blog.frands.net

Som du måske har bemærket (hvis du har læst mine tidligere indlæg..) så er en af mine interesser hosting. Sjovt nok, lever jeg af hosting og ud over at leve af det, så snuser jeg også rundt og ser hvad andre har at byde på.

Jeg møder mange ting rundt omkring, som jeg synes er super fede - men jeg møder også ting, som jeg virkelig synes er til grin. Der er dog én ting, som jeg synes går igen og igen. Udbyderne mangler SSL kryptering på deres kontrolpaneler og deres webmail.

Nogle vil kalde mig sikkerhedsparanoid, men det kan jeg ikke tage mig af. Hvis man først er i gang med at sniffe trafik, så er en af de letteste ting i verden at sniffe trafik der sendes i clear text.

Først, hvis du ikke helt er klar over, hvad jeg ævler om, så se min screencast der omhandler emnet:

Hvis du ikke allerede vidste det, så ved du en lille smule mere om sikkerhed nu. Så langt så godt.

Problemet i det hele er at mange hostingvirksomheder ikke sørger for at SSL kryptere forbindelsen til f.eks. deres kontrolpanel eller deres webmail.

Set med mine øjne, så er dette meget kritisk da man jonglerer rundt med folks private data. Nogle vil så argumentere med at SMTP jo alligevel ikke er krypteret, eller at de fleste kunder alligevel uploader data via en ukrypteret FTP forbindelse.

Det er bare ikke et holdbart argument, for der er ingen grund til at gøre tingene værre end de er. Dernæst, så er risikoen for at data opsnappes på en webmail væsentligt større end den er på f.eks. FTP.  Mange mennesker kigger på deres Webmail alle mulige steder men de logger ikke på FTP og uploader ting og sager fra f.eks. en hurtig netcafe i luftnavnen.

Jeg har kigget på lidt forskellige hostingselskaber, og vil derfor her komme med en kort forklaring på hver af dem, om de benytter SSL eller ej. Bemærk! At dette kendetegner hvordan tingene ser ud d. 22/03-2010.

Inforce A/S: Hos Inforce A/S eller Webhotel.net er der ingen kryptering på kontrolpanel og webmail. Deres OWA er der kryptering på.

UnoEuro.com: Hos UnoEuro er der SSL på kontrolpanelet, men som standard på Webmail er der ingen kryptering. Man kan vælge “sikker forbindelse” - men så bruges et self-signed certifikat. Læs lidt om forskellen på self-signed og signed.

Web10: Web10 har ingen SSL kryptering på hverken webmail eller kontrolpanel.

One.com, SurfTown.dk og Gigahost.dk benytter alle 3 SSL kryptering på både webmail og kontrolpanel.

Kan man sælge ting, som man ikke er i besiddelse af? Eller kan man sælge en ydelse, som man ikke har kompetence til at udføre? Hvordan definerer man overhovedet om man har evnerne?

Det er primært spørgsmål der opstår, når jeg sidder og kigger rundt på nettet og specielt når der er tale om webdesignere og webhostingfirmaer.

Stort set alle de webdesignere man kommer forbi, de tilbyder SEO (søgemaskineoptimering) - men hvordan kan de tilbyde et produkt, som deres eget site end ikke overholder? De har duplicate content, alt andet end søgevenlige URL’s, benytter ikke title tag’et til noget og andre ting, som absolut ikke er særlig meget SEO.

Men det ved kunden ikke - medmindre han selv ved noget om SEO, men så har han i første omgang slet ikke brug for at finde den virksomhed.

Men hvad med hosting? Der findes mange om det bud - der findes RIGTIG mange. Desværre, så er det tit folk som ingen særlig teknisk indsigt har. De har købt en server uden SLA i et dårligt peer netværk, men den har et eller andet tilfældigt, sikkerhedshullet, kontrolpanel som de kan oprette kunder i. Hvad gør de den dag de oplever et angreb, som har stort impact på deres kunder?

De har ingen teknisk kompetence selv og mange af dem der har, de nægter at røre ved sådan en sammenblandet løsning af gammelt software.

Hvis man er god til at komme ud med sit produkt, og man gerne vil sælge hosting - så synes jeg man skal hyre nogle andre til det tekniske. Når man har gjort det, så skal man gøre det man er god til - at komme ud med sit produkt! Markedsføre sig selv.