Moderní webhosting Pod lupou... Bc. Martin Podborský ONEsolution s.r.o.
Co je webhosting? Webhosting je pronájem vyhrazeného prostoru na serveru poskytovatele 2
Jak lze webhosting dělit? 3
Sdílený webhosting Charakteristika: sdílený webhosting je vyhovující pro široké spektrum webových aplikací, představuje ideální volbu v poměru cena X výkon. Vhodný jak pro začátečníky tak pokročilé uživatele Využitelnost: vhodné pro více než 95% webových projektů Výkonnost: vysoká (v rámci sdílených systémových prostředků) Správa: kompletní on-line nástroje pro správu účtu, podpora Cenové rozpětí: 0-1000 Kč / měsíc 4
VPS (Virtual Private Server) Charakteristika: VPS jsou určené pro pokročilejší uživatele (správce), kteří vyžadují např. specifická nastavení oproti sdílenému webhostingu. Lze zvolit instalovaný OS (Linux/ Windows) Využitelnost: specifické webové projekty/aplikace Výkonnost: závislá na zvolené HW konfiguraci Správa: vlastní/on-line Cenové rozpětí: 100-3 000 Kč / měsíc 5
Cloud hosting Charakteristika: obdobně jako u VPS, hlavní rozdíl v možnostech využití, škálovatelnosti a ceně. Využitelnost: webové projekty s předpokládaným vysokým růstem, obrovskou nárazovou návštěvností, video servery, file servery,... Výkonnost: závislá na zvolené instanci (aktuální HW konfiguraci) Správa: vlastní/on-line Cenové rozpětí: 1 000 - X Kč / měsíc 6
Dedikovaný server Charakteristika: řešení vhodné především pro rozsáhlejší webové systémy s požadavkem na max. dostupnost a spolehlivost Využitelnost: webové projekty náročné na systémové prostředky Výkonnost: vysoká (závislá na konfiguraci a HW serveru) Správa: vlastní/on-line (full-managed) Cenové rozpětí: 3 000-10 000 Kč / měsíc 7
Webhosting - celosvětově celosvětově je hostováno více než 100 mil. domén v první desítce je 8 společností z USA (8. Německo, 9. Kajmanské ostrovy) v USA je takřka 23 tis. webhostingových společností, následuje Kanada s více než 2,5 tis. webhostingových společností 71% 22% 3% 2% 3% domácí webhosteři se do první padesátky nedostali 1. WILDWESTDOMAINS.COM (USA) 2. ENOM.COM (USA) 3. NETWORKSOLUTIONS.COM (USA) 6. SEDOPARKING.COM (DE) Ostatní Zdroj: www.webhosting.info 8
Webhosting - ČR v ČR registrováno více než 1 000 000 domén s koncovkou.cz (cca 50 akreditovaných registrátorů) dva největší webhosteři jsou vlastněni zahraničními subjekty v ČR existuje přes 250 webhostingových společností pro provoz webhostingových služeb není třeba zvláštních povolení (volná živnost) 75% 10% 8% 5% 1% 0% stejný počet webhostingových společností jako v ČR je např. ve Finsku, Maďarsku a Norsku INTERNET CZ, a.s. (IT) ACTIVE 24, s.r.o. (NOR) IGNUM, s.r.o. THINline interactive s.r.o. ONEsolution s.r.o. (ONEbit.cz) Explorer a. s. Ostatní Zdroj: www.lupa.cz 9
Co tvoří Moderní webhosting? Služby Technologie Lidé 10
Služby snadné a rychlé zřízení webhostingového účtu a registrace domén garantovaný datový prostor s pravidelným zálohováním aktivní ochrana klientských dat a doménových jmen široké portfolio doplňkových služeb pohodlná on-line administrace služeb individuální přístup k zákazníkům garance spokojenosti 11
Technologie provoz služeb v moderních datacentrech, která splňují nejpřísnější bezpečnostní normy (geograficky oddělené lokality) rychlá a plně zálohovaná datová konektivita výkonné značkové servery s hot-swap disky monitoring chodu služeb v režimu 24/7 certifikace pro provoz serverových služeb testování a následná implementace nejmodernějších technologií do produkčního prostředí 12
Lidé o každodenní bezproblémový chod moderní webhostingové společnosti se stará vyškolený tým lidí: technická podpora administrátoři programátoři administrativa specializovaní pracovníci externisti... 13
...a něco navíc neustálé investice do inovací a rozvoje služeb průběžná analýza a zdokonalování firemních procesů automatizace jednotlivých činností odlišný přístup při řešení shodných problémů příjemné pracovní prostředí podporující kreativitu a individuální rozvoj tým zapálených lidí, kteří zákazníkům společně přináší ty nejlepší on-line služby 14
Příklady z praxe Provoz OpenSource aplikací Bezpečnostní chyby webových stránek Výkonnostní otázky webových stránek Boj s nevyžádanou poštou (SPAM) Den D 15
Provoz OpenSource aplikací obliba OpenSource aplikací u uživatelů každoročně narůstá mezi nejznámější OpenSource aplikace patří: Joomla! Drupal WordPress ZenCart Magento a další... 16
Provoz OpenSource aplikací výhody: otevřený kód snadná instalace a údržba široká komunita uživatelů nevýhody: otevřený kód vyšší systémové nároky (moduly) ne vždy lze provozovat na sdílených webhostingových serverech (safe_mode,...) 17
Provoz OpenSource aplikací 18
Provoz OpenSource aplikací bezpečnostní problémy OpenSource aplikací Joomla v1.5 - jednoduše nabouratelná administrace, snadné získání přístupu na FTP, e-mailového klienta... starší TinyMCE - bug umožňující vkládat soubory (např. shell skripty c99, r57) starší WordPress - podsouvání skriptů v obrázcích (GIF, JPEG) z důvěryhodných serverů jakékoliv nedůvěryhodné moduly a rozšíření třetích stran obecně neaktualizovaný a zastaralý OpenSource 19
Provoz OpenSource aplikací Zdroj: http://www.stopthehacker.com 20
Provoz OpenSource aplikací Zdroj: http://www.stopthehacker.com 21
Provoz OpenSource aplikací neaktualizovaný OpenSource je velmi nebezpečný: otevřený kód je k dispozici, jakákoliv chyba je ihned známá chyby v otevřeném kódu jsou dobře zdokumentované útok je v případě, kdy je chyba otevřeně známá, velmi jednoduchý přes OpenSource aplikace vede přibližně 80 % útoků 22
Provoz OpenSource aplikací rady pro bezproblémový provoz OpenSource aplikací: pravidelné aktualizace (obzvláště bezpečnostní update) instalace pouze prověřených modulů od spolehlivých dodavatelů neusnadňujte útočníkům jejich práci: přejmenování defaultních adresářů používání prefixů databázových tabulek volba silných hesel 23
Bezpečnostní chyby webových stránek slabá hesla jednoduchá hesla jsou snadno odhadnutelná, účet je lehce napadnutelný, řešení nabízí explicitní vynucení silného hesla (určitá délka, speciální znaky) funkce SHA1, MD5 nejsou dostatečně silné pro ukládání hesel v nečitelné podobě využívat silnější kryptografick funkce (SHA-512), případně solit hesla 24
Bezpečnostní chyby webových stránek útok Full Path Disclosure (FPD) vyvolání standardní chybové hlášky skriptu (např. PHP) prozrazující cestu k uloženému skriptu na webovém serveru zjistit lze např.: skriptovací jazyk serveru, operační systém, přítomnost frameworku, databázový systém, volané funkce... útok lze vyvolat např. přetypováním parametru v URL, či formuláře např. na pole zabezpečení: kontrolovat vstupy zakázat vypisování chybových hlášek v ostrém prostředí 25
Bezpečnostní chyby webových stránek útok Cross-Site Scripting (XSS) využití neošetřeného vstupu k naručení webové stránky podstrčením vlastního (javascriptového) kódu možnost poškodit vzhled a funkčnost webové stránky, získat citlivé údaje nejnebezpečnější útok je přes persistentní skript (vložený do databáze), ovlivňující každého návštěvníka stránky zabezpečení důsledná kontrola uživatelských vstupů, escapování vypisovaného obsahu 26
Bezpečnostní chyby webových stránek útok SQL Injection využití neošetřeného vstupu a vložení vlastního kódu do databáze (modifikace SQL příkazu) možnost vyvolat databázové příkazy či uložit vlastní škodlivý (javascriptový) kód ovlivňující všechny návštěvníky (XSS) zabezpečení ošetřování uživatelských vstupů (escapování), využití databázových vrstev a knihoven (Active Record, ORM) 27
Bezpečnostní chyby webových stránek útok na souborové uložiště (FTP) v kombinaci se slabým heslem může být FTP snadno napadnutelné, lze vložit škodlivé skripty, viry, trojské koně... zabezpečení: omezit přístup na FTP (např. pouze na určité IP adresy) častá kontrola obsahu FTP kontrola obsahu nahrávaných FTP na malware 28
Bezpečnostní chyby webových stránek útok na neošetřené formuláře (SPAM) často veden pomocí robotů s cílem vytvořit e-mailový SPAM, či zavést zpětné odkazy na vlastní webové stránky zabezpečení: obrázková CAPTCHA (dnes již čitelná) jednoduchá otázka (např. Kolik je 5 + 3 ) využití JavaScriptu a skrytých formulářových prvků kontrola refereru, kontrola času otevření a zpracování 29
Výkonnostní otázky webových stránek neoptimalizované SQL dotazy (nevyužívané indexy, kartézský součin, nevhodná spojení, nesprávné vnořené dotazy) mnoho externích zdrojů (JavaScript, CSS) může zpomalovat načítání stránky komunikace s externími službami (např. CURL bez timeoutu) dlouho běžící skripty (60s, 5min) mohou narazit na omezení prostředí 30
Boj s nevyžádanou poštou podíl nevyžádané pošty (spamu) tvoří 95-98% veškeré e-mailové komunikace - tzn. z každých 100 obdržených zpráv je 95-98 nevyžádaných spamy spolknou víc energie než velkoměsto ročně přijde do e-mailových schránek 62 biliónů nevyžádaných zpráv. Rozesílání, prohlížení a mazání těchto mailů ročně stojí 33 miliard kilowatthodin energie. To je spotřeba velkoměsta s 2,4 miliónu lidí. (zdroj. www.onehelp.cz) spamy představují pro provozovatele e-mailových služeb reálně vynaložené náklady 31
Boj s nevyžádanou poštou SMTP protokol (definován v roce 1982) je s aktuálními modifikacemi využíván dodnes k filtrování nevyžádané pošty je tedy třeba použít prostředníka, který kontroluje obsah e-mailových zpráv - antispamový server lze použít i další nástroje, které rozšiřují schopnosti SMTP v boji proti spamu 32
Boj s nevyžádanou poštou jaké testy antispam provádí: Bayes - postupně porovnává jednotlivá slova zprávy se záznamy ve své databázi, která obsahuje milióny zaznamenaných slov s informací, jak často se slovo vyskytuje u jednoznačných SPAMů a naopak u jednoznačně žádaných zpráv. Bayes se sám průběžně učí z již testovaných zpráv Razor2, DCC, Pyzor - on-line ověřují otisk zprávy v externí databázi spamů IP/URL blacklist - on-line IP/URL blacklist další testy: AWL, test hlavičky, test slov (viagra, v1agra,...) 33
Boj s nevyžádanou poštou HAM - zprávy, které vyhovují antispamovým testům SPAM - zprávy, které nevyhověly antispamovým testům Poměr HAM / SPAM - 3 antispamové servery 34
Boj s nevyžádanou poštou jak se lze nevyžádané poště bránit: nevystavovat e-mailovou adresu na webových stránkách v čitelné podobě neprovádět registrace na neznámé služby / servery (případně mít na toto vyhrazenou e-mailovou schránku) psát e-mailové zprávy dle obecně platných zásad informovat správce dané podsítě (WHOIS) dostatečně zabezpečit formulář na odesílání e-mailových zpráv na webových stránkách neplést si marketing se spamem :-) 35
Den D investorská reality-show vysílaná na ČT1 výše investice od 200 000 Kč - 3 000 000 Kč projekty klientů účastnící se Dne D : projekt A) klient nás předem neinformoval o očekávané zátěži svých webových stránek projekt B) klient nás předem informoval o očekávané zátěži svých webových stránek 36
Jak vybrat vhodný webhosting? nabízený datový prostor vs. reálná potřeba garance poskytovaných služeb dostupnost služeb (reálná, nikoliv uváděná) technická podpora reference zálohování a obnova dat cena vs. očekávaná kvalita 37
Mohlo by vás zajímat... spolupracujeme s webovými studii i jednotlivými vývojáři nabízíme komplexní administrační rozhraní ONEadmin hostujeme projekty v každé fázi jejich životního cyklu jsme držiteli ocenění Nejlepší webhoster PHP+MySQL a Nejlepší firemní www stránky B2C provozujeme partnerský program ONEbit.cz (www.onebit.cz/partnersky-program/) hledáme do našeho týmu linuxového administrátora (kariera@onesolution.cz) 38
Poznamenejte si... www.onebit.cz www.nic.cz www.webhosting.info 39
Dárek pro vás :-) Webhosting ONEbit na zkušební období 3 měsíců zdarma Kód: 3964S-NB8YL-N4GMY Platnost kódu 24. 4. - 8. 5. 2013 Uvedený kód lze uplatnit přímo v průběhu objednávky. 40
Závěr Děkuji za pozornost! Dotazy? 41