[meesmetsast]

Kui turvaline/ebaturvaline on hoida asju serveris, miskis parooliga kaitstud www kataloogis ?

[lnxab]

Ei usu, et ta ebaturvaline on.

[HacaX]

Nii olematu info põhjal on seda küll keeruline adekvaatselt hinnata. Kui tegu on mõne sõbra poolt oma kodumasinast jooksutatava servuga siis on too veebi vahendusel küsitav parool nii tähtsusetu kui olla saab (kuna hulga tõenäolisem on, et sõber ise jagab sinu faile kolmandatele isikutele või mõni tal külas olev tuttav "laenab" huvipakkuvaid faile). Samas kui tegu mõne teada-tuntud ametliku teenusepakkujaga siis on olukord kordades parem. Samas tuleb mängu nii see milline parool on (kui selleks on näiteks lihtlabane tühik siis selle võib URLi otsa sattunu kasvõi kogemata sisse trükkida) kui vast ka milline soft servus jookseb (kui WWWd serveerib mingi tuliuus alfastaadiumis proge siis ei maksaks sellelt sama kindlust oodata kui näiteks viimaste ametlike turvapatchidega Apache'lt).

[meesmetsast]

Tegu siis Netpointi poolt pakutava teenusega ja kasutaja ja parool on korralikud (üle 8 kohalised ja sialdavad nii väikes kui ka suurt tähte+numbreid)
Küsimus sii rohkem selline, kas on mingeid võimalusi, et keegi sinna ilma parooli lahti murdmata ligi saab ?


Op. süsteem: Debian 3.1, Linux 2.6 (x86_64)
Veebiserver: Apache 2.2
PHP: PHP 5.2 (gd2, libcurl, ctype, iconv, libxml, SimpleXML, Zend Optimizer 3.2)
SQL: MySQ

[karu]

[pppd]

Keerame vinti veidike veel peale - kui tegu on tõepoolest niivõrd konfidentsiaalsete andmetega nagu sa muljet üritad jätta, siis kui palju sa oma teenusepakkujat usaldad? Nii selle poole pealt et keegi sealsetest adminnidest ei tee juhuslikult konfiviga või ei jäta mingit auku lahti, kui ka selle poole pealt et äkki võib keegi otseselt pahatahtlik olla? Kui need andmed ikka kellelegi midagi väärt on ja see keegi neid kõvasti kätte tahab saada, siis on palju lihtsam lahendus teha mõne seespool oleva inimesega mingi diil kui et hakata kuhugi sisse murdma.

Turvalisuse tagamisel on üheks asja alustalaks ohuhinnangud. Et kõigepealt istutakse maha ja mõeldakse, millised ohud ning kelle poolt täpselt eksisteerivad ja kuidas neid maandada. Kes oleks Su andmetest üldse huvitatud? Mida ta on nõus nende saamise nimel tegema? Milline on andmete täpne liikumine, kus need tekivad, kuhu salvestatakse, kuhu kopeeritakse, kuhu varundatakse, kuidas hävitatakse? Kus on selle protsessis nõrgad kohad, kust oleks võimalik andmete lekkimine, kes on need inimesed kellel võib mingis suvalises etapis tekkida juurdepääs Su andmetele ning kuivõrd usaldatavad nad on? Ning kui kõikidele nendele küsimustele on vastused olemas ning "pilt ees", alles siis hakatakse valima tehnilisi lahendusi, sh teenusepakkujat.

Ning lõpuks väike vihje - kui on vajadus mingit konfidentsiaalset infot üle ebaturvalise kanali kellegagi jagada, siis selle jaoks on mõeldud krüpteerimine. Nt PGP või kasvõi meie oma ID-kaart.

[v6sa]

[meesmetsast]