следующая тема »

[Dimon]

Честно говоря, отрывая топик в правовом форуме, я думал тут увидеть правовые обсуждения типа разборок клиентов с хостером, ловли наглых, злобных хакеров и проч., но ничего этого не вижу.

Михайлов Игорь Юрьевич, я думаю, что "пробить оборону хостинга" можно только из-за некомпетентности или злого умысла админов. Я может не суперспециалист в области безопасности, но тем не менее, мне представляется, что происходящее со своими ресурсами можно отслеживать, а взломщики пишут, что свободно лазили по закрытым данным полгода.
У меня лично на хостинге несколько проектов, но я ежедневно нахожу время, чтобы изучить логи и посмотреть, что там происходит. Кроме этого, я дополнительно еще проверял "защищенность" сайта, чтобы его не поломали. И мне за это никто не платит, могу заметить. Это не говоря уж о мониторинге в режиме реального времени, который осуществлять обычному веб-мастеру нет возможности, в отличие от...
Частично соглашусь с "оратором", что успешных у нас не любят...
Но не соглашусь с тем, что "хотя бы один". Я самолично отправлял одному админу инфу о дыре во всех проектах, которые он создавал для клиентов и поддерживал, где он делал одну и ту же "свою" ошибку. Причем с первого раза он исправил не саму ошибку, а пароль, поэтому пришлось ему писать еще раз и еще раз объяснять :-)
Но я не хакер и никогда взломом не занимался, у меня чисто технологические знания, у меня не было желания чего-то поломать или накапать руководству, может поэтому так получилось.

zas_exp,
Антон Серго, судя по инфе, internet-law и другие проекты могли ломать не из-за того, что ты и другие люди что-то у себя неправильно настроили, а именно из-за некачественной работы админов самого хостера. В этом-то и проблема, что в таком случае, они могли сообщать клиенту, что типа "это вы там у себя что-то напортачили". Человек может биться о заклад, где же у него дырка, а на самом деле - это не у него вовсе... Можно добавить еще, что, помимо чисто личных данных, в клиентской БД содержатся их e-mail-адреса. Так что люди уже могут приготивиться к тому, что на их электронные ящики начнется валиться спам, причем спам может быть адресный, привязанный к определенному домену (о чем может быть указано, например, в заголовке письма, чтобы владелец "e-ящика" прочитал его по-любому). MySQL у тебя действительно часто валится...

Формально, я тоже бы хотел получить инфу по перечиленным хостерам, если уж на то пошло. Можно приватом, можно не приватом.


Сам лично сижу на Value, но пока планирую там остаться из-за того, что для решения своих задач он наиболее мне подходит. Кроме того, в моем случае, переезд связан с очень большими затратами времени и прочих ресурсов. Так что скорее в будущем придется брать у них co-location, чем переезжать куда-то. Или договариваться о специфических условиях с новым хостером, пока такого опыта у меня не было. Буду рад советам на эту тему.

При изучении вариантов, я останавливался на западном Valuehost (судя по их форуму, у них там не все идеально тоже), уже давно мониторю Aletia, но перспектив ее использования пока не очень много из-за сложившейся у меня ситуации, только если бы изначально хостинг у них был бы куплен. Из наших останавливался на masterhost и majordomo, к которым, в случае переезда, я и планирую обратиться. У masterhost специальная программа на этот счет есть типа "исправь ошибку".


Но для поддержки серьезных официальных проектов, судя по всему, буду дополнительно рекомендовать клиентам RBChosting и для корпоративных проектов он, после падения Валюхоста, видится мне первым. Начиная от репутации самой компании "РБК" и заканчивая вообще своим имиджем, заботе о своей же репутации. Цены там несколько выше, объем сервисов несколько ниже. У меня есть РБК-шный е-ящик и не могу сказать, что в восторге от его работы. Тем не менее, сейчас чего-то другого на рынке я не вижу по совокупности характеристик... Если будут какие-то отзывы о них, хотелось бы почитать...

[zas_exp]

...правовые обсуждения типа разборок клиентов с хостером, ловли наглых, злобных хакеров и проч., но ничего этого не вижу.

Жажда крови замучила? . Не получится. Внимательно читайте договор, все ответы там.
Кто за что отвечает и т.д.
http://www.valuehost.ru/dogovor/ofertam.php

Лучше разобрать правовую сторону договора, чем "лови...".

[Dimon]

Жажда крови тут вовсе не причем. С договором я ознакомлен внимательно, даже скажу по секрету, он у меня на "винте" хранится, также как и полное описание рекламируемых/предоставляемых услуг, оплаченные квитанции и другая важная информация.

Помимо вышеуказанного договора, есть законы в области прав потребителя, личных данных, связи и т.д.
Люди вправе требовать предоставление качественных услуг за свои деньги. Потребитель всегда прав-это не я сказал.

По поводу "лови". Взлом и незаконное использование БД компании Reuters окончилось соответствующим судебным разбирательством и сроками (условными или нет - не важно, важен принцип).

Компания, которая печется о своей репутации, на мой взгляд, должна поступать так, чтобы было понятно, что: клиентам компании принесены извинения, некомпетентные люди уволены, обнаружившиеся дырки залатаны, сама компания обратилась в правоохранительные органы.

Иначе ни один _серьезный_ человек (компания) не будет пользоваться их услугами и не будет их рекомендовать другим пользователям. Это в мягком случае. Если нет проблем "глобального" характера.
А кто-то ведь из-за неработы или некачественной работы сервисов, отсутствия доступа к своему серверу реально несет убытки, как финансовые, так и репутационные.

[zas_exp]

Компания, которая печется о своей репутации, на мой взгляд, должна поступать так, чтобы было понятно, что: клиентам компании принесены извинения, некомпетентные люди уволены, обнаружившиеся дырки залатаны, сама компания обратилась в правоохранительные органы.

Иначе ни один _серьезный_ человек (компания) не будет пользоваться их услугами и не будет их рекомендовать другим пользователям. Это в мягком случае. Если нет проблем "глобального" характера.
А кто-то ведь из-за неработы или некачественной работы сервисов, отсутствия доступа к своему серверу реально несет убытки, как финансовые, так и репутационные.

Давайте разберемся, от куда пришла инфа о взломе - из Сети? Какие есть не зависимые источники потверждающие это сообщение? Замену паролей можно истолковать как надлежащие выполнение своих обязоностей СБ с учетом опубликованых бюлетней безопасности. Как Вы пострадали?
А не происки ли это недобросовестных конкурентов? Кто видел эту базу? и т.д.

Узнать обращался ли V. в органы не очень сложно, но даже если и обращался .то ничего ровным счетом не значит. Уг. дело не покажут.

О качественной или не качественной работе хостера, вопрос спорный. А услуги связи где? Мой провайдер бывает лишает меня часто на сути выхода в сеть.  

[Dimon]

zas_exp, весьма возможно, что это происки конкурентов, никто и не спорит.
Есть косвенные признаки, подтверждающие факт взлома: перевод форума на новый движок (при этом старый длительное время не работал); появляющиеся сообщения о том, что чей-то веб-сайт был взломан; замена паролей - просто так менять их нет смысла, так как это связано с дополнительной нагрузкой на саму компанию(и ее сотрудников) и конфликтами с клиентами, потому что компания слишком большая, огромное количество клиентов - это не десяток паролей для десятка клиентов поменять. Мне лично пришел спам по описанному выше сценарию. Могу процитировать это письмо при необходимости. С базой ничего сказать не могу, но и не я должен этим заниматься. Мне кажется, что все-таки она есть (и из-за спама тоже), мне не хочется, чтобы посторонние люди собирали обо мне информацию,  так как непонятно, как и в каких целях она может быть использована.

Законы в области связи - имеется ввиду, что для деятельности в сети, предоставления услуг требуется получение соответствующих лицензий и соблюдение законов. На сайте Valuehost есть информация о том, какими лицензиями они обладают. И по поводу вашего провайдера и по поводу хостинг-компаний, операторов мобильной и прочей связи рано или поздно может найтись/находится человек/компания, которому все это надоест и он подаст в суд. И будет абсолютно прав, выйграет процесс.

По поводу качественной или некачественной работы вопрос, конечно, спорный. Мой знакомый работает в одной хостинг-компании и говорит, что все время от времени висят и т.д., у всех примерно одинаковые проблемы. С другой стороны, в течение суток я полагаю, что мне не составит труда узнать системное имя (логин) Антона, который используется им как клиентом хостинга, пути к его директориям. И все дело в соответствующей работе MySQL, а не в том, что Антон мне когда-то сказал об этом и т.д.

При всем при этом, повторюсь, что у меня личный хостинг у Value до конца года и, скорее всего, я его продлю. Иски к компании и проблемы или прекращение ее работы принесут лично мне только дополнительные проблемы.
Но вот насчет поддержки/рекомендаций для серьезных корпоративных проектов я сильно не уверен, потому что проблемы компании напрямую начнут сказываться на моей репутации, продажах и т.д.

[Dimon]

Можно добавить. Что если взлома не было, у компании всегда есть право официально заявить о том, что распространяемая информация не соответствует действительности. И начать разборки с ресурсами, которые
недостоверную информацию опубликовали. Впрочем, мне кажется, что в данной ситуации начать разборки
можно даже если опубликованная информация достоверна.

[Dmitry]

Взлом и незаконное использование БД компании Reuters окончилось соответствующим судебным разбирательством и сроками (условными или нет - не важно, важен принцип).

Хотя и не совсем в тему, но раз уж ссылка на данное дело прозвучала, то просто ради уточнения деталей скажу.

Про взлом БД Reuters писали  слабо разбирающиеся в теме журналисты, для которых компьютер и его внутренности, как для меня китайская грамота. С технической стороны (да и с юридической) для обывателя, дабы уж не лезть совсем вглубь, суть дела наиболее близка к пиратскому приему закрытых спутниковых ТВ каналов и их дальнейшей трансляции на коммерческой основе, к примеру, в кабельных сетях.

Судебным разбирательством закончилось только одно из дел, где-то компания сумела надавить на клиентов пиратов и побудить их самостоятельно подписаться официальным образом, где-то пираты оказались вразумляемыми, где-то, к сожалению, дело кончилось маски-шоу с изъятием оборудования, но до суда так и не дошло (в силу разных причин, не последней из которых является то, что супостаты, похоже, после этаких потрясений от дел все-таки отошли, а крови "из принципа" ни следственные органы, ни компания не жаждали и резких телодвижений поэтому не делали).
Интересно, что на самом деле, так или иначе, все известные эпизоды являлись фактически продолжением одного и того же первого дела, которое было доведено до суда. Часть лиц, которые были известны следствию уже тогда, но в силу разных обстоятельств оказались на переферии основной линии, связанной с действиями бывших сотрудников агентства (без помощи которого, как представляется, пиратам пришлось бы безуспешно трудиться над взломом еще довольно долго, не смотря на то, что сама система, использовавшаяся Reuters, разрабатывалась в 80-х годах прошлого века с соответствовавшими тому времени представлениями о достаточной защите коммерческих систем). В отношении этих лиц следствие практически не велось и в суд их не потащили. Чужой пример, как известно, не для всех является уроком - обделенные тогда  вниманием, видимо, решили, что раз их не тронули, то это только благодаря их особому уму, конспиративным способностям и слабости законодательнолй базы. И ошиблись, по крайней мере, в плане собственной самооценки...

По тому делу, что рассматривалось в суде, срока были назначены самые что ни на есть реальные, а не условные. На цугундер, правда, никого не поволокли, так как подвернулась амнистия.

Кстати, если кому интересно, могу поискать у себя постановление суда по тому делу и прислать Антону, для выкладывания на всеобщее обозрение.

PS. В том постановлении, кстати, упоминается еще одна компания, имя которой вы также помянули чуть выше. Так вот, к вопросу о деловой репутации, решение об использовании ворованных данных принимались и одобрялись не на уровне разгильдяя-инженера, а на уровне руководства компании...

[Николай Николаевич Федотов]

Хостинг как бизнес у нас находится на грани рентабельности. Нанять лишнего специалиста для защиты своих систем, как правило, нет возможности. Так что ломали и ломать будут.

[zas_exp]

Можно добавить. Что если взлома не было, у компании всегда есть право официально заявить о том, что...

Есть право  -  это не обязанность  

Хочу воспользуюсь им, хочу нет.
Кто меня (или других) может обязать пользоваться моими правами?  

[Dimon]

Dmitry, все правильно и интересны подробности. Информация лично мне поступала через ТВ (так получилось, что я тогда на это наткнулся, показали и "чуваков" за компьютерами, к которым "пришли"), через новости в сети (в т.ч. на cnews, наверняка "на винте" до сих пор хранится), через сотрудника из правоохранительных органов, который занимается компьютерными преступлениями (лекцию у нас читал), через каких-то знакомых. Информация носила, прямо скажем, неоднородный характер.

Что касается сути дела, тот как я понимаю, суть дела в поставке финансово-экономической и т.п. информации. Чем эта вышеупомянутая компания изначально и занималась, потом начала разрастаться и вести другие бизнесы. Но в то же самое время, до меня доходила информация о том, что "ворованные данные" как раз поставлялись по более низкой цене, чем официальная, конкурентами и возможно было организовать конкурента этой самой упомянутой компании, чтобы оттяпать у нее какую-то долю рынка. Причем в покупку ворованных данных или даже в "создание хакерского проекта" замешаны и те компании, которые сами работают на финансовых рынках и этой информацией пользуются.
В принципе, мне интересно, замешана ли вышеупомянутая компания в этом деле? И если да, то как же все-таки "чуваки" хотели создать ей конкурента, если они уже вышеупомянутой компании информацию и продавали?


zas_exp, я пишу, что хотел бы видеть нормальный клиент в моем представлении. У кого-то наверняка есть и другие представления даже со стороны клиента. Компания, понятно, делает то, что хочет.


Николай Николаевич Федотов, а "не у нас", в смысле на Западе, как дела обстоят?