W komentarzu do mojej notki pt. Plummet Cezary zasugerował mi, bym przesiadł się na Dreamhost. Przez dłuższą chwilę się nad tym zastanawiałem, ostatecznie wybrałem easyspeedy.com z Danii.
DziÅ› jednak siÄ™ okazaÅ‚o, że Dreamhost ma poważny problem z trzymaniem w ryzach swojego bezpieczeÅ„stwa. Z tego co krąży po sieci [1][2][3] i co można przeczytać na ich stronie jakimÅ› “cudem” wyciekÅ‚o im 3500 hasÅ‚em FTP. RozesÅ‚ali po wszystkich klientach proÅ›bÄ™ o zmianÄ™ hasÅ‚a konta FTP.
JeÅ›li przypadkiem jesteÅ› klientem Dreamhost i znalazÅ‚eÅ› jakieÅ› dziwne pliki na swoim koncie, to już wiesz czemu. Podobna rzecz przytrafiÅ‚a siÄ™ Caydel’owi (post: Dreamhost leaks 3,500 FTP passwords).
Od razu się przyznaję, że kandydaturę DreamHosta wysunąłem pod względem ooolbrzymiej funkcjonalności (także pokrywającej Twoje zapotrzebowania) za przystępną cenę. Sam coś tam hostuję od paru miesięcy i mi się taki list nie dostał (nie zdążyli dotychczas zrobić mi krzywdy ;)). O, widzę, że właściwe źródło dla takich informacji, a nie spanikowani Internauci donosi, że problem dotyczy niewielkiej części hostingu dedykowanego (ja jestem współdzielony) i prawdopodobnie nie jest tylko sprawą zabezpieczeń serwera, a także użytkowników.
Swoją drogą, wnosząc po treści liście wysłanym do nathanr.ca, fajnie się dowiedzieć, że DreamHost ma przeszło 2300000 klientów (3500 = 0,15 % * total).
Nie znajdziesz ideału - wszędzie są jakieś smaczki. W moich doświadczeniach np. z polskim hostingiem z kolei bardzo często miałem za trudne (?) pytania i prośby odnośnie konfiguracji. Choć słyszałem plotkę, że kontakt z administracją DH jest trudny i powolny, to na razie wszystko rozwiązywało mi ich wiki. Niemniej powodzenia z easyspeady!
Próbowałem skomentować dłużej, ale Twój blog znielubił moje linki do źródeł w treści. Zażądał przepisania hasła z obrazka, którego nie wygenerował. Znikło mi i nie chce mi się tworzyć od nowa.
Powiem tylko, że 3500 klientów hostingu dedykowanego obdarowanych wspomnianym listem ostrzegawczym to 0,15 % ogółu (wychodzi około 2,3 miliona klientów, huh). Ja, jako klient DH, np. nie jestem zagrożony tym razem (i listu nie dostałem), choćby dlatego, że jestem na współdzielonym.
A ja za to widzÄ™ MichaÅ‚ na Twoim blogu dziwne znaczki, takie jak “1f63″ czy “1f80″ albo “0″ pod samÄ… stopkÄ….
Gdybys mogl troche bardziej sie zainteresowac tematem, np. podejrzec HTML i zobaczyc w jakich miejscach to wystepuje, bylbym wdzieczny.
Używam Firefoksa 2.0.4, pierwszy znaczek “1fed” mam w źródle nad “”. NastÄ™pnie “2124″ pod ostatnim linkiem w kategorii Blogi.PL. Kolejny “1c3e” pod tabelÄ… z kalendarzem. “2090″ pod tagami, wewnÄ…trz . I na samym koÅ„cu “0″ po zamkniÄ™tym znaczniku
Wycięło kod. Ten pierwszy jest nad DOCTYPE html
Dziwna sprawa. Cały czas się łącze przez serwer proxy i mam te znaczki, ale jak go wyłączę to one znikają.
Tylko tak się zastanawiam co to powoduje, bo sprawdzałem na swoim blogu i nie mam czegoś takiego.
@Cezary: Plotka. Support DH jest najlepszym, ze wszystkich z jakimi miaÅ‚em do czynienia. W panelu masz opcje nadawania priorytetu zgÅ‚oszeniom. Czas reakcji to z reguÅ‚y ok. kwadransa. Raz jeden zdarzyÅ‚o mi siÄ™ skorzystać z najwyższego (zatytuÅ‚owanego “OMG! EXTREME CRITICAL EMERGENCY! EVERYTHING’S BROKEN! People are DYING!!!”
) - odpowiedż nadeszła w kilkadziesiąt sekund po zgłoszeniu - coś było nie tak z serwerem na którym miałem bazę danych do konferencji, którą miałem prowadzic następnego dnia. Nie dość, że zajęli się awarią od razu, to postawili bazę na innym serwerze i przesłali aktualny zrzut. Fantastyczne podejscie do klienta.
A co do “wycieku” - jednym z celów tej firmy jest szczerość w stosunku do klienta (stÄ…d wÅ‚asnie pomysÅ‚ dreamhoststatus.com). Mysle, ze w wiekszosci firm hostingowych taka “wpadka” zostaÅ‚aby po prostu przemilczana.
Uh, chyba wyszedłem na ewangelistę DH
Pozdrawiam serdecznie
Ludwik
Racja z tym przemilczeniem, Ludwik. Webd.pl na polskim gruncie, wydaje się właśnie, że tak kilka dni temu zrobił. ;> Ten artykuł na cc-team.org o webd.pl jest ciekawy badawczo, bo można poznać, jakie hasła mają w zwyczaju ludzie tworzyć. Mimo próby zamazania (jedno w ogóle nie zamazane) daje się conieco wyczytać lub na podstawie znajomości języka lub innego wzorca autodokończyć. Nieszczęśliwie dla ofiar większość ma w zwyczaju na wszystkich forach, pocztach czy innych aplikacjach utrzymywać ciągłość tożsamości w postaci tego samego loginu z tym samym hasłem.
Poguglać można i się pologować 
choć oczywiście to drugie może być już naruszeniem prawa w jurysdykcji czytelnika (np. polskiej skąd pewnie większość pochodzi).
a ja wlasnie obrabiam /etc/shadow z jednego z serwerow DH …
PROMOCODE4POLAND daje 90$ znizki przy rejestracji w DREAMHOST…
milego uzywania
A