W komentarzu do mojej notki pt. Plummet Cezary zasugerował mi, bym przesiadł się na Dreamhost. Przez dłuższą chwilę się nad tym zastanawiałem, ostatecznie wybrałem easyspeedy.com z Danii.
Dziś jednak się okazało, że Dreamhost ma poważny problem z trzymaniem w ryzach swojego bezpieczeństwa. Z tego co krąży po sieci [1][2][3] i co można przeczytać na ich stronie jakimś “cudem” wyciekło im 3500 hasłem FTP. Rozesłali po wszystkich klientach prośbę o zmianę hasła konta FTP.
Jeśli przypadkiem jesteś klientem Dreamhost i znalazłeś jakieś dziwne pliki na swoim koncie, to już wiesz czemu. Podobna rzecz przytrafiła się Caydel’owi (post: Dreamhost leaks 3,500 FTP passwords).
Od razu się przyznaję, że kandydaturę DreamHosta wysunąłem pod względem ooolbrzymiej funkcjonalności (także pokrywającej Twoje zapotrzebowania) za przystępną cenę. Sam coś tam hostuję od paru miesięcy i mi się taki list nie dostał (nie zdążyli dotychczas zrobić mi krzywdy ;)). O, widzę, że właściwe źródło dla takich informacji, a nie spanikowani Internauci donosi, że problem dotyczy niewielkiej części hostingu dedykowanego (ja jestem współdzielony) i prawdopodobnie nie jest tylko sprawą zabezpieczeń serwera, a także użytkowników.
Swoją drogą, wnosząc po treści liście wysłanym do nathanr.ca, fajnie się dowiedzieć, że DreamHost ma przeszło 2300000 klientów (3500 = 0,15 % * total).
Nie znajdziesz ideału - wszędzie są jakieś smaczki. W moich doświadczeniach np. z polskim hostingiem z kolei bardzo często miałem za trudne (?) pytania i prośby odnośnie konfiguracji. Choć słyszałem plotkę, że kontakt z administracją DH jest trudny i powolny, to na razie wszystko rozwiązywało mi ich wiki. Niemniej powodzenia z easyspeady!
Próbowałem skomentować dłużej, ale Twój blog znielubił moje linki do źródeł w treści. Zażądał przepisania hasła z obrazka, którego nie wygenerował. Znikło mi i nie chce mi się tworzyć od nowa.
Powiem tylko, że 3500 klientów hostingu dedykowanego obdarowanych wspomnianym listem ostrzegawczym to 0,15 % ogółu (wychodzi około 2,3 miliona klientów, huh). Ja, jako klient DH, np. nie jestem zagrożony tym razem (i listu nie dostałem), choćby dlatego, że jestem na współdzielonym.
@Cezary, jak widzisz znalazlem Twojego posta. Nic w przyrodzie nie ginie!
A ja za to widzę Michał na Twoim blogu dziwne znaczki, takie jak “1f63″ czy “1f80″ albo “0″ pod samą stopką.
@ddluk: w ten sposob wysylam czytelnikom impulsy do ich podswiadomosci.
Zauwazylem to na niektorych hostach, z ktorych ogladalem swojego bloga i wydaje mi sie ze moze byc to zwiazane z rodzajem przegladarki jakiej sie uzywa oraz polozeniem w sieci.
Gdybys mogl troche bardziej sie zainteresowac tematem, np. podejrzec HTML i zobaczyc w jakich miejscach to wystepuje, bylbym wdzieczny.
Używam Firefoksa 2.0.4, pierwszy znaczek “1fed” mam w źródle nad “”. Następnie “2124″ pod ostatnim linkiem w kategorii Blogi.PL. Kolejny “1c3e” pod tabelą z kalendarzem. “2090″ pod tagami, wewnątrz . I na samym końcu “0″ po zamkniętym znaczniku
Wycięło kod. Ten pierwszy jest nad DOCTYPE html
Dziwna sprawa. Cały czas się łącze przez serwer proxy i mam te znaczki, ale jak go wyłączę to one znikają.
@ddluk: tak tez podejrzewalem
Tylko tak się zastanawiam co to powoduje, bo sprawdzałem na swoim blogu i nie mam czegoś takiego.
@Cezary: Plotka. Support DH jest najlepszym, ze wszystkich z jakimi miałem do czynienia. W panelu masz opcje nadawania priorytetu zgłoszeniom. Czas reakcji to z reguły ok. kwadransa. Raz jeden zdarzyło mi się skorzystać z najwyższego (zatytułowanego “OMG! EXTREME CRITICAL EMERGENCY! EVERYTHING’S BROKEN! People are DYING!!!”
) - odpowiedż nadeszła w kilkadziesiąt sekund po zgłoszeniu - coś było nie tak z serwerem na którym miałem bazę danych do konferencji, którą miałem prowadzic następnego dnia. Nie dość, że zajęli się awarią od razu, to postawili bazę na innym serwerze i przesłali aktualny zrzut. Fantastyczne podejscie do klienta.
A co do “wycieku” - jednym z celów tej firmy jest szczerość w stosunku do klienta (stąd własnie pomysł dreamhoststatus.com). Mysle, ze w wiekszosci firm hostingowych taka “wpadka” zostałaby po prostu przemilczana.
Uh, chyba wyszedłem na ewangelistę DH
Pozdrawiam serdecznie
Ludwik
Racja z tym przemilczeniem, Ludwik. Webd.pl na polskim gruncie, wydaje się właśnie, że tak kilka dni temu zrobił. ;> Ten artykuł na cc-team.org o webd.pl jest ciekawy badawczo, bo można poznać, jakie hasła mają w zwyczaju ludzie tworzyć. Mimo próby zamazania (jedno w ogóle nie zamazane) daje się conieco wyczytać lub na podstawie znajomości języka lub innego wzorca autodokończyć. Nieszczęśliwie dla ofiar większość ma w zwyczaju na wszystkich forach, pocztach czy innych aplikacjach utrzymywać ciągłość tożsamości w postaci tego samego loginu z tym samym hasłem.
Poguglać można i się pologować 
choć oczywiście to drugie może być już naruszeniem prawa w jurysdykcji czytelnika (np. polskiej skąd pewnie większość pochodzi).
a ja wlasnie obrabiam /etc/shadow z jednego z serwerow DH …
PROMOCODE4POLAND daje 90$ znizki przy rejestracji w DREAMHOST…
milego uzywania
A