Tophost

[bad]

ultimamente non è trasparente? Come tu sei del parere che tophost sia molto ma molto trasparente, altri pensano e credono il contrario, perchè te la prendi tanto? Ognuno può dire e può pensare quello che vuole.. o sbaglio?

E' ovvio che ognuno può dire quello che vuole, e io difendo questo. Ma quello che dice deve anche essere confortato da qualche dato di fatto altrimenti lo dice solo per il gusto di dirlo.
Per esempio, a proposito di trasparenza degli ISP, perchè non discutiamo sull'ultimo punto che ti avevo proposto ? hai detto che ti sposti: vogliamo analizzare la trasparenza e la correttezza comunicativa di questi hoster che hai individuato ?

cos'è che ho detto "in difesa di tophost" dicendo questo ?

[corsinews]

ultimamente non è trasparente? Come tu sei del parere che tophost sia molto ma molto trasparente, altri pensano e credono il contrario, perchè te la prendi tanto? Ognuno può dire e può pensare quello che vuole.. o sbaglio?

E' ovvio che ognuno può dire quello che vuole, e io difendo questo. Ma quello che dice deve anche essere confortato da qualche dato di fatto altrimenti lo dice solo per il gusto di dirlo.
Per esempio, a proposito di trasparenza degli ISP, perchè non discutiamo sull'ultimo punto che ti avevo proposto ? hai detto che ti sposti: vogliamo analizzare la trasparenza e la correttezza comunicativa di questi hoster che hai individuato ?

cos'è che ho detto "in difesa di tophost" dicendo questo ?

Vedi che forse non mi hai compreso: io non mi sto spostando da tophost perla poca trasparenza ma per i down che ha settimanalmente che siamo sinceri, ormai sono diventati come il pane quotidiano! Ogni settimana ce n'è uno diverso di gravità e di tempo di risoluzione!
Poi ti correggo: io ho detto che tophost non si è dimostrata trasparente negli ultimi due down e non in tutti quelli successi! Non intendiamoci male....

[bad]

Vedi che forse non mi hai compreso: io non mi sto spostando da tophost perla poca trasparenza ma per i down che ha settimanalmente che siamo sinceri, ormai sono diventati come il pane quotidiano! Ogni settimana ce n'è uno diverso di gravità e di tempo di risoluzione!
 

Devi concordare però che se un provider non è  "trasparente" e non ha SLA contrattuali come fai a sapere se è affidabile o meno ? di Tophost sai (lo sai perchè te lo ha detto tophost) che ci sono stati dei down, diciamo 48 ore da inizio anno ? e quindi, giustamente, dici che per te non va bene.
Di Excom fino a febbraio che sapevi ? era affidabile ? la loro comunicazione com'era ?  e per esempio aruba.it è affidabile ? io ho alcuni siti con loro: qualcuno non ha avuto problemi uno è stato fermo 3 giorni, più o meno come tophost con la variante che non ho saputo nulla, nessun forum, nessun alert, niente. E dreamhost.com ? secondo te è affidabile ? che sai dei loro down passati ?

Voglio solo invitare a riflettere, tutto qua.

[corsinews]

Vedi che forse non mi hai compreso: io non mi sto spostando da tophost perla poca trasparenza ma per i down che ha settimanalmente che siamo sinceri, ormai sono diventati come il pane quotidiano! Ogni settimana ce n'è uno diverso di gravità e di tempo di risoluzione!
 

Devi concordare però che se un provider non è  "trasparente" e non ha SLA contrattuali come fai a sapere se è affidabile o meno ? di Tophost sai (lo sai perchè te lo ha detto tophost) che ci sono stati dei down, diciamo 48 ore da inizio anno ? e quindi, giustamente, dici che per te non va bene.
Di Excom fino a febbraio che sapevi ? era affidabile ? la loro comunicazione com'era ?  e per esempio aruba.it è affidabile ? io ho alcuni siti con loro: qualcuno non ha avuto problemi uno è stato fermo 3 giorni, più o meno come tophost con la variante che non ho saputo nulla, nessun forum, nessun alert, niente. E dreamhost.com ? secondo te è affidabile ? che sai dei loro down passati ?

Voglio solo invitare a riflettere, tutto qua.

Beh io aruba non l'ho mai provata. Excom si faceva sentire dapprima nel suo forum ma quando i moderatori e i tecnici hanno abbandonato l'azienda jan ha chiuso battenti e non si è fatto più sentire! Ma questo è un caso che adesso lasciamo alla giustizia (si spera). Ti posso solo dire che io essendo su East fino ad ora mi sto trovando benissimo soprattutto per quanto riguarda l'assistenza. Addirittura nei casi più gravi loro ti chiamano al telefono per informarti se qualcosa non va al tuo sito! Beh se questa non è trasparenza!  

[salvo89]

direi di finirla qui... non credete?

[bad]

Ti posso solo dire che io essendo su East fino ad ora mi sto trovando benissimo soprattutto per quanto riguarda l'assistenza. Addirittura nei casi più gravi loro ti chiamano al telefono per informarti se qualcosa non va al tuo sito! Beh se questa non è trasparenza!

Secondo me non lo è proprio per niente. La trasparenza è tutt'altra cosa. Oltretutto il provider che citi non mi pare certo un "mostro di correttezza", ne conosci la ragione sociale ? lo sai che l'articolo 10 del loro contratto non è aggiornato ed è contrario alle leggi vigenti ? hai notato che non hanno un'area pubblica dove comunicano gli alert ed i guasti ?  o pensi che non ne abbiano mai avuto uno ?  al momento hanno poco più di 200 siti (http://www.webhosting.info/webhosts/reports/total_domains/EASTITALY.IT) come pensi andranno quando ne avranno 2000 e 20000 e 200000 ?  

[corsinews]

Ti posso solo dire che io essendo su East fino ad ora mi sto trovando benissimo soprattutto per quanto riguarda l'assistenza. Addirittura nei casi più gravi loro ti chiamano al telefono per informarti se qualcosa non va al tuo sito! Beh se questa non è trasparenza!

Secondo me non lo è proprio per niente. La trasparenza è tutt'altra cosa. Oltretutto il provider che citi non mi pare certo un "mostro di correttezza", ne conosci la ragione sociale ? lo sai che l'articolo 10 del loro contratto non è aggiornato ed è contrario alle leggi vigenti ? hai notato che non hanno un'area pubblica dove comunicano gli alert ed i guasti ?  o pensi che non ne abbiano mai avuto uno ?  al momento hanno poco più di 200 siti (http://www.webhosting.info/webhosts/reports/total_domains/EASTITALY.IT) come pensi andranno quando ne avranno 2000 e 20000 e 200000 ?

stai parlando di east senza sapere niente di loro. east é solo il nome del sito nn il nome societario. fatture e servizi sono fatturate a nome di romanelli project. per l'area di supporto pubblica c'é il forum e la sezione "comunicazioni dello staff".oi nella tua ricerca sui domini registrati cn east ti sei sbagliato perché é eastitaly.com e non .it.

[corsinews]

bad,da amici,chiudiamola qui,xké mi sembra che stiamo andando oltre,tirando in ballo pure aziende come aruba,east eccc che sta discussione non c'entrano niente. ok?

[bad]

stai parlando di east senza sapere niente di loro. east é solo il nome del sito nn il nome societario. fatture e servizi sono fatturate a nome di romanelli project. per l'area di supporto pubblica c'é il forum e la sezione "comunicazioni dello staff".oi nella tua ricerca sui domini registrati cn east ti sei sbagliato perché é eastitaly.com e non .it.

Sul fatto che non so niente di loro hai ragione, li ho scoperti dopo che tu me ne hai parlato.
Anche tu però ignori la loro ragione sociale, o sbaglio ? che società sono ? srl, spa o magari una ditta individuale ?  nelle aree che hai detto non ci ho visto tutta la trasparenza di cui parli, a confronto l'area supporto di tophost, senza contare quello che postano su prozone è pura "perestrojka". Sui domini sono quelli in quanto i dns sono eastitaly.it, non c'è niente di male se sono pochi, ogni azienda inizia con 0 domini e poi cresce.
Rimane comunque il problema "legale" del contratto, non credi ?

p.s. ovviamente io non ho nulla contro eastitaly, come ho detto non li conosco nemmeno. Il mio era solo un invito all'oggettività. Se mi permetti il parere secondo me eastitaly non è nemmeno paragonabile ne ad aruba ne a tophost; da nessun punto di vista. Magari si faranno le ossa, cresceranno e poi potremo fare paragoni, adesso sarebbe come paragonare un benzinaio con una delle sette sorelle.

[corsinews]

ti rinvito a chiudere cn la discussione. stai dicendo cose che sn molto pesanti a danni di una società che nn c'entra niente cn questa discussione. ok,finiamo qui?

[bad]

ti rinvito a chiudere cn la discussione. stai dicendo cose che sn molto pesanti a danni di una società che nn c'entra niente cn questa discussione. ok,finiamo qui?

Per me la possiamo anche chiudere ma cosa ho detto di pesante ? che il contratto non è aggiornato in base alle vigenti norme ? è un problema loro mica mio.
E poi che danno ho fatto ? forse un po di chiarezza e di trasparenza  

Comunque hai ragione tu, parliamo d'altro. Buonanotte.

[corsinews]

ma infatti, che il loro contratto nn sia aggiornato nn me ne frega a me,sono cose ke riguardano l'azienda. però dico solo che mi trovo molto meglio con loro ke cn tophost. ma come detto é sempre un mio parere.

[tsinz]

Sul nodo w-02, approfittando di un del solito bug di cross-site di uno script php, sono stati fatti dei defacement (ingressi non autorizzati con modifica della home page) verso un centinaio di siti.

Ma vedi "del solito bug"... Questo termine mi lascia molto pensare che Tophost sapeva da tempo che c'era questo problema e non ha mai pensato a risorverlo! Doveva proprio succedere qualche cosa di grave per prendere provvedimenti??!!!

Io non ho nessun interesse a difendere Tophost, mi danno solo fastidio le affermazioni non vere.

il "solito bug" è appunto il "cross-site scripting" cioè la possibilita' di "iniettare" codice php da un sito all'altro grazie alle centinaia di vulnerabilità che sono presenti nei vari cms e affini spesso mal programmati e poi abbandonati senza aggiornamenti da coloro che li hanno installati.

Dove ci vedi una responsabilità di tophost in questo ?

Quanto alla trasparenza della comunicazione, passiamo a qualche caso concreto: hai detto che ti sposti perchè sei "stufo", analizziamo la trasparenza dei provider presso i quali ti accongi a spostarti ? magari anche Tophost impara da chi è più "trasparente".

Non so se sai qualcosa di sicurezza ma il cross site scripting non dipende dai cms..
Per un bug del cms puoi riuscire a defacciare il sito dove risiede il cms iniettando codice php, ma se i permessi e il server è settato bene l'attacco è limitato a quel sito e non a tutti i siti sullo stesso server

E comunque preferisco un isp che non sia trasparente e non mi dica per quale motivo il mio server sta continuando a funzionare piuttosto che uno trasparente che mi continua a dire i motivi per i quali il mio server continua a non funzionare

[guardaqua]

Non so se sai qualcosa di sicurezza ma il cross site scripting non dipende dai cms..
Per un bug del cms puoi riuscire a defacciare il sito dove risiede il cms iniettando codice php, ma se i permessi e il server è settato bene l'attacco è limitato a quel sito e non a tutti i siti sullo stesso server

Non so cosa sappia tu di sicurezza, io non sono un esperto, ma andiamoci a leggere assieme che cos'è questo Cross Site Scripting.

Cominciamo con un articolo su sicurezza.html.it che ne parla specificamente:

Molti dei bug relativi al Cross Site Scripting possono essere risolti implementando una procedura di validazione dell'input negli script. Gli sviluppatori dovrebbero quindi cercare di essere sensibili ai temi della sicurezza, anche se non indispensabili al fine dell'applicazione.

Per chi non ha voglia di leggere l'intero articolo, riassumo quali sono i tipi di bug che non rientrano tra questi: quelli relativi al server web (quali IIS o Apache). In questo caso sta al sysadmin aggiornare gli applicativi quando uno di questi bug viene reso noto, ma non è il nostro caso.

Andiamo ad approfondire, con le FAQ di Microsoft sui bug XSS:

Whether or not a web site is affected by the vulnerability depends entirely on the applications running on the web server. If they follow recommended practices, and validate all inputs before using them, the site would not be affected.

Quanto riportato non lascia adito a molti dubbi, vero?

Ma aggiungiamo anche, per completezza:

-Can this attack spread from one site to others?
No. If you visited Web Site A and a malicious user managed to introduce his script into your session, there would be no way for the malicious script to spread to Web Site B. The malicious user would need to mount a new attack to introduce his script into a session with Web Site B.

Tanto per ribadire:

-If neither the server nor the browser can prevent this problem, how can a web developer prevent it?
The web developer has a crucial piece of information, namely, the context of the data that his application is soliciting. For instance, if a developer is creating a search page, he can restrict the input to alphanumeric characters only. The set of allowable characters for each field is different and depends on how it will be used - but only the developer is in a position to know this.

Direi che un'idea ce la siamo fatta tutti alla fine, no?

Gli sviluppatori che non lo sapevano hanno una cosa in più da tenere a mente, e farebbero bene a documentarsi su come prendere le necessarie contromisure (e Wikipedia è un'ottimo punto di partenza);

i webmaster sappiano che gli script/cms che usano potrebbero essere vulnerabili: è necessario accertarsi spesso che la versione dello script che si usa non sia stata sostituita da una che risolva qualche bug di sicurezza e, ovviamente in questi casi, aggiornare i propri script;

i sysadmin infine devono seguire i bollettini di sicurezza e aggiornare i server.

 :ciao:

[tsinz]

Mi sembra di aver detto che il danno dovbrebbe essere limitato solo al sito attaccato (il sito buggato, diciamo)

E questo sembra confermare

-Can this attack spread from one site to others?
No. If you visited Web Site A and a malicious user managed to introduce his script into your session, there would be no way for the malicious script to spread to Web Site B. The malicious user would need to mount a new attack to introduce his script into a session with Web Site B.

Comunque penso si stia facendo un attimo confusione

Non penso che in questo caso si stia parlando di XSS (infatti nessuno a parlato di cross site scripting ma solamente di cross site) anche perchè quello non colpisce i server ma l'utente che visita una pagina. (Dipende sempre dalla cattiva realizzazione ma non ha nessun effetto sul server se non in casi molto particolari e cmq non direttamente)

Quindi si intendeva cross site cracking o hacking.. o come vi piace chiamarlo
Cito testualmente: di "bug di cross site" parla "Tophost" in un suo post
In realtà un po generico e poco esplicativo

Più avanti spiego il significato di cross site usato adesso



Un bug di una applicazione (può essere php injection, sql injection e chi + ne ha piu ne metta), che sia casalinga e scritta male o che sia opensource e che quindi il codice sia leggibile da tutti (che rende molto facile trovare bug), permette magari di eseguire codice php malizioso e fino qui ok siamo d'accordo.. (e qui c'è la colpa del webmaster che non ha programmato bene o che non ha aggiornato il proprio script, o magari non era ancora uscito un aggiornamento)

Ora se viene eseguito questo codice php dal mio spazio è ovvio che abbia la possibilità di modificare i file che abbiano certi permessi e quindi la possibilita modificare le pagine di quell'account, come succede normalmente con php (si può scrivere e leggere file)

La cosa che non va assolutamente bene (e qua che la colpa va a tophost) è che sia stato possibile cross site hacking e cioè la possibilita si colpire diversi siti dello stesso server (cross sites testualmente significa qualcosa tipo attraverso i siti)
E questo è causato dalla configurazione non proprio ottimale del server

Scusate per la poca precisione data dall'ora ma soprattutto dalla poca preparazione

Dato che i down sono diventati ormai frequenti e il servizio si è inclinato un po, a mio parere sempre ottimo per quanto si spende, ma se l'intenzione del sito è solo poco più di un gioco questo servizio inizia già a stare un po stretto e i continui down fanno perdere visitatori
Quindi rinnovo il mio appello: se qualcuno vuole trovare con me un semidedicato o un hosting per più domini per dividerci le spese ed avere un servizio affidabile

Per metterci d'accordo scrivetemi in pvt

Un saluto