Η μεγάλη ληστεία των dotorg domains (.org)

dotorg

τα λυπητερά νέα

Και νέο χτύπημα στο “ανοιχτό” διαδίκτυο… Αυτή τη φορά, ο μη κερδοσκοπικός οργανισμός Internet Society (ISOC) υπεύθυνος για τη διαχείριση/διάθεση των dotorg domains (.org) που διαχειρίζεται από το Public Interest Registry – PIR), αποφάσισε να το πουλήσει στην Ethos Capital, μια κερδοσκοπική ιδιωτική επιχείρηση, που δήλωσε ότι θα αυξάνει το κόστος των .org domains 10% κάθε χρόνο! Συνέχεια

Φιλοξενία Ιστοσελίδων. Shared ή VPS;

Web Hosting

Με την έννοια Web Hosting, αναφερόμαστε συνήθως στη φιλοξενία μιας ιστοσελίδας σε κάποιο server παρόχου υπηρεσίας hosting, στο διαδίκτυο. Οι πάροχοι hosting μας προσφέρουν γρήγορες συνδέσεις και αρκετό bandwith δικτύου για να εξυπηρετείται η σελίδα μας κανονικά και απρόσκοπτα online, με κάποιο αντίτιμο (ενοίκιο). Το πιο συνηθισμένο είδος web hosting, είναι το Shared (κοινό) hosting. Επίσης οι επαγγελματίες θα γνωρίζουν ίσως και το Dedicated hosting. Εδώ και χρόνια κυκλοφορούν και VPS / Virtual Servers hosting πακέτα, ενώ τελευταία έχουμε και το “τρέντυ” Cloud hosting. Όταν δεν γνωρίζουμε ακριβώς το τύπο hosting που ενοικιάζουμε, υποθέτουμε ότι είναι shared. Στην Πρίζα δουλεύουμε κυρίως με το shared hosting, προσφέροντας παράλληλα και VPS hosting πακέτα.

Shared Hosting

Shared Hosting πακέτο, σημαίνει ότι η σελίδα μας (και τα email αν έχουμε), θα φιλοξενούνται σε κάποιο server του παρόχου, μαζί με άλλες σελίδες. Όλοι οι πόροι του server αυτού μοιράζονται ανάμεσα στις σελίδες που φιλοξενεί. Μπορεί να είναι δεκάδες ή και εκατοντάδες ακόμα οι φιλοξενούμενες ιστοσελίδες σε ένα μόνο server, αναλόγως των διαθέσιμων πόρων. Ο χώρος επίσης που καταλαμβάνουμε στο server είναι συγκεκριμένος και αναλόγως του πακέτου hosting που έχουμε. Και ενώ μπορούμε να τον αναβαθμίσουμε, συνήθως στα shared hosting δε μπορεί να ξεπεράσει τα μερικές δεκάδες GB ανά σελίδα.

Το shared hosting είναι αρκετά σίγουρη λύση για ιστοσελίδες με μικρές απαιτήσεις και σχετικά μικρή-μέτρια επισκεψιμότητα. Πρακτική λύση και για όσους δεν γνωρίζουν τα τεχνικά καθόλου και θέλουν απλά μια φιλοξενία για τη σελίδα τους. Στο Shared Hosting ξενοιάζουμε γιατί η υποστήριξη του διακομιστή γίνεται από το πάροχο που έχει την αποκλειστική ευθύνη για τη καλή λειτουργία των υπηρεσιών που τρέχουν: web/mail/ftp/dns/κ.α. Αντίθετα μια ιστοσελίδα που θέλει αρκετούς πόρους σε μνήμη, cpu ή δίκτυο (επισκέψεις), πιθανότατα θα είχε τακτικά προβλήματα σε κάποιο shared περιβάλλον με μοιρασμένους πόρους. Συνήθως οι πάροχοι παρακολουθούν τι γίνεται στα hosting τους και ενημερώνουν όταν κάποια σελίδα “ξεφύγει” από τα λογικά-επιτρεπόμενα όρια, ενημερώνοντας για αναβαθμίσεις πακέτου ή μεταφορά σε άλλου τύπου hosting.

Στα “αρνητικά” του shared hosting, είναι η ασφάλεια. Πολλοί χρήστες σε server, ιστοσελίδες και email, σε συνδυασμό με πολλούς διαφορετικούς κώδικες σημαίνει μεγαλύτερο πεδίο δράσης για κακόβουλα τρίτα μέρη. Στην Πρίζα αν και έχουμε “σφίξει” την ασφάλεια των μηχανημάτων μας όσο γίνεται για να μην επηρεάζεται η πλήρη λειτουργικότητα των υπηρεσιών, δε μπορούμε να την εγγυηθούμε 100%. Όπως και κανένας άλλος πάροχος φυσικά.

VPS Hosting

VPS (Virtual Private Server) Hosting, εννούμε ένα πακέτο hosting με το οποίο ενοικιάζουμε κάποιο vps (virtual machine) για να φιλοξενήσουμε τη σελίδα μας ή ότι άλλο θέλουμε στο διαδίκτυο. Συγκεκριμένα, VPS λέμε τους εικονικούς server, οι οποίοι φιλοξενούνται σε κάποιο φυσικό server (host machine) μέσω κάποιας τεχνολογίας Virtualization, όπως το KVM, XEN, OpenVZ, κ.α. Ένα VPS είναι ανεξάρτητος server, αφού έχουμε δικαιώματα διαχειριστή (root) να κάνουμε ότι θέλουμε πάνω του. Οι πόροι του VPS δε μοιράζονται με άλλες σελίδες και ο χώρος που προσφέρεται στα πακέτα vps hosting μπορεί να είναι πολλές φορές δεκαπλάσιος(!) του αντίστοιχου πακέτου shared hosting.

Επίσης, ένα πακέτο vps είναι συνήθως πολύ φτηνότερο απ’ ότι ένα shared. Αυτό συμβαίνει γιατί δεν περιλαμβάνει έτοιμες υπηρεσίες όπως το shared hosting, ούτε default υποστήριξη των υπηρεσιών από το πάροχο. Η εγκατάσταση και υποστήριξη του VPS έρχεται ξεχωριστά και αφορά τις λειτουργίες του vps, το λειτουργικό του σύστημα καθώς και τυχόν προβλήματα στις υπηρεσίες web που τρέχουμε. Αν δεν έχουμε τεχνικές γνώσεις είναι σίγουρο ότι θα χρειαστούμε κάποιο πακέτο ή ad hoc υποστήριξη. VPS Hosting προτείνεται σε ιστοσελίδες με μεγάλες απαιτήσεις που δε θέλουν να μοιράζονται πόρους. Η που θέλουν καλύτερη ασφάλεια από αυτή που προσφέρει το shared. Και ενώ συμφέρει σαν κόστος hosting από οποιοδήποτε αντίστοιχο shared, πρέπει να συνυπολογίζουμε πάντα και τη συντήρηση. Σε περίπτωση που δεν μας καλύπτουν πια οι πόροι του vps πακέτου, μπορούμε πάντα να αναβαθμίσουμε σε κάποιο μεγαλύτερο πακέτο.

Dedicated Hosting

Dedicated hosting λέμε ένα πακέτο στο οποίο νοικιάζουμε ένα φυσικό server. Αντίστοιχα με το VPS έχουμε πλήρη πρόσβαση σε αυτό και οι πόροι του είναι αναλόγως πακέτου. Χρειαζόμαστε επομένως και τεχνικές γνώσεις ή κάποιο πακέτο συντήρησης. Απευθύνεται σε επιχειρήσεις κυρίως και επαγγελματίες με πολλές απαιτήσεις ή ερασιτέχνες που θέλουν να πειραματιστούν με τεχνολογίες, είτε virtualization, είτε web. Το κόστος του είναι αρκετά πιο αυξημένο από ένα vps.

Cloud Hosting

Cloud hosting είναι πακέτα που προσφέρουν shared χώρο μοιρασμένο σε πολλούς server. Στην ουσία είναι διάφορα vps σε πολλά host machines που όλα μαζί λέγονται cloud. Εκεί και μέσω διάφορων τεχνολογιών, δημιουργούνται shared πακέτα όχι σε ένα server αλλά διαμοιρασμένα σε πολλούς virtual ή physical host machines. Απευθύνονται κυρίως σε επιχειρήσεις με μεγάλο όγκο δεδομένων ή custom web εφαρμογές που θέλουν “απεριοριστους” πόρους. Σαν κόστος πλησιάζει τις τιμές του dedicated, αναλόγως πάντα του πακέτου.

Στην Πρίζα Hosting

Στην Πρίζα προσφέρουμε Shared και VPS Hosting. Στα shared πακέτα προσφέρουμε προσαρμόσιμο χώρo για απλές απαιτήσεις hosting, χωρίς τεχνικές σκοτούρες. Μπορείτε να διαβάσετε περισσότερα εδώ. Και έχουμε επίσης και πακέτα υποστήριξης για ιστοσελίδες σε WordPress + Drupal που μπορούν να συνδυαστούν με το hosting.

Τελευταία κάναμε διαθέσιμα και κάποια πακέτα VPS Hosting, για τα οποία μπορείτε να διαβάσετε εδώ. Τα VPS που προσφέρουμε είναι περιορισμένα σε αριθμό και unmanaged. Παραδίδονται με πρόσβαση ssh και κωδικούς διαχειριστή στο τεχνικό υπεύθυνο ή ιδιοκτήτη. Με ένα επιπλέον ετήσιο κόστος προσφέρουμε και πακέτο υποστήριξης για το VPS, ώστε να μένει συνέχεια ενημερωμένο το λειτουργικό και οι υπηρεσίες του, και να αντιμετώπιζονται έγκαιρα τα όποια προβλήματα μπορεί να προκύψουν. Ή μπορείτε να ζητήσετε ad-hoc υποστήριξη, όποτε χρειαστεί. Σημείωση. Η VPS υποστήριξη έρχεται χωριστά από την υποστήριξη για την ιστοσελίδα που μπορεί να φιλοξενείται στο VPS.

Όπως αναφέρθηκε, κάθε τύπος hosting εξυπηρετεί διαφορετικές απαιτήσεις. Αν θέλετε κάποια συμβουλή σχετικά με ποιο πακέτο hosting να επιλέξετε, μπορείτε να επικοινωνήσετε μαζί μας.

PHP 5.6 & 7.0 (updated)

PHP είναι η γλώσσα προγραμματισμού στην οποία είναι γραμμένες οι περισσότερες web εφαρμογές που φιλοξενούμε στα hosting μας. Το 90% περίπου, που περιλαμβάνει δημοφιλή CMS όπως τα WordPress, Drupal, Joomla, κ.α.

Ιστοσελίδες που κατασκευάστηκαν πριν τουλάχιστον πέντε χρόνια (είτε CMS, είτε custom κώδικες) λειτουργούν μόνο με παλαιές εκδόσεις php, καθώς υπάρχουν σοβαρές ασυμβατότητες. Τέτοιοι κώδικες δεν υποστηρίζονται επίσημα εδώ και καιρό, παρολ’ αυτά τρέχουν σε μεγάλος μέρος του διαδικτύου ακόμα. Σε ένα μικρό ποσοστό και στη Πρίζα.

Συγκεκριμένα, στις 31/12/2018 η επίσημη υποστήριξη από το php.net για την έκδοση php 5.6 (τελευταία της σειράς php5), έχει σταματήσει. Στις 10/01/2019 σταμάτησε και η επίσημη υποστήριξη για τη php7.0. Τέτοιες εκδόσεις χαρακτηρίζονται πλέον ως EOL(=End Of Life).

Στην Πρίζα, αυτές είναι ακόμα οι βασικές εκδόσεις που υποστηρίζουμε, χρησιμοποιώντας κάποια εναλλακτικά αποθετήρια για τις ενημερώσεις τους. Σύντομα όμως ακόμα και αυτή η εναλλακτική υποστήριξη τους σταματάει, οπότε μέχρι το φθινόπωρο του 2019, θα έχουμε μεταφερθεί στη πιο σύγχρονη, ασφαλή και γρήγορη, php 7.3.

Αυτό θα δημιουργήσει προβλήματα σε όσες ιστοσελίδες βασίζονται ακόμα σε παλιές εκδόσεις php, αλλά νομίζουμε ότι έφτασε η ώρα για αλλαγές σε αυτές. Η Πρίζα δεν είναι ο μοναδικός πάροχος που θα σταματήσει να τις υποστηρίζει, θα είναι γενικό στην αγορά των web hosting. Η συντήρηση του κώδικα της php5 επ’ αόριστον απαιτεί αρκετούς πόρους, καθιστώντας πολύ δύσκολο για οποιοδήποτε πάροχο να παρέχει ασφαλές hosting στις εκδόσεις αυτές…

Λύσεις υπάρχουν αλλά θα πρέπει να αναζητηθούν πριν τις αλλαγές :

  • Σε κάποιες περιπτώσεις CMS (WordPress, Joomla, Drupal), υπάρχει η δυνατότητα αναβάθμισης τους σε νεότερη, πιο σύγχρονη έκδοση.
  • Οι custom php ιστοσελίδες θα πρέπει, είτε να ενημερωθούν για να γίνουν συμβατές με την php7.3, είτε να ξαναγραφτούν από την αρχή, κατά προτίμηση σε κάποια εφαρμογή ή CMS ανοιχτού κώδικα, που θα παίρνει ενημερώσεις και δεν θα μένει “στάσιμη” για χρόνια.
  • Υπάρχει και η περίπτωση φιλοξενίας σε ξεχωριστό server που όμως δεν θα έχει ενημερώσεις ασφαλείας και το κόστος φιλοξενίας θα είναι αυξημένο μιας και θα λειτουργεί για λίγες ιστοσελίδες. Αυτή η λύση και πάλι δε μπορεί να είναι μόνιμη, θα πρέπει να θεωρηθεί ως μεταβατική περίοδο μέχρι να αναβαθμιστούν ή αλλαχτούν οι κώδικες.

Σελίδες που ενημερώνονται τακτικά, έχουν π.χ. υποστήριξη από εμάς ή αναβαθμίζονται τακτικά από τους διαχειριστές τους, δεν έχουν κανένα πρόβλημα και δε χρειάζεται να ανησυχούν για τις επερχόμενες αλλαγές.

Μετά το τέλος του καλοκαιριού του 2019, οι σελίδες που δεν είναι συμβατές με php7.3 θα σταματήσουν να λειτουργούν σωστά στους servers μας. Πιθανότερη ημερομηνία οριστικής μετάβασης στη νεότερη php 7.3, είναι η πρώτη εβδομάδα του Σεπτέμβρη 2019.

Για οποιαδήποτε πληροφορία/απορία σχετικά με συμβατότητα της ιστοσελίδας σας ή τις αλλαγές που ετοιμάζουμε, μπορείτε να επικοινωνείτε μαζί μας.

Τεχνικές αλλαγές στα hosting της Πρίζας

hosting

Στην Πρίζα hosting, Reloaded!

Το τελευταίο καιρό έχουμε προχωρήσει σε αρκετές αλλαγές ως προς την ασφάλεια και την απόδοση των (shared) hosting που κάνουμε, και κυρίως των ιστοσελίδων που φιλοξενούνται σε αυτά. Νέες ανοιχτές τεχνολογίες έχουν προστεθεί που βελτιώνουν την προστασία και την ταχύτητα των φιλοξενούμενων σελίδων. Επίσης δοκιμάζουμε συνεχώς antispam τεχνολογίες για να βελτιώνουμε τις υπηρεσίες email. Σε μια εποχή που τα δεδομένα και η επικοινωνία, δεν προστατεύονται όπως πρέπει από τις αρμόδιες αρχές και τους παρόχους, προσπαθούμε με τους πόρους που διαθέτουμε να ανταπεξέλθουμε σε κάθε καινούργια πρόκληση πάνω στην ασφάλεια και επικοινωνία στο internet.

Τι έχει αλλάξει;

Ενδεικτικά στο Web :

  • Προωθούμε το https με κάθε ευκαιρία. Όλα τα hosting πακέτα της Πρίζας έχουν δυνατότητα έκδοσης δωρεάν πιστοποιητικού ασφαλείας μέσω του Let’s Encrypt CA. Συντομα θα μείνει σα default επιλογή. οι μέρες του http τελειώνουν… ;-)
  • Με αφορμή το GDPR μειώσαμε τον όγκο των δεδομένων στα αρχεία καταγραφής (logs), φιλτράροντας άχρηστες εγγραφές και εσωτερικούς τυπικούς ελέγχους. Μειώσαμε ακόμα στο ελάχιστο δυνατό το διάστημα διατήρησης των δεδομένων αυτών. Διαβάστε για τα δεδομένα που διατηρούμε, στη Πολιτική Ιδιωτικότητας.
  • HTTP/2: με το πέρασμα σε ασφαλείς επικοινίες (https), ανοίγει ο δρόμος και για τεχνολογίες που βελτιώνουν την ταχύτητα απόκρισης των ιστοσελίδων. Το HTTP/2 που δοκιμάζουμε περίπου ένα χρόνο τώρα, έγινε επιτέλους διαθέσιμο σε όλους. Οι WordPress ιστοσελίδες που τρέχουν σε https θα δουν διαφορά με την εγκατάσταση και ενεργοποίηση πρόσθετων που εκμεταλλεύονται αυτή τη τεχνολογία. Με αντίστοιχα πρόσθετα ή custom κώδικα σε άλλα CMS, διαφορές στη ταχύτητα θα δουν όλ@ οι φιλοξενούμεν@.
  • Security headers. “Εκπέμπουμε” πλέον κάποια security headers, ενεργοποιημένα σε όλ@ς τους φιλοξενούμεν@ς. Συγκεκριμένα τα X-Frame-Options, X-XSS-Protection, X-Content-Type-Options και Referrer-Policy. Αυτά μπορούν να τροποποιηθούν αν χρειάζεται, με τις προεπιλογές που έχουμε βάλει να είναι αρκετά ασφαλείς. Δοκιμάστε τα headers της σελίδας σας εδώ, και επικοινωνήστε μαζί μας για βελτιστοποίηση τους.
  • και μερικές ακόμα πιο τεχνικές αλλαγές σε σχέση με το web caching σελίδων…

Αλλού στο web hosting :

  • Virtualmin Control Panel: Χρησιμοποιούμε τη τελευταία έκδοση του Virtualmin CP για τα shared hosting. Πρόκειται για ένα απλό και “ευθύ” control panel ανοιχτού κώδικα, που δε μπλέκει στα πόδια σας. Εύκολη πλοήγηση και διαθέσιμη αναζήτηση για τη λειτουργία που ψάχνετε.
  • Στην email υπηρεσία, προτιμάμε κρυπτογραφημένες TLS συνδέσεις με όλους τους email servers που επικοινωνούμε. Επίσης προτείνουμε ασφαλείς συνδέσεις και για τους email clients. Οδηγίες για ασφαλείς συνδέσεις με το email σας στην Πριζα μπορείτε να δείτε εδώ.
  • Webmail: Τρία διαφορετικά webmail διαθέσιμα κεντρικά στο stinpriza.org domain, που συντηρούνται από εμάς και λειτουργούν με όλα τα hosting μας. Usermin, Roundcube και -πειραματικά- το Rainloop. Διαβάστε περισσότερα εδώ.
  • και ακόμα ενημέρωση σε υφιστάμενα email antispam φίλτρα και προσθήκη νέων antispam τεχνολογιών.

WordPress / Drupal

Στην Πρίζα δουλεύουμε περισσότερο με WordPress & Drupal ιστοσελίδες και εκεί κυρίως επικεντρώνουμε και τις προσπάθειες βελτίωσης του web hosting μας. Ιστοσελίδες με αυτά τα δημοφιλή CMS θα βρουν εγκατεστημένες πολλές χρήσιμες τεχνολογίες σε σχέση με την ασφάλεια και απόδοση τους. Κάποιες από αυτές αναφέρονται και παραπάνω. Ενδεικτικά στο Drupal : memcached, redis, drush εγκατεστημένο και συμβατό με D6-D7-D8 , composer, fail2ban integration. Στο WordPress : memcached, redis, wp-cli, fail2ban integration, εύκολη εγκατάσταση vanilla WordPress μέσω του control panel. Επίσης: προστασία σημαντικών php αρχείων  (wp-config.php & xmlrpc.php) καθώς και των version control φακέλων (.git, .svn) σε επίπεδο web server.

Πληροφορίες Host(s)

Ο κύριος hosting server (cacofonix), τρέχει μια πλήρως ενημερωμένη σταθερή έκδοση Linux λειτουργικού συστήματος 64bit. Όλες οι υπηρεσίες/λογισμικό που χρησιμοποιούμε είναι ανοιχτού κώδικα (open source). Εγγυημένο ετήσιο uptime 99,3%. Βρίσκεται σε data center στη Γερμανία, με πολύ καλό latency εντός ΕΕ.

Καλά όλα αυτά, αλλά το “τάδε” το παρέχετε; και πόσο κοστίζουν;

Για περισσότερες πληροφορίες, τιμές, αλλά και τεχνικές απορίες σχετικά με τα πακέτα hosting της Πρίζας, μπορείτε να επικοινωνήσετε μαζί μας.

Συμβουλές ασφαλείας για τις ιστοσελίδες

ssl

Ασφάλεια;

Δυστυχώς το διαδίκτυο δεν έρχεται μόνο με τα καλά του στοιχεία (επικοινωνία, γνώση, κ.α.), αλλά πολύ συχνά χρησιμοποιείται από κακόβουλους για χειραγώγηση δεδομένων, υποκλοπή προσωπικών στοιχείων, περίεργες διαφημίσεις, πορνό και ένα σωρό ακόμα. Έτσι, συνήθεις στόχοι είναι οι ιστοσελίδες σαν μόνιμοι πομποί μετάδοσης κακόβουλων προγραμμάτων. Πολύ συχνά διάφορα bots ελέγχουν τις σελίδες ψάχνοντας για εύκολη πρόσβαση και τρύπες ασφαλείας στο λογισμικό, που θα τους επιτρέψει να πάρουν τον έλεγχο της σελίδας και να δημοσιεύσουν κακόβουλο κώδικα. Συνήθως ο κακόβουλος κώδικας θα μεταδοθεί σαν ιός ή διαφημιστικά μηνύματα στους επισκέπτες της σελίδας.

Τι κάνουμε;

Καταρχάς ξεκινάμε από τα πολύ βασικά :

  • Επιλέγουμε δυνατούς κωδικούς στους χρήστες και ειδικά στους διαχειριστές της σελίδας. Τουλάχιστον 8 χαρακτήρες. Επίσης αποφεύγουμε να χρησιμοποιούμε τα προεπιλεγμένα usernames (admin, administrator ή παρόμοια). Έτσι καλυπτόμαστε κατά ένα πολύ καλό ποσοστό από τις λεγόμενες brute force επιθέσεις που προσπαθούν να βρουν κωδικούς και να αποκτήσουν πρόσβαση στις σελίδες.
  • Χρησιμοποιούμε SSL (https) για κρυπτογράφηση στην επικοινωνία μας με τη σελίδα. Πέρα από τους ποικίλους λόγους ιδιωτικότητας που προσφέρει, μπορεί να μειώσει αρκετά και τα ποσοστά επιθέσεων, αφού γίνεται πάρα πολύ δύσκολο για τρίτα μέρη (κακόβουλους, bots, υπηρεσίες) να υποκλέψουν ευαίσθητα στοιχεία, όπως κωδικούς. Η κρυπτογράφηση πάντα εξαρτάται και από τις ρυθμίσεις που κάνουμε, οπότε να είστε προσεκτικοί εφαρμόζοντας τη κρυπτογράφηση στη σελίδα σας. Υπάρχουν διάφορα ssl test για να την ελέγξετε όπως το Qualys, το ssl-tools.net κ.α.
  • Κάνουμε συχνά τις ενημερώσεις πυρήνα, προσθέτων και θεμάτων της ιστοσελίδας μας. Ειδικά τις ενημερώσεις ασφαλείας, αφού αυτές είναι που υποδεικνύουν αδύναμα σημεία της σελίδας και όσο δεν αναβαθμίζεται, μένει εκτεθειμένη σε στοχευμένες επιθέσεις. Οι Διαχειριστές/ριες των ιστότοπων πρέπει να ελέγχουν συχνά τις διαθέσιμες ενημερώσεις των σελίδων.
  • Χρησιμοποιούμε antispam και security plugins που μπορούν να παρακολουθούν την “υγεία” των αρχείων της σελίδας -μέσω checksums-, και να μας ειδοποιούν για οτιδήποτε “στραβό”. Υπάρχουν πολλές έτοιμες λύσεις, αναλόγως το κώδικα της σελίδας, ψάχνουμε στα διαθέσιμα plugins για τις αντίστοιχες που μας ταιριάζουν.
  • Προτιμάμε ελεύθερο λογισμικό ή λογισμικό ανοιχτού κώδικα για τις ιστοσελίδες μας (π.χ. WordPress, Drupal, Joomla). Τα περισσότερα ελεύθερα λογισμικά ελέγχονται τακτικά, από πολύ και διαφορετικό κοινό για την ασφάλεια τους επειδή ακριβώς είναι ανοιχτά. Ο κώδικας τους είναι διαθέσιμος σε οποιονδήποτε για review (security & μη), και αυτό από μόνο του είναι μια εγγύηση. Αντίθετα με τα κλειστού κώδικα λογισμικά που συνήθως το μοναδικό security audit που βγάζουν στη δημοσιότητα, είναι το δικό τους εσωτερικό. Κάποια δεν έχουν καν περάσει κάποιο security audit που να γνωρίζουμε. Χωρίς όμως διαφάνεια, πως να εμπιστευτούμε ότι μας λένε την αλήθεια;
  • Οι υπολογιστές μας ή ότι συσκευές χρησιμοποιούμε για είσοδο στην ιστοσελίδα, να διατηρούνται ενημερωμένοι και με κάποιου είδους antivirus (αν έχουμε εγκατεστημένο κάποιο κλειστό λειτουργικό σύστημα. Δεν έχει νόημα να έχουμε πάρει όλα τα παραπάνω απαραίτητα μέτρα για την ασφάλεια της ιστοσελίδας μας, και δεν έχουμε φροντίσει για την ασφάλεια των ίδιων των συσκευών που τις διαχειρίζονται.

Από κει και πέρα;

Η ασφάλεια, δυστυχώς δεν είναι one-time ασχολία. Θέλει έρευνα και έλεγχο, σε κάθε αλλαγή και αναβάθμιση που κάνουμε. Χρειάζεται μια σφαιρική γνώση των απειλών, αλλά κυρίως της ίδιας της σελίδας μας. Να γνωρίζουμε τι περιέχει και για ποιο λόγο. Να μη διατηρούμε άχρηστο κώδικα (plugins/themes/libraries) που δε χρησιμοποιούμε. Ελέγχουμε τις δυνατότητες των χρηστών του ιστότοπου και πιθανά σενάρια για απώλεια/υποκλοπή των κωδικών ή των email τους. Επομένως και ένα εύκολο σύστημα για αλλαγή των κωδικών μας. Επίσης αν υπάρχει δυνατότητα, ελέγχουμε οι ίδι@ την ασφάλεια με διάφορα εργαλεία ανοιχτού κώδικα που υπάρχουν διαθέσιμα, όπως το nmap, κα. Προβλήματα ασφαλείας σχετίζονται και με το performance της σελίδας ορισμένες φορές. Πολύ αργά scripts που καθυστερούν τη σελίδα, μπορούν και να τη “ρίξουν” τελείως.  Κοιτάμε τα logs του web server για λάθη στη σελίδα και τα επιδιορθώνουμε.

Τακτικά backups τοπικά και απομακρυσμένα αν είναι δυνατόν, για να μπορέσουμε σε περίπτωση μόλυνσης από malware, να επιστρέψουμε σε προηγούμενη “υγιή” κατάσταση. ΠΟΛΥ ΒΑΣΙΚΟ!!!

*ΣΤΗΝ ΠΡΙΖΑ SPOILER*

Στην Πρίζα προσέχουμε όσο μπορούμε την ασφάλεια όλων των φιλοξενούμενων ιστοσελίδων. Τακτικά backups και καθημερινό έλεγχο για malware σε όλες τις ιστοσελίδες. Όταν αναλαμβάνουμε και την βασική υποστήριξη μιας σελίδας, αυτό περιλαμβάνει και κάποια εξτρά μέτρα προστασίας. Ένα από αυτά (fail2ban integration) μπορεί εύκολα να ενσωματωθεί σε wordpress/drupal/roundcube ιστοσελίδες ώστε να αποτρέπει τις συχνότατες brute force επιθέσεις. (χωρίς κανένα εξτρά κόστος στο hosting). Το SSL (https) αν δεν είναι ήδη ενεργοποιημένο, μπορείτε να το ενεργοποιήσετε μέσα από control panel πολύ εύκολα.

Σημείωση

Αυτό δεν είναι ολοκληρωμένος οδηγός ασφαλείας και καλύπτει κάποια λίγα βασικά πράγματα με μερικές χρήσιμες συμβουλές. Υπάρχουν εξειδικευμένες υπηρεσίες που κάνουν αναλυτικά security audits και μπορούν να δώσουν ολοκληρωμένες λύσεις. Επίσης μπορείτε να βρείτε πάρα πολλές πηγές στο διαδίκτυο για να κάνετε τη δική σας έρευνα σχετικά.

 

Κυβερνήσεις κλείνουν την πρόσβαση στο διαδίκτυο

διαδίκτυο

Το διαδίκτυο είναι το μαζικότερο μέσο επικοινωνίας/ ενημέρωσης που έχουμε δει μέχρι σήμερα. Το δυνατό του σημείο όμως είναι ότι υπό προϋποθέσεις, μπορεί ο καθένας/μία να γίνει πομπός, η πηγή της ενημέρωσης. Αυτό το σημείο είναι που φοβίζει κυβερνήσεις ανά τον κόσμο και προσπαθούν να το περιορίσουν ή κλείσουν τελείως.

πως κλείνεις το διαδίκτυο?

Το διαδίκτυο μεταξύ άλλων στηρίζεται στην υποδομή (τηλεφωνικό δίκτυο, κεντρικοί κατανεμητές, Πάροχοι, κλπ) και στην ονοματοδοσία (Domain Name Service ή DNS). Η υποδομή αφορά όλα τα αφανή συστήματα που συνδέουν τον υπολογιστή μας με τον πάροχο μας, τους παρόχους με τον κεντρικό κρατικό πάροχο, αυτόν με τη σειρά του με τον γειτονικό κρατικό πάροχο, κλπ. Η ονοματοδοσία, αφορά τα domain names, πχ stinpriza.org, την κατοχύρωσή τους και την σωστή αντιστοίχηση όνομα domain με ip του server που φιλοξενείται.

Και τα δύο είναι κεντρικά, ιεραρχικά συστήματα, που αρκεί να κλείσουν μερικοί “διακόπτες” για να απενεργοποιηθούν. Για  παράδειγμα, ο κρατικός φορέας που διαχειρίζεται την υποδομή ή τα .org ονόματα, μπορεί να τα απενεργοποιήσει. Αυτή είναι και η χειρότερη εκδοχή. Αυτή είναι συνήθης πρακτική σε χώρες όπως το Ιράν, η Τουρκία, η Σαουδική Αραβία και το Μαρόκο. Ενδεικτικά το 2016 κυβερνήσεις “έκλεισαν” το διαδίκτυο για παραπάνω από 50 φορές παγκοσμίως.

Ολοκληρωτική είναι και η κατάσταση στην Κίνα, όπου δεσπόζει το Great FireWall. Firewall είναι ένα λογισμικό προστασίας ενός υπολογιστή ή δικτύου υπολογιστών, που μεταξύ άλλων μπορεί να μπλοκάρει πρόσβαση προς τα έξω ή προς τα μέσα. Το Great FireWall μπλοκάρει την πρόσβαση σε μια μεγάλη λίστα ιστοσελίδων, εφαρμογών και υπηρεσιών, όπως και τις αναζητήσεις συγκεκριμένων λέξεων κλειδιών στο διαδίκτυο. Είναι η λογοκρισία στη χείριστη μορφή της.

Στο δυτικό κόσμο, τέτοιες κινήσεις είναι ποιο εκλεπτυσμένες, με χειρότερη την πρόσφατη απόφαση για το σπάσιμο της ουδετερότητας στις ΗΠΑ. Άλλα και στην Ευρωπαϊκή Ένωση έχουμε περιπτώσεις καταστολής, όπως το κλείσιμο ιστοσελίδων (πχ γερμανικό indymedia Linksunten ).

τι μπορούμε να κάνουμε?

Υπάρχουν τεχνικές λύσεις, που λίγο έως πολύ μπορούν να παρακάμψουν τέτοιες πρακτικές. Ίσως το καλύτερο θα ήταν η ριζική αλλαγή του διαδικτύου σε ένα αποκεντρωμένο, ώστε να μην υπάρχει κεντρικός ελεγκτής που μπορεί να το κλείσει, ή λογοκρίνει. Μέχρι τότε, καλό είναι να επιλέγουμε μέσα που σέβονται τις ελευθερίες μας, την ανωνυμία μας, είναι αποκεντρωμένα και βασίζονται σε ελεύθερο λογισμικό. Αυτές οι λύσεις σίγουρα δεν περιλαμβάνουν εταιρίες κολοσσούς που ζουν από προσωπικά δεδομένα.

Ασφαλής αναζήτηση στο διαδίκτυο

ασφαλής αναζήτηση

Αναζήτηση στο διαδίκτυο

Η αναζήτηση είναι βασικό στοιχείο του διαδικτύου και ίσως το πιο σημαντικό στη διαμόρφωση του internet όπως είναι σήμερα. Στις αρχές του, αν δεν ήξερες τη διεύθυνση (url) της σελίδας που ήθελες, δεν υπήρχε τρόπος να τη βρεις ψάχνοντας. Σύντομα εμφανίστηκαν οι πρώτες μηχανές αναζήτησης που με τα search bots τους μάζευαν πληροφορίες απ’ όλο το διαδίκτυο καθημερινά. Η ίδια πρακτική εξακολουθεί και σήμερα. Μιλάμε για ένα τεράστιο “ευρετήριο” δεδομένων απ’ όλο το πλανήτη, για όλα τα θέματα. Μία από τις πολλές μηχανές αναζήτησης που υπάρχουν, είναι και η google που τελικά έχει επικρατήσει στην αγορά αυτή. Ακολουθεί η μηχανή αναζήτησης bing της Microsoft, και άλλες εμπορικές. Συνήθως αυτές οι μηχανές έρχονται προ εγκατεστημένες στους browser και τις ηλεκτρονικές συσκευές μας (κινητά, laptop, κ.α.).

Εδώ και κάμποσα χρόνια δοκιμάζοντας μηχανές αναζήτησης, έχουμε καταλήξει ότι στο κομμάτι της ασφάλειας και της ιδιωτικότητας των χρηστών τους, τα στοιχεία είναι απογοητευτικά. Όλες οι αναζητήσεις μας στις μεγάλες μηχανές αναζήτησης πάνε σε κάποιο κέντρο επεξεργασίας δεδομένων και πουλιούνται σε διαφημιστικές εταιρείες και “τρίτους” για χτίσιμο του προφίλ του καθενός μας. Πολλές φορές μάλιστα χειραγωγούνται τα αποτελέσματα των αναζητήσεων μας. Δυστυχώς το “1984” το ζούμε εδώ και καιρό και δεν είναι επιστημονική φαντασία.

Οι Εναλλακτικές

Σαν μια καλή εναλλακτική για τη προστασία της ιδιωτικότητας μας, προτείνουμε τη χρήση διαφορετικών μηχανών ή μετά-μηχανών αναζήτησης, όπως το startpage (by ixquick) ή το DuckDuckGo. Οι μέτα-μηχανές ψάχνουν σε άλλες μηχανές αναζήτησης και μας φέρνουν τα αποτελέσματα όλων, λειτουργώντας σαν μεσάζοντας. Μηχανές όπως οι παραπάνω που σέβονται την ιδιωτικοτητά μας, δεν μοιράζονται τα προσωπικά μας στοιχεία με τις άλλες μηχανές αναζήτησης.

searx

Στην Πρίζα δοκιμάσαμε μια μετά-μηχανή αναζήτησης που δίνει έμφαση στην ιδιωτικότητα, είναι ανοιχτού κώδικα & διαθέσιμη σε όλους να εγκαταστήσουν, το searx. Το searx ψάχνει μέσα από ~70 διαφορετικές μηχανές αναζήτησης και φέρνει αποτελέσματα ανα κατηγορίες. Μπορεί να μπει και στο browser για απευθείας αναζήτηση από την address bar. Υπάρχει επίσης η δυνατότητα proxy, που μεσολαβεί όταν βλέπουμε εικόνες και βίντεο, ώστε να μην δίνετε στοιχεία σας στη μηχανή αναζήτησης, ή στη σελίδα που φιλοξενεί την εικόνα. Υπάρχουν πολλά δημόσια searx instances και μπορείτε να επιλέξετε όποιο θέλετε για τις αναζητήσεις σας.

Στην Πρίζα searx

Στην Πρίζα αποφασίσαμε να σηκώσουμε και μεις ένα δημόσιο searx instance, που μπορείτε να βρείτε στη διεύθυνση https://search.stinpriza.org. Δεν θα δείτε διαφημίσεις ή περίεργους trackers. Δεν κρατάμε logs στο searx, και δεν υπάρχει καμία παρέμβαση μας στα αποτελέσματα. Στη σελίδα, πέρα από το γραφιστικό (custom priza theme), έχουν γίνει και ορισμένες ρυθμίσεις στις προεπιλογές μηχανών αναζήτησης που χρησιμοποιεί το searx instance. Έχετε φυσικά επιλογή να αλλάξετε αυτές τις ρυθμίσεις μέσα από τη σελίδα “preferences”/”προτιμήσεις”, με χρήση cookies.

Το search.stinpriza.org προσφέρεται όπως είναι. Η Πρίζα έχει αναλάβει να αναβαθμίζει το λογισμικό στις νέες εκδόσεις του, αλλά πέρα από αυτό δεν προσφέρει κάποιου είδους ειδικής υποστήριξης γι’ αυτό. Παρόλ’ αυτά, αν σας ενδιαφέρει μια εγκατάσταση searx σε δικό σας server, μπορείτε να επικοινωνήσετε μαζί μας για λεπτομέρειες.

Στην Πρίζα Cloud

nextcloud

Το “cloud”

Τα τελευταία χρόνια δοκιμάζουμε στη Πρίζα το owncloud. Το owncloud είναι μια web εφαρμογή που μπορεί να αποθηκεύσει δεδομένα χρηστών όπως αρχεία, επαφές, ημερολόγιο, έγγραφα, κ.α. στο “cloud”. Το cloud δεν είναι -άλλη- μια αφηρημένη “πιασάρικη” έννοια που μας πέταξαν οι τεχνολογικοί γίγαντες για λόγους marketing, αλλά με απλά λόγια,  ένα σύνολο υπηρεσιών που μοιράζονται σε ένα ή περισσότερα φυσικά μηχανήματα-διακομιστές(servers), συνδεδεμένα στο διαδίκτυο. Επομένως δεν είναι κάτι περίεργο, είναι απλά online “χώρος” προς ενοικίαση.

Owncloud/Nextcloud

Το Owncloud έφερε την “επανάσταση” απέναντι στους γίγαντες του cloud (amazon, microsoft, google, κ.α.), αφού ήταν η πρώτη  αντίστοιχη ανοιχτού κώδικα (open source) εφαρμογή. Από τα πρώτα του χρόνια μέχρι σήμερα, έχει υποστεί πάρα πολλές βελτιώσεις και διορθώσεις, και έχει εξαπλωθεί γενικά. Πολλές μικρές επιχειρήσεις και οργανώσεις, που δεν έχουν την οικονομική άνεση να πληρώνουν τα ποσά που ζητάνε οι “μεγάλοι” του cloud, το έχουν εκτοξεύσει ως μια από τις πιο δημοφιλείς προτάσεις cloud. Το τελευταίο χρόνο υπήρξε μια διαφωνία σχετικά με τη πολιτική του Owncloud Foundation που διαχειρίζεται την ανάπτυξη και προώθηση του Owncloud, κάτι που κατέληξε σε “διάσπαση” του. Από τη διάσπαση αυτή προέκυψε το Nextcloud που συνεχίζει με διαφορετική πολιτική πάνω στο αρχικό Owncloud. Επειδή στην Πρίζα συμφωνούμε περισσότερο με το Nextcloud, μετατρέψαμε πριν μερικούς μήνες την Owncloud εγκατάσταση μας, σε Nextcloud. Μπορείτε να διαβάσετε τις δυνατότητες του nextcloud αναλυτικά εδώ.

Nextcloud στην Πρίζα

Το Nextcloud στην Πρίζα, προσφέρει λύσεις για πρόσωπα, αλλά και για επαγγελματίες/επιχειρήσεις. Online αποθήκευση & διαχείριση : ημερολογίων, επαφών, αρχείων, εγγράφων, φωτογραφιών, αγαπημένων συνδέσμων (bookmarks), νέων μέσω rss, αποθήκευση sms και σημειώσεων (notes). Όλα αυτά είναι διαχειρίσιμα μέσω desktop & mobile εφαρμογών, που είναι ευρέως διαθέσιμα και απλά στη χρήση. Προσφέρουμε πακέτα 5G & 10G, αλλά και σύνθετες λύσεις για μικρά γραφεία/οργανώσεις/ομάδες κτλ. Σε μια προσπάθεια να προωθήσουμε τις open source λύσεις που υπάρχουν εκεί “έξω”, προσφέρουμε δοκιμαστική περίοδο ενός μήνα για το nextcloud της Πρίζας. Μπορείτε να επικοινωνήσετε μαζί μας για περισσότερα.

Spam: Στοιχεία & Τρόποι που τα αντιμετωπίζουμε

Monty Spam

Εμφάνιση spam

Πολλές φορές γινόμαστε αποδέκτες μηνυμάτων που μας ζητούν να κάνουμε κάτι με τα spam που εμφανίζονται στο Inbox. Tα spam δεν είναι καθόλου εύκολη υπόθεση, καθώς καθημερινά διακινούνται δισεκατομμύρια από αυτά. Σύμφωνα με έρευνες τα μισά και ίσως περισσότερα (50-55%) από τα email που διακινούνται καθημερινά, είναι ανεπιθύμητη αλληλογραφία, δηλαδή Spam.

Τρόποι Αντιμετώπισης – Διαδικασία αποστολής-παραλαβής email

Οι τρόποι αντιμετώπισης τους, είναι ποικίλοι και αρκετοί. Στο server της Πρίζας έχουμε κάνει αρκετά για να μπλοκάρουμε τους spam αποστολείς και συνεχώς προσπαθούμε να βελτιώνουμε τα φίλτρα μας, ώστε να μη περνάει ανεπιθύμητη αλληλογραφία, όσο το δυνατόν καλύτερα. Η διαδικασία ενός email (αποστολή-παραλαβή) ειναι σχετικά απλή. Ένα παράδειγμα: Ο Αντώνης με το email antonis@gmail.com θέλει να επικοινωνήσει με τη Σοφία που έχει το email sofia@stinpriza.org. ο Αντώνης γράφει το email στον υπολογιστή του, και όταν πατήσει “αποστολή”, αυτό επικοινωνεί με το email server του gmail που έχει το email του. το gmail ακολούθως επικοινωνεί με το email server του παραλήπτη που στη προκειμένη είναι ο email server της Πρίζας. Αυτός με τη σειρά του παραλαμβάνει το email και το παραδίδει στο γραμματοκιβώτιο της Σοφίας (mailbox). Η Σοφία μένει να πατήσει “παραλαβή” για να δει το μήνυμα στον υπολογιστή της. Στη διαδικασία αυτή παρεμβαίνουν πολλές φορές φίλτρα στους email server που δεν είναι πάντα εμφανή. Τα φίλτρα αυτά μπορεί να είναι έλεγχοι ταυτότητας (ότι υπάρχει το email του παραλήπτη στο server που παραδίδεται), έλεγχοι antivirus, και συνήθως αφορούν και antispam φίλτρα, αφού είναι ένα μόνιμο πρόβλημα για όλους τους διαχειριστές email. Τι από αυτά κάνουμε εμείς στη Πρίζα; Αναλυτικά:

Spamhaus RBL

Καταρχάς μπλοκάρονται όσες ip διευθύνσεις είναι δηλωμένες σε κάποιες αναγνωρισμένες λίστες με spammers παγκοσμίως τις οποίες έχουμε ενσωματώσει. Στην Πρίζα, χρησιμοποιούμε τη λίστα του spamhaus.org που είναι από τις πιο έγκυρες και με πολύ καλά ποσοστά μπλοκαρίσματος. ενδεικτικά χάρη στο spamhaus μπορούμε και γλυτώνουμε περίπου ~2000 spam μηνύματα καθημερινά που δεν φτάνουν ποτέ στους αποδέκτες, αφού μπλοκάρονται αρκετά πριν τη παράδοση του μηνύματος.

Recipient email check

Βασικός έλεγχος είναι και στο email του παραλήπτη. Αν πραγματικά υπάρχει. Ενδεικτικά, κόβονται 50-100 email ημερησίως που απευθύνονται σε μη υπαρκτά email.

Spamassassin Antispam

Στη Πρίζα χρησιμοποιούμε το spamassassin που αν και “βαρύ” πρόγραμμα, είναι απαραίτητο σε κάθε postmaster. το spamassassin έχει τη δυνατότητα να “εκπαιδεύεται” απο όσα email τοποθετούμε στο φάκελο spam που έχουμε στα γραμματοκιβώτια μας και έτσι να μην αφήνει spam του παρελθόντος που περάσαν, να ξαναπεράσουν. Αυτό είναι και το πιο δυνατό του σημείο, η εκπαίδευση των φίλτρων από τα ίδια τα email που λαμβάνουμε. επίσης εκεί μπορούμε και δηλώνουμε επαναλαμβανόμενους spammers σε μια δική του blacklist και έτσι να ξέρουμε ότι δε θα ξαναπεράσουν. επίσης το spamassassin είναι που αναγνωρίζοντας ένα email ως spam, αλλάζει το θέμα(subject) και προσθέτει ότι θέλουμε για να το δηλώσουμε στους χρήστες, π.χ.”*** SPAM ***”.

Clamav Antivirus

Οι πιο σπάνιες περιπτώσεις, μολυσμένα email με ιούς/malware. Στην Πρίζα, μπλοκάρουμε περίπου 3-4 τέτοια email τη βδομάδα με χρήση του Clamav Antivirus.

Greylisting

Η τεχνολογία του greylisting είναι αρκετά απλή. σε κάποιο email server που θα δούμε να επικοινωνεί για να παραδώσει σε μας ένα email, του απαντάμε ότι έχει γίνει greylisted και να ξαναεπικοινωνήσει μετά από 10′. οι περισσότεροι “κανονικοί” email servers, θα ξαναπροσπαθήσουν να παραδώσουν το μήνυμα (και να πάρουν απάντηση οκ για τη παραλαβή από εμάς) μέχρι και για αρκετές μέρες μετά την αποστολή του. Αντίθετα, πολλά spam bots, συνήθως δεν προσπαθούν να το ξαναστείλουν, απλά στέλνουν ασταμάτητα email, μία φορά το καθένα. έτσι με το παραπάνω απλό κόλπο, γλυτώνουμε περίπου 60-70 spam καθημερινά.

 

Προηγούμενες αναφορές στη σελίδα μας για spam :

Spam: 39 χρόνια ανεπιθύμητη αλληλογραφία

Κίνδυνοι των spam emails