert, ist das zwar schade, aber ein größerer Schaden entsteht deshalb auch nicht.