Polski hosting - jest raczej fatalnie

Domyślna konfiguracja? Raczej tak!

Aby upewnić się, że badanie nagłówków przy pomocy prostego skryptu dawało miarodajne wyniki, na wszelki wypadek sprawdziłem jeszcze serwery HTTPrintem. Bazy tego programu mają już ok. dwa lata, ale zgadywanie ciągle wychodzi mu dość dobrze. Wynik był dość zaskakujący: okazało się, że admini albo stosują bardzo sprytne sztuczki na oszukanie użytkowników (np. mnie), albo nikt nie przejmuje się nagłówkami, zmianą banerów itd.

Nic nie jest wszak w stanie przebić mojego poczucia przerażenia, kiedy patrzę, jak wiele serwerów działa w domyślnej konfiguracji. O czym mówię? O serwerze MySQL nasłuchującym na domyślnym 3306 porcie (polecenie: nc -v nazwahosta.pl 3306). Jest to o tyle niepokojące, że serwer od razu się przedstawia - właściciele serwisów hostingowych stosują całą plejadę rozwiązań: od MySQL-a 3.23.58, przez wersje 4.0.x i 4.1.x, aż do 5.x..

Na szczęście część administratorów odfiltrowała port 3306 na firewallu lub udostępniła bazę wyłącznie konkretnym hostom. Na nieszczęście: zrobiła tak TYLKO część administratorów...

Podsumowanie

Łatwo zauważyć, że im serwer mniejszy, tym z reguły właściciele bardziej o niego dbają. Nietrudno jednak dostrzec, że nawet najsprawniejsi mają problemy z dotrzymaniem tempa. W serwerach dominuje mająca już kilka miesięcy i posiadająca wiele niepokojących bugów wersja PHP 4.3.9. PHP 4.4.1 to wielka rzadkość, PHP 5.1.1 nie ma nikt. Tym niemniej widać pewien postęp: kiedy rozpocząłem przymiarki do artykułu miesiąc temu, w serwerach dominował PHP 4.3.5-4.3.6.

Jak twierdzą właściciele serwerów, głównym problem z aktualizacjami - PHP 4.3.9 został udostępniony 22 sierpnia 2004 roku! - powodują zmiany w Zend Engine, czyli silniku napędzającym PHP. Niby są one niewielkie, jednak potrafią doprowadzić do załamania skryptów napisanych dla wcześniejszych wersji języka.

Muszę się przyznać, że najbardziej wcale nie martwi mnie ponad roczna wersja serwera WWW czy PHP... Jest coś, o czym zapomnieli absolutnie wszyscy właściciele serwisów hostingowych: ostrzeżenie. Specjaliści od spraw zabezpieczeń do znudzenia powtarzają - "Stawiajcie wszędzie tabliczki 'Nie wolno' i 'Nie ruszaj'! Ostrzegajcie na każdym kroku! Podkreślajcie, że nieautoryzowany dostęp jest zakazany! Róbcie to, bo macie marne szanse na wygranie sprawy w sądzie."

Dlatego mam apel do administratorów serwisów hostingowych: jeśli już musicie dawać dostęp do SSH, pamiętajcie o zmianie bannera z zapraszającego na ostrzegawczy. Przypominajcie potencjalnym włamywaczom mojego pokroju, że serwer jest "Authorized use only!", czyli Tylko dla uprawnionych użytkowników!. Nie zapraszajcie, bo później żaden sąd nie uzna Waszej racji - w końcu sami do siebie zapraszaliście...