Хотим размещать сайт на сервере хостера и возник вопрос: а можно ли доверять хостеру бд. Бывают ли случаи, когда хостер сливает твою бд на сторону, тем более если дружественная хостеру контора может быть заинтересована в такой бд. Интересно знать ваше мнение.

такое возможно - принципе. Но - когда это раскроется можно потерять клиентов

Если информация достаточно серьезна, то с точки зрения безопасности не советовал бы размешать эту информацию у сторонних людей (хостеров). Только у себя. Поэтому оцените серьезность информации перед таким шагом.

Информация серьезная не в плане конфиденциальности, а в плане трудозатрат. Год был потрачен на сбор информации в нужном формате. Поэтому если база сольется разом, то потеряем конкурентное преимущество. Она тем ценна, что в таком формате ее ни у кого нет.

За деньги можно купить всё. Так что вопрос только в цене вопроса.
Размещать сайт не у хостера... а где это? На домашнем/офисном компьютере с подключением к инету или в своём ДЦ?

Можете обратиться к нам. У нас есть достаточное количество клиентов, аналогичных вам. Каждый из них нам дорог.

самый простой вариант - colocation

Компании, обладающие значительной инфраструктурой, имеющие свои серверные с резервным питанием и хорошим каналом технически в состоянии хостить сайты с ценным содержанием у себя. Другой вопрос что это лишние проблемы ИТ-отделу, так как обычно это не их прифиль. Соответственно страдает и качество.

Хостить-то в состоянии. Но ведь цель не просто хостить, а гарантировать сохранность.

Вот здесь возникает вопрос, на который фирма должна ответить.

Что делать: вкладываться в собсвенных специалистов по безопасности и поддержке или использовать готовые ресурсы сторонней хостинг-компании.

Спрашиваем из любопытства, а не из практического интереса.
Кто из хостеров готов на данный момент предоставить реальную гарантию конфиденциальности данных? Например, в случае появления этих данных у третей стороны безоговорочно выдать денежную компенсацию клиенту в течении... ну допустим месяца? Размер компенсации предварительно оговорив в договоре. И какая будет цена такого хостинга?

Тут смотря о какой безопасности говорить. Порядочность хостера? Или способности хакера? В первом случае можем дать 100% гарантию, во втором нет!

На 100% сейчас никто не даст такой гарантии. Это лично моё мнение. Тут проще смотреть в сторону законодательства и страховых компаний. Но здесь все будет муторно и долго.

запросто
цену хостинга сделать больше размера компенсации.
иначе очень просто начать делать деньги из воздуха - залил базу данных на сервер хостера, "случайно" так, обронил диск с базой, опять же, в "случайном" месте и вперед, требовать свои деньги

А ведь клиенту всё равно каким образом уйдут его данные...
Да и по первому пункту. Нас всегда интересовала методика тестирования персонала на порядочность дающая 100% результат. Можно что-нибудь услышать на эту тему?

В общем-то если ценность информации действительно высока, то скорее всего смысл обратиться именно в страховые компании есть. А уж потом выбирать способ хостинг в соответствии с их рекомендациями/указаниями. Даже если предполагается ставить свой сервер. Интересно, в России этим кто-нибудь занимается?

Да, вопрос действительно сложный. Опять же нет гарантий, что кто-либо из компании-клиента не сольет эту базу на сторону.

Естественно. И обратная ситуация. Хостер слил базу данных и делает морду кирпичом - мол я не виноват - это у вас утечка.

Странно, что еще не появился в теме хостер, дающий 100% гарантию, безлимитный трафик и счастье в личной жизни за $1/мес. Наверно мир меняется к лучщему

в россии это невозможно. уровень коррумпированности слишком высок. можно только надеяться на личные отношения, но это может не защитить, как здесь уже сказали, от хакеров.

можно в центробанке проконсультироваться как там подобные проблемы решают

http://www.yandex.ru/yandsearch?text=%E1%E...EA%E0&stype=www

для colocation нужен нормальный админ, которого, на данный момент, нет. Страховать я думаю проблематично, т.к. трудно доказать факт слива информации. Вот сидим и репу чешем, чего делать jаvаsсr¡рt:emoticon(':blink:')
smilie
И потом, как уже сказали, никакой хостер не сможет поручиться за чистоплотность своих админов.

По поводу страхования не вполне согласны.
Вы когда страхуете вещи от кражи... в случае кражи... Вы же не доказываете что Вас обокрали?

а есть ли доверие к страховщикам? они ж не на луне родились а все тут же, на территории матушки россии.

выхо дто есть - шифруйте данные, шифруйте скрипты ,благо софт для этого есть. от фсб или фбр может и не защитит, а от хакера может.

В данной ситуации вы можете использовать шифрование БД. Ключ будет известен только Вам и не будет необходимости изобретать велосипед.

ну за своих админов я уверен полностью .. просто есть клиенты которых обслуживаю лично я vip клиенты )) и доступ к их информации имею только я. а уж свою честность я могу гарантировать 100 %

Вы работаете круглосуточно? без праздников - выходных? отпуска?

Вообще странно, что никто из хостеров не может гарантировать порядочность своего персонала. С хакерами всё понятно, тут никто 100% гарантий вам никогда не даст. И не только у нас, но и зарубежом. Но хостер должен гарантировать порядочность тех, кого он берет к себе на работу.

Я так подозреваю, что это следствие того, что у многих хостеров (не скажу всех) в тех.поддержку как правило набирается неквалифицированный персонал (а-ля студенты за 200$). Как следствие большая "текучка", "случайные люди" и никакой в них уверенности. Про квалификацию промолчим, так как топик не о том.

Лично я в порядочности своего персонала уверен. Так как предыдущий абзац это не про нас (это не самореклама, это констатация факта ) (согласен пафос ) (короче это особое мнение).

Почему никто? Я же сказал, что уверен, еще выше!

Зачем об этом говорить? Ведь порядочность гарантируется по умолчанию.
А про чужих сотрудников тоже совсем не обязательно говорить то, чего наверняка знать нельзя.

нет, порядочность персонала тут вообще ни при чем. речь идет о рисках. вот представьте, что есть некая ценная информация где то у вас на серверах и кто-то очень хочет ее получить. каковы его действия?:
1) пытаются получить, путем взлома, подбора паролей и т.п.
2) пытаются выяснить кто хостер, подъезжают и решают вопрос (в том числе и силовыи способами)
3) вычисляют кто из персонала хостера может иметь доступ к этомй информации и либо подкупают, либо наезжают на конкретного человека.
ну в случае подкупа все понятно, а что делать в случае наезда? и при том грамотного, под который не подкопаться?
это все конечно, теоретизирование (в области хостинга про такое еще не слышал), но, например для банковского сотрудника это вполне вероятная ситуация. и она заранее обдумывается службой безопасности банка.

Еще раз перечитал тему топика и первое сообщение . Началось именно про порядочность и человек спрашивал именно про случаи слива хостером (не хакерами) данных.

----------------------------
А вообще про риски согласен.

я все таки считаю чтобы не задвать лишние вопросы про порядочность хостеров и их персонала, клиент должен озаботиться защитой своей информации. порядочность тут ни при чем. слив ведь может осуществляться не только в корыстных целях (это я выше уже написал в каких и почему), так зачем нагружать хостера еще и этим? всем будет спокойнее, мы все априори порядочные люди (я надеюсь), но перед миллионом баксов или перед дулом пистолета положа руку на сердце многие ли устоят? особенно вв последнем случае.

Могу сказать что силовые методы к компании LifeHost - это из разряда фантастики. Но в глубине души я хочу посмотреть на тех идиотов - которые приедут разбираться лично ... смертнички )))

то есть у вас служба безопасности круче СБ РФ? ой не поверю ))

нам и *** и ** ** хватает по глаза ))

Надеемся нам простят анекдот?
http://www.s-info.ru/relax/Anekdot/default.asp?n=1306
Где-то была неплохая статистика, что в цивилизованных странах гарантированная стоимость покупки инсайдера в средней компании ~=2-5 годовалой его зарплате.
Да в конце концов... можно просто купить хостинг компанию где хостится клиент:-)

Удивительно в тему http://forum.hostobzor.ru/index.php?showtopic=1599

Как тут все серьезно .

lalexs, не ломайте голову. Простая логиика Вам подскажет, что для того, чтобы вынудить хостера украсть данные из Вашей базы, эти данные, как минимум, должны обеспечить ему старость. Ни на рынке хостинга, ни на рынке IT он уже работать не сможет.

А для защиты данных, в первую очередь, оцените размер вероятного ущерба. Только от этого будет зависить способ и метод защиты.

В частности, мы для защиты торговой системы пользовались услугами удостоверяющего центра. Созданный на базе ФАПСИ, он располагает огромным опытом в этой области. Для нас был разработан целый комплекс программно-аппаратных средств, проверен и ДЦ, и сам хостер, составлен план мероприятий и рекомендаций.

Можно пойти и по этому пути, если обычных мер и обязательств, предлагаемых хостером в рамках договора, Вам недостаточно. Обращайтесь, дам координаты и контакты.

а вот и не в тему - клиентов мы кидать не собираемся ... так вот.
а только их защищаем - в силу наших "скромных" возможностей.

ну с дулом - это немного не те времена - уж поверте мне.
а вот перед миллионом - положа руку на сердце - устою.

я не рублей имел в виду а про дула, это вы зря. те времена те. вопрос в цене вопроса, извиняюсь за тавтологию. некоторые ретрограды еще и утюги используют, но, это они конечно отстали несколько от жизни.

Забыли про кипятильники в ...
А вообще обычно приницпиальных, берут на принцип.
"Ты падла, его базу отдать не хочешь, а там все каналы по торговле наркотикам и данные "Аль-Каеды", завтра детей взорвут и на тебе их кровь будет".

Не кипятильники а паяльник - не путайте - это разные вещи.
то же устарело.

Можно и пальцем не трогать )) а отдадите как миленькие.

Я и не имел в виду рублей )))

и вообще мы отдалились от темы

это точно

А как же детство не вспомнить, ностальгия

Мне нравится когда у хостеров такое хорошее самомнение о себе и о порядочности своих админов:)) Админ это человек, поэтому есть человеческий фактор не зависящий от хакеров или от начальника хостинга.

Надо просто принимать ряд мер:
1) шифровать данные в самой базе
2) если не доверяешь хостеру, то держать сайт на одном сервере, а базу на другом
3) если сайт написан на php, то скрипты все перевисти в бинарник Zend'ом

Таким образом
1) база находясь у одного хостера в зашифрованом виде ничего этому хостеру с ней сделать не получится
2) другому хостеру, где находится сам сайт прийдется сидеть дампить TCP чтобы найти, а это не все умеют и знают, поэтому кстати для этой роли можно выбрать хостинг с непроффесиональным саппортом
3) хакеру, взломав хостера, прийдется проявить талант, чтобы всю эту цепочку поломать.

А, если, ко всему прочему хостинг купить, напрямую где-нибудь на западе, то вашим конкурентам прийдется подкупать хакеров или админов говорящих на дургом языке, живущих в другой стране с другими подходом к правам граждан.

А вообще, вот берем хостинг от ISPsystem на нем кладем сайт, а на хостинге AbcHost держим базу.

И все, думаю, что взлом этой системы будет вероятен на меньше сотую доля процента.

Ну и плюс с хостером дополнительно подкрепить отношения договором, в котором обговорить вопрос конфидициальности.

P.S. про то какой я хороший и как я доверяю своему админу тоже скажу - сказал.

ну удаленный доступ к базам сам по себе чреват. одно дело пихать это дело внутри сетки хостера, а другое дело гнать через весь инет.
шифровать данные это да. это правильно. критические во всяком случае.

Нифига это не черевато!
Во-первых я пока за много лет ниразу не сталкивался чтобы кто-то попер данные идущие от одного сервера до другого - да это возможно, но это сложно технически не думаю, что конкуренты смогут между двумя провайдерами воткнуть свой роутер и серфить трафик.

Кроме того никто не запрещается MySQL серверу передавать данные по SSL в зашифрованном виде на сколько я знаю MYSQL это поддерживает.

поддерживает, не спорю, только как сами разработчики заявляют - ну очень медленно )
на мой взгляд все же проще шифровать важные данные, ну не так их много же на самом деле и по объему и по количеству.