Vào 08:32 Ngày 24 tháng 1 năm 2011, Huan Truong <[email protected]> đã viết: > Việc DoS thì có liên can gì đến vụ phần mềm (CMS) có an toàn hay > không, và việc CMS an toàn thì có liên quan đến nó có mở hay không, và > việc phần mềm CMS an toàn thì có liên quan đến yêu cầu của nhà mạng > (hosting provider) hay không? > > - Việc DoS đã được phân tích khá kỹ ở trên là không liên quan đến phần > mềm an toàn hay không. > > - Việc CMS an toàn thì có liên quan đến nó có mở hay không? Như em > được biết thường là những người làm phần mềm nguồn đóng dựa vào tính > chất đóng của nó làm một lý do để ít quan tâm đến độ an toàn của nó > hơn là ngược lại. > > - Nhà cung cấp dịch vụ hosting hoàn toàn có thể giữ được cho một trang > web bị xâm nhập khỏi ``lây'' sang tài khoản khác > (protection/isolation). Không có lý do gì để một nhà cung cấp dịch vụ > ``cấm'' khách hàng cài một bộ chương trình CMS/forum piece-of-crap để > chạy trên account của họ. Nếu vì tài khoản của họ (vì phần mềm chất > lượng kém) bị xâm nhập và từ đó tấn công cả tài khoản khác hay ``ăn'' > hết tài nguyên của máy chủ mà người quản lý server không thể kiểm soát > thì có lẽ là vấn đề là ở server administrator nhiều hơn là webmaster. > > > Điều thú vị là thường với kinh nghiệm của em cho thấy điều này trên > thực tế ngược lại những ``ý kiến'' về hệ thống đóng và mở: Thường là > các hệ thống đóng như IIS thì khâu isolation khá kém một khi một tài > khoản bị xâm nhập. Với các hệ thống như LAMP, một người server > administrator hơi có kinh nghiệm là đã có thể quản lý được quota, và > set đúng permission cho các home directory để isolate tài khoản nếu nó > có vấn đề. Với hệ thống IIS (em chỉ có kinh nghiệm tới bản 6 chạy trên > Win 2K3), thì nhiều khi cứ ``chui'' được vào một tài khoản rồi tung > lên một cái directory listing script tự viết bằng asp là hầu như sẽ > rất dễ dàng ``thăm thú'' lung tung... tất cả các files của các tài > khoản lưu trên server đó (hình như các webserver IIS thường chỉ được > cấu hình để chạy với danh nghĩa cùng một user thì phải -- không chắc > lắm!). Ít ra điều đó đã đúng thời 2005-2006 khi em còn có thời gian > nghịch ngợm các tài khoản trên shared hosting của PAVietnam, Nhân Hoà > (hai ông lớn lúc bấy giờ) và của một số các nhà cung cấp ngoài nước > nữa. Linux thì việc đó 99% là bị giới hạn ở tài khoản bị ảnh hưởng.
Cám ơn vì những kinh nghiệm quý, :-) Như vậy dùng dịch vụ chuyên nghiệp trông coi trang web của một doanh nghiệp nào đó, nếu mà phía mình không biết gì về kỹ thuật thì cũng là giao phó cho người ta, trông vào uy tín của họ thôi. (Lời khuyên tối thiểu của tôi với họ). Nếu biết hơn như các anh/chị, các bạn ở đây thì cũng nên chọn DN mà họ làm theo cách mà mình thấy tin tưởng hơn nhỉ. (Họ có người biết kỹ thuật, thời gian vừa rồi làm webmaster tay trái trên phpBB, nay vẫn làm nhưng nên ở bên B. Có lẽ nên theo phương án này, lời khuyên tối đa). -- Nguyễn Hữu Thành _______________________________________________ POST RULES : http://wiki.hanoilug.org/hanoilug:mailing_list_guidelines _______________________________________________ HanoiLUG mailing lists: http://lists.hanoilug.org/ HanoiLUG wiki: http://wiki.hanoilug.org/ HanoiLUG blog: http://blog.hanoilug.org/
