[emilv]

Citat:

Originally posted by danielos@Apr 19 2009, 22:56
Ok, jag får ta tillbaka påståendet om mod_security när det gäller cpanel, dock är det få webbhotell utöver Oderland och Qualitum Webbhotell som kör det skulle jag tro. Eller är det fler?

Vi gör det på Levonline. Det har hjälpt mot otaliga attacker, till exempel mot typiska PHP-skal (c99 etc), men även mot en del injektionsattacker.

[patrikweb]

Citat:

Originally posted by danielos@Apr 19 2009, 22:56
Ok, jag får ta tillbaka påståendet om mod_security när det gäller cpanel, dock är det få webbhotell utöver Oderland och Qualitum Webbhotell som kör det skulle jag tro. Eller är det fler?
Men vilka webbhotell kör en eller flera reverse proxy framför webbhotellsburkarna?
patrikweb, jag pratar inte om en proxy utan om en reverse proxy, skillnaden är väldigt stor. Här är lite läsning för den som är intresserad: http://en.wikipedia.org/wiki/Reverse_proxy

Jag vet vad det är, och hur många som kör det vet jag inte. Men finns ju inga tekniska problem med det för att du kör cpanel.

Jag kör det inte på vanliga webbhotell servrar utan är mer för kunder som vill ha lite mer redundans mot exempelvis olika VPS noder.

Handlar ju lite vad för tjänst folk vill ha och vad dom vill betala, i regel så kör man det för kunder som vill ha lite mer avancerade klusterlösningar där redundans och prestanda är viktigt i grunden.

Men i regel så gör inte en reverse proxy så mycket säkrare om den endast forwardar request rakt av och inte gör något extra.

[najk]

Citat:

Ursprungligen postat av emilv

Citat:

Vi gör det på Levonline.

Även vi kör mod_security, personligen ser jag det som ett måste.

Precis som patrikweb skriver handlar ju reverse proxy inte lika mycket om säkerhet så som hastighet och tillgänglighet. Ett dåligt kodat php skript skyddas knappast av en reverse proxy.

[Danielos]

Låter bra att det ändå verkar vara några webbhotell som kör mod_security, fast det finns en hel del som jag vet inte kör det (ska inte peka ut dom). Och visst är det som du säger, patrikweb, att det är ofta när man vill klustra lite där redundans och prestanda är viktigt i grunden, personligen tycker jag att vinsten med det är så pass stor, framför allt vad gäller prestanda att jag tycker att alla borde lägga in det på alla webbhotellkonton. Men om man har satt upp en reverse proxy i kombination med några andra saker så kan säkerheten även öka med detta.

[PRQ]

Inget som ar sakerhetskritiskt ska under nagra omstandigheter koras pa delad webhosting.
Man kan halla pa med hur mycket mod_security, PHP safe mode, reverse proxy, IDS, osv man vill men i slutandan ar i princip aldrig ett delat webhotell sakert. Sarskilt inte om det involverar PHP.
Mojligtvis att andra server-side-scriptsprak kan ge god sakerhet (sprak i stil med Java dar man har sakerhetsfunktioner och begransningar i vad scripten kan gora som en del i sjalva spraket/interpreteraren/exekveraren).

[Danielos]

Jag håller med dig PRQ, dock går det ju att köra separata php fast-cgi processer per konto, vilket ju ökar säkerheten en del, (dock inte många webbhotell som lär erbjuda detta) men det är klart, kör man vanlig kod som tex. forumkod som är relativt öppen för alla har man ju tillräcklig säkerhet om man åtminstone kan sätta in gårdagens backup, har man däremot en unik php kod som man borde haft patent på, eller känslig data i databasen, så är det ju definitivt ingen bra idé att ha den på ett vanligt webbhotell. Vem som helst på webbhotellet som hittar/gissar sig till databasinloggningen har ju fritt fram på localhost oftast.

[Jonas]

Jag vet ett svenskt webbhotell som kör alla script med samma användare, i en delad miljö.
Alltså, scripten ägs av www-user där Apache körs som www-user, safe_mode är påslaget men vad gör det för nytta i detta fall?

Inga namn nämnda...