Dyskusja o bezpieczeństwie i technologiach w nazwa.pl

[Maxx]

Wydzielono z tematu 

/admin

 

 

W dniu 16.12.2023 o 00:13, itomek napisał(a):

mając kilkanaście domen, jak wspomniałem, użyłem w swojej historii authinfo może 2-3 razy. Inne rzeczy są dla mnie istotne, a nie kod authinfo, którego konieczność wykorzystania mogę sobie zaplanować. A DNS Anycast, DNSSEC, DNS over TLS, CAA, DKIM, DMARC, SPF używam na co dzień.

 

Przyjrzyjmy się Tomku więc dokładniej podanemu przez Ciebie przykładowi, biorąc pod uwagę 15 domen z końcówką PL. Zacznijmy od absurdalnego kosztu - 3,000 PLN rocznie w Nazwa.pl za utrzymanie tych 15 domen w stosunku np. do  765 PLN rocznie w Hostido.pl które mam przyjemność obecnie testować.  Hostido jak na firmę z górnej półki przystało - szanuje wolność wyboru klienta oferując  Auth-info w panelu oraz obsługuje wspomniane wyżej rozwiązania, czyli DNSEC, DKIM, DMARC i SPF.

 

Więc teraz pytanie, czy DNS Anycast który skróci dla klientów z Polski wczytywanie strony o 10 ms jest wart 2,235 PLN rocznie w Nazwa.pl ? Czy może znacznie lepszą alternatywą jest mieć w cenie konkretny hosting na którego można przeznaczyć aż 180 PLN miesięcznie w tej samej cenie w której Nazwa.pl oferuje same domeny ?

 

Myślę że dla każdej rozsądnie myślącej osoby wybór jest oczywisty i na podanym przez Ciebie przykładzie Nazwa.pl zostaje znokautowana już w pierwszej rundzie przez Hostido.pl

 

 

 

W dniu 16.12.2023 o 00:13, itomek napisał(a):

VPS to nie serwer dedykowany. Serwer dedykowany oznacza "radź sobie sam". W przypadku VPSów to my zajmujemy się takimi aspektami, jak kwestie awarii sprzętu, w tym dysków, ich wymianą czy dbaniem o infrastrukturę. Serwer dedykowany w dowolnym data center to 30% kosztów. Dlaczego? Bo musisz przede wszystkim mieć stały nadzór administratora nad tym serwerem, który będzie w stanie współpracować z data center w przypadku jakiejkolwiek awarii sprzętowej, a od strony data center musisz mieć gwarancje remote hands z odpowiednio niskim SLA. 

Serwer dedykowany różni się od serwera VPS jedynie 100% dedykowanymi zasobami fizycznej maszyny i dlatego właśnie nazywa się dedykowany. I zarówno w przypadku dedyka jak i VPS-a to po stronie usługodawcy leży usunięcie wszelkich usterek sprzętowych w działaniu obu serwerów.  Więc nie staraj się proszę Tomku pokazać, jakoby oferta VPS-ów w Nazwa.pl czymkolwiek się wyróżniała bo jest dokładnie na odwrót np. w porównaniu z firmą Hetzner. Która nie dość iż za tą samą cenę oferuje blisko 10 krotnie lepszą konfigurację i sprzęt z górnej półki to jeszcze ma swoje potężne data center w którym ma swoich techników na miejscu  24 godziny na dobę przez 365 dni w roku reagujących błyskawicznie na wszelkie zgłoszenia o awariach czy to w dzień czy w nocy, czy w środku tygodnia czy w święta. O czym osobiście mogłem się przekonać późną godziną wieczorną i to w święta. A technik to nie to samo co paniusia na info linii Nazwa.pl znająca odpowiedź na typowe pytania ale leżącego serwera nie podniesie. Więc będzie on klęczał dotąd, aż nie pojawi się w data center zakontraktowany przez Nazwa.pl technik, który w przypadku Hetzner.com zawsze jest na miejscu jak na usługę premium przystało a który rozwiązuje typowe awarie od ręki a czas można liczyć w minutach.
 

 

 

 

W dniu 16.12.2023 o 00:13, itomek napisał(a):

Osobna sprawa to łącze. Nie wiem, czym jest ten 1 Gbps gwarantowanej przepustowości, natomiast w nazwa.pl serwery VPS uruchamiane w Data Center w Warszawie

 

Nie udawaj Tomku, że nie wiesz czym jest gwarantowana przepustowość łącza. Napisałeś tak dlatego, iż doskonale wiesz iż takie małe żuczki na rynku hostingowym jak Nazwa.pl nie stać na to aby zaoferować gwarantowaną przepustowość łącza i to na tak gigantycznym poziomie jaki oferuje Hetzner a w dodatku bez limitu transferu, co wyróżnia również usługi premium u liderów hostingu. I nie tylko tyczy się to Hetznera ale i również np. oferty OVH, która ma w swojej ofercie VPS-y za 100 PLN również z gwarantowaną przepustowością 1GBit/s a w dodatku w data center znajdującym się w Warszawie. A jedynie co może zaoferować Nazwa.pl to podobną konfigurację za 4x większą cenę, oczywiście BEZ GWARANCJI przepustowości. Więc sam widzisz Tomku, jaka słabiutką ofertę ma Nazwa.pl i dlatego tak bardzo mnie rozśmieszyła Twoja wypowiedź na temat usług premium.

 

Natomiast do usług premium na rynku hostingowym można zaliczyć właśnie gwarantowaną przepustowość łącza a także sprzętowy firewall który dodaje do każdego serwera dedykowanego Hetzner a który umożliwia np. wycięcie w pień 100% ataków brutal force na port 22 bez obciążania docelowej maszyny filtrowaniem pakietów.

 

Więc tak naprawdę Nazwa.pl nigdy nie miała nic do zaoferowania w segmencie premium - po prostu jest zbyt małym żuczkiem aby móc wejść w segment premium.  Natomiast EBITDA którą tak mocno się podjarałeś wcześniej ma dla klienta końcowego ZEROWE znaczenie i zerową wartość dodaną a wynika głównie ze sprzedawania kilka razy drożej tych samych usług którzy inni  usługodawcy oferują 3x taniej - co doskonale jest widoczne na przykładzie cen odnowienia domeny PL.

 

[theqkash]

W dniu 16.12.2023 o 11:01, itomek napisał(a):

 

Rejestracja nowych domen polskich i domeny .eu w nazwa.pl to w pierwszym roku koszt 5 zł. Nie piszę o odnowieniu, tylko o zakupie domeny, gdyż te ceny są podobne u większości rejestratorów, a koszty odnowień mogą się różnić w zależności od oferty danej firmy. 

 

Doceniam, że znieśliście limity na korzystanie z tych "promocji". Szkoda tylko, że zapomniałeś wspomnieć, że w przypadku domeny .pl w ramach oszczędności ok. 7zł w stosunku do rejestracji w takim OVH, zmuszacie klienta chcącego taką domenę wynieść do wniesienia kary umownej w wysokości kosztu rejestracji domeny w kolejnym roku. Więc ta "domena za 5zł" w nazwie, to nadal jednak trochę pułapka  

 

W dniu 16.12.2023 o 11:01, itomek napisał(a):

Rejestrując domenę w nazwa.pl możesz korzystać z technologii DNS Anycast. To nie tylko skrócenie czasu wczytywania stron, dzięki sieci serwerów DNS na wszystkich zamieszkałych kontynentach, ale skuteczna ochrona usług powiązanych z domeną przed atakami DDoS. Oprócz serwerów DNS Anycast, utrzymując domenę w nazwa.pl otrzymujesz dla niej ochronę DNSSEC czy DNS over TLS.

 

Tu widzę lekkie zagalopowanie się - nie zabezpieczysz usług związanych z domeną przed atakami stosując DNS Anycast. Jeśli już to maksymalnie i to "na siłę" można mówić o zabezpieczeniu jednej usługi, a konkretnie samego DNS. Dosłownie rzecz biorąc: to może być jedynie jakieś tam zabezpieczenie przed atakami DDoS na DNSy operatora. A idąc Twoją logiką: operator powinien zapewnić niezawodność działania usługi, więc tak naprawdę DNS Anycast w nazwie w temacie podniesionego przez Ciebie "bezpieczeństwa" to przełożenie kosztów na klienta tylko po to, by coś co operator ma zapewnić mogło działać.

 

Tu przy okazji warto wspomnieć o rzeczach typu CloudFlare, którego niektórzy operatorzy hostingowo-domenowi mają dostępnego "na klik", a CloudFlare daje DNS Anycast, CDN i więcej, a przede wszystkim nawet za darmo, niezależnie do tego gdzie i za ile kupiłeś domenę. 

 

21 godzin temu, Maxx napisał(a):

Serwer dedykowany różni się od serwera VPS jedynie 100% dedykowanymi zasobami fizycznej maszyny i dlatego właśnie nazywa się dedykowany. I zarówno w przypadku dedyka jak i VPS-a to po stronie usługodawcy leży usunięcie wszelkich usterek sprzętowych w działaniu obu serwerów.

 

Z tym to może trochę się zagalopowałeś.

 

O ile Hetzner z definicji jest dobrym przykładem, o tyle generalnie przyrównywanie VPSów do dedyków jest odrobine mylące. Faktem jest bowiem, że w przypadku dedyka musisz jednak mieć jakiekolwiek pojęcie o sprzęcie, by choćby móc zdiagnozować ewentualne problemy z Twoim serwerem (np. przeprowadzić memtesta, umieć pobrać wyniki ze smarta lub przeprowadzić jakieś tam testy związane z siecią). Przynajmniej w moim doświadczeniu z dedykami zdarzało się także, że takie OVH podmieniało mainboard na nieco inny, co w ostateczności powodowało zmianę nazw interfejsów w systemie i jako że "sieć sie nie podnosiła" to uruchamiali system rescue i radź sobie sam  Wiadomo, da się przed tym *jakoś tam* zabezpieczyć, ale domyślnie nie wszystkie systemy to robią. A nie mając "skilla w sprzęcie", możesz nawet nie wiedzieć, że powinieneś przed tym się jakkolwiek zabezpieczać.

 

W przypadku VPS, przynajmniej teoretycznie, operator powinien zadbać o to aby Twój node był zdrowy, a jeśli nie to powinien Cię błyskawicznie zmigrować gdzieś indziej lub przeprowadzić rychłe prace na nodzie na którym się Twój VPS znajduje. W czasach gdy migracja live VPSów jest niczym szczególnie nowym, to w praktyce, dobrze zarządzana usługa VPS nawet w czasie awarii noda u operatora, może zapewnić downtime na poziomie zero lub bliski zeru. W przypadku dedyka takiej pewności nie ma, bo może być taka sytuacja z interfejsami jak napisałem wcześniej, a może się np. okazać, że dwa dyski będące w raidzie 1 zrobia nagle kuku  

[itomek]

16 godzin temu, theqkash napisał(a):

Tu przy okazji warto wspomnieć o rzeczach typu CloudFlare, którego niektórzy operatorzy hostingowo-domenowi mają dostępnego "na klik", a CloudFlare daje DNS Anycast, CDN i więcej, a przede wszystkim nawet za darmo, niezależnie do tego gdzie i za ile kupiłeś domenę. 

 

Oczywiście istnieje wiele rozwiązań związanych z zabezpieczeniem stron. My oferujemy konkretne ich typy, które obsługujemy w całości samodzielnie. Pozwala to naszym Klientom mieć obsługę techniczną realizowaną w jednym miejscu. W przypadku jakiejkolwiek wątpliwości związanej ze stroną czy pocztą, Klient nie musi szukać źródła, aby zwrócić się z pytaniem do odpowiedniej firmy. Dzięki temu oszczędza czas i koszty obsługi informatycznej. 

 

Uznaję DNS Anycast nie za jedyną, lecz za jedną z form strategii zapobiegania zagrożeniom w postaci ataków DDoS. W czasie, gdy chroni, zapewnia redundancję, zwiększa dostępność usług powiązanych z domeną, w tym dostępność strony WWW, a w efekcie - także przyspiesza działanie witryn. Wykorzystanie DNS Anycast pozwala zmaksymalizować wykorzystanie zasobów w celu optymalizacji transmisji. DNS Anycast w pewnym sensie absorbuje potencjalny atak, będąc w stanie obsłużyć bardzo dużą liczbę żądań. To z kolei powoduje, że mechanizmy obrony stosowane w Scrubbing Center, eksperci ds. bezpieczeństwa sieci i specjaliści IT mają czas na zapoznanie się z atakami i wdrożenie właściwych, najmniej inwazyjnych dla użytkownika środków zaradczych. 

[Maxx]

35 minut temu, itomek napisał(a):

DNS Anycast w pewnym sensie absorbuje potencjalny atak, będąc w stanie obsłużyć bardzo dużą liczbę żądań. To z kolei powoduje, że mechanizmy obrony stosowane w Scrubbing Center, eksperci ds. bezpieczeństwa sieci i specjaliści IT mają czas na zapoznanie się z atakami i wdrożenie właściwych, najmniej inwazyjnych dla użytkownika środków zaradczych. 

 

DNS Anycast jest całkowicie bezużyteczny przy ataku na konkretne IP strony serwującej zasoby z jednego data center, a wspomniani "eksperci" z Nazwa.pl  mogą jedynie ślinę przełykać z wrażenia przyglądając się temu atakowi będąc całkowicie bezradnymi nie mając na pokładzie sprzętowych rozwiązań do ochrony DDOS. Zupełnie inaczej wygląda ta sama sytuacja w przypadku CloudFlare które umożliwia serwowanie strony z wielu data center pod tym samym IP a do tego jeszcze oferuje ochronę DDOS. Więc zmasowany atak np. ze Stanów Zjednoczonych będzie miał zerowy impakt na klientów w Europie już przy dwóch serwerach, z czego jeden jest w US a drugi w EU.

 

Natomiast w przypadku naprawdę dużego ataku DDOS, cała Nazwa.pl mająca przepustowość sieci na poziomie 400Gbit będzie leżeć razem ze swoim Anycastem i wszystkimi stronami swoich klientów. Czego nie można powiedzieć np. o firmie Hetzner mającego przepustowość sieci na 100 KROTNIE większym poziomie i sprzętowe firewalle do ochrony DDOS które znacząco odróżniają profesjonalistów od amatorów na rynku hostingowym w kwestii ochrony przeciwko DDOS. Więc po raz kolejny widać, kto jest liderem a kto amatorem na rynku hostingowym w Europie w dziedzinie ochrony DDOS.

 

Z kolei argument który podniosłeś wcześniej odnośnie różnicy między pingami 4ms dla DC w Warszawie a 30ms dla DC Hetznera jest wręcz komiczny biorąc pod uwagę iż blog  Nazwa.pl generuje się ponad 10 RAZY wolniej niż ping do Hetznera. Że już nie wspomnę o miażdżącej przewadze technologicznej i ofertowej firmy Hetzner w stosunku do Nazwa.pl.

 

 

[Maxx]

18 godzin temu, theqkash napisał(a):

Faktem jest bowiem, że w przypadku dedyka musisz jednak mieć jakiekolwiek pojęcie o sprzęcie, by choćby móc zdiagnozować ewentualne problemy z Twoim serwerem (np. przeprowadzić memtesta, umieć pobrać wyniki ze smarta lub przeprowadzić jakieś tam testy związane z siecią). Przynajmniej w moim doświadczeniu z dedykami zdarzało się także, że takie OVH podmieniało mainboard na nieco inny, co w ostateczności powodowało zmianę nazw interfejsów w systemie i jako że "sieć sie nie podnosiła" to uruchamiali system rescue i radź sobie sam

 
Zgadza się Łukasz ale i również faktem jest iż nie dość że podajesz ekstremalny przypadek wymiany płyty głównej  to jeszcze bardziej ekstremalny wymiany na "ciut inną" w OVH.  Nie wiem jak teraz, ale kiedyś OVH oferując linię dedyków i VPS-ów za grosze ( np. Kimsufi ) korzystało ze swoich płyt głównych aby zminimalizować koszty. Więc być może właśnie z takimi miałeś do czynienia. W przypadku Hetznera takie coś jest nie do pomyślenia aby po jakiejkolwiek awarii sprzętu technicy oddali Ci serwer z nie wstającą siecią. Ponieważ Hetzner.com to górna półka jeśli chodzi o hosting dedykowany w Europie zarówno od strony sprzętu jak i supportu. 

 

Osobiście też nigdy z OVH nie miałem żadnego problemu od strony sprzętu a co za tym idzie - supportu. I to zarówno jeśli chodzi o VPS-y (Warszawa) jak i również dedyki w tak egzotycznych lokalizacjach jak Singapur czy Sydney. Mało tego, to właśnie OVH było dla mnie zbawieniem po uruchomieniu swojego data center w Sydney i zakończyło moje udręki z australiskimi dostawcami hostingu, których ego (i ceny) były tak wysadzone w kosmos jak obecnie ego (i ceny) Nazwa.pl. Więc pozostało im już tylko liczyć na australijczyków nie mających bladego pojęcia o rynku hostingowym. Bo Ci bardziej obeznani mają obecnie szeroki wybór nowych graczy którzy weszli z wielkim sukcesem na tamtejszy rynek.

 

To samo dzieje się obecnie w Polsce. Więc jeśli ktoś nie potrafi odnaleźć się ze swoją ofertą (i ceną) w tych realiach - wyginie jak dinozaury - kwestia czasu. Gdyż świadomość klienta wciąż rośnie a dobrze wycenione usługi "same się reklamują". Dlatego nikogo nie powinno dziwić tracenie udziałów w rynku przez Nazwa.pl na rzecz nie tylko dużych ale i nawet małych i nowych graczy, którzy na tym rynku potrafią się odnaleźć i przedstawić atrakcyjną ofertę dla klienta dostosowaną do potrzeb tego rynku jak np Hostido.pl . Gdyż wciąż na tym rynku zapotrzebowanie na dzielony hosting jest wielokrotnie większe niż na używane przez profesjonalistów VPS-y i dedyki razem wzięte. Nie zmienia to jednak faktu, iż zapotrzebowanie na VPS-y wciąż rośnie dlatego Linode specjalizujące się w serwerach VPS-ach zostało wchłonięte przez Akamai za blisko MILIARD USD.

 

Kilka VPS-ów/dedyków serwujących stronę z różnych lokalizacji + CloudFlare = wolne od SPOF (Single point of failure) natychmiastowo ładujące się strony odporne na ataki DDOS. W tej klasie premium oczywiście nie gra Nazwa.pl, która oferuje rozwiązania na które był bum ale 10 lat wstecz. Nie ma się też więc co dziwić, iż obecnie ponad 100,000 domen polskich używa CloudFlare które już w darmowej wersji miażdży biedną, nie dostosowaną do potrzeb rynku a wysadzoną cenowo w kosmos ofertę Nazwa.pl

Rozumiem więc @itomek że w tej sytuacji pozostał Ci tylko jedynie udawany śmiech aby ukryć łzy. Może już czas ponownie zapalić znicze w biurach Nazwa.pl ja to miało już miejsce wczeniej ?

 

[itomek]

8 minut temu, Maxx napisał(a):

Może już czas ponownie zapalić znicze w biurach Nazwa.pl ja to miało już miejsce wczeniej ?

 

Widzę, że czerpiesz emocje i wiedzę z plotek i półprawd, bo to już któraś tego typu zaczepka. Odezwij się do mnie przez priv i zostaw proszę nr telefonu do siebie. Zadzwonię i chętnie porozmawiam na ten i inne tematy. Mimo, że okres przedświąteczny to dużo pracy chyba dla każdego, to jednak dawno nie było tu tak bardzo zdeterminowanego "nowego forumowicza". Mam nadzieję, że otrzymam od Ciebie pw!

[jvr]

Akurat wieszanie świeczek przy biurkach zwolnionych to żadna półprawda. Byłem, widziałem  

Nikt oczywiście nie wieszczy upadku nazwa.pl, fajnie, że udało Wam się ewoluować. Nas mierzi po prostu styl odpowiedzi, który tu udzielasz bo stosujesz właśnie półprawdy i odbiegania od esencji poruszanych rzeczy. Sprytnie udało Ci się np. skierować dyskusję w rozmowy o Anycast czy Hetzner, gdzie temat dotyczył spadków Waszego udziału w rynku. Chyba tylko dlatego zresztą jeszcze jesteście "niezależni" od dużych grup. Dużo bardziej bym wolał dostawać odpowiedzi, że STARACIE się oferować premium, będziecie dodawać ludziom dodatki, które budują przewagę technologiczną/biznesową i chcecie się pozycjonować cenowo tak, a nie inaczej. To Wam pozwala generować solidne wyniki i dobrze się to sprawdza. Amen.

[theqkash]

10 minut temu, itomek napisał(a):

Zadzwonię i chętnie porozmawiam na ten i inne tematy.

 

Z całym szacunkiem, ale wydaje mi się, że forum to jest dobre miejsce na wyjaśnianie takich spraw. Szczególnie wtedy, gdy odpowiada się na pytania adwersarza, zamiast je omijać i stosować półsłówki i niedomówienia. 

 

 

Ale wracając do Twojej odpowiedzi do mnie to może wyjaśnisz - jakie dodatkowe zabezpieczenia na DDoSy poza "zabezpieczeniem" na poziomie DNS Anycast macie wprowadzone? Bo przecież co mi daje zabezpieczenie samego DNSa kiedy same fizyczne usługi będą na DDoSy podatne

 

 

[itomek]

19 minut temu, jvr napisał(a):

Akurat wieszanie świeczek przy biurkach zwolnionych to żadna półprawda. Byłem, widziałem

 

Nie wiem czy wiesz, jaka była "historia" tych świeczek. Otóż z żartu jednego z pracowników urodziło się coś, co żyje do dzisiaj swoim życiem i obrasta w mity nie mające nic wspólnego z rzeczywistością. Ktoś wydrukował świeczki, inny zrobił zdjęcie i przekazał je dalej, pozostali "chętni" dorobili do tego historię. Powiem tylko, że z osoby, które siedziały przy biurkach obok tych, gdzie jeden z żartownisiów przyczepił wydruki świeczek, do dzisiaj pracują w firmie. Przed chwilą z jednym z nich rozmawiałem - powiedział wprost, że nie wierzy, że ktoś się ekscytuje tym tematem po dziś dzień, tym bardziej, że to była forma niewybrednego żartu.

 

35 minut temu, theqkash napisał(a):

 gdy odpowiada się na pytania adwersarza

 

W kwestii, nazwijmy to, "słabszych merytorycznie elementów wypowiedzi", lepiej jest porozmawiać telefonicznie. Zakładam, że gdy ktoś nie ma nic do ukrycia, to nie będzie miał z tym problemu. 

 

41 minut temu, theqkash napisał(a):

jakie dodatkowe zabezpieczenia na DDoSy poza "zabezpieczeniem" na poziomie DNS Anycast macie wprowadzone?

 

Oprócz ochrony anyt-DDoS realizowanej przez DNS Anycast, elementem filtrującym są węzły CDN nazwa.pl. Każdy z nich, za pomocą sprzętowych firewalli, z pełną szybkością działania łącz, realizuje niezależną ochronę przed atakami DDoS pochodzącymi z określonych sieci / części świata. Bezpośredni dostęp do wielu punktów wymiany ruchu pomiędzy operatorami internetowymi zapewnia, że ewentualne skutki ataków DDoS dzięki CDN nazwa.pl są ograniczone jedynie do styku z siecią, z której ten atak pochodzi. Niezależnie stosowana jest też ochrona w data center, w którym uruchamiane są usługi (firewalle, systemy IPS oraz WAF). Topologia naszej sieci i wymiana ruchu, jaką realizujemy z poszczególnymi operatorami, jest nakierowana między innymi na ochronę anty-DDoS.

[jvr]

Historia była żartem ale o prawdziwym podłożu. Pierwsze takie "żarty" były chyba jeszcze w 2012/2013 roku. Nikt się nie ekscytuje, po prostu nie pisz, że to "półprawdy".

[itomek]

16 minut temu, jvr napisał(a):

Nikt się nie ekscytuje

 

To tak, jakbyś powiedział, że kierownictwo działów nie ma prawa kształtować swojej wewnętrznej polityki kadrowej i musi kontynuować współpracę z każdym, bez wyjątku czy się do niej nadaje, czy tez nie. Popatrz na liczbę rekrutacji, jakie prowadzimy https://www.nazwa.pl/kariera-w-nazwapl/. Ani jedno z ogłoszeń to nie jest wymiana. To kolejne, nowe stanowiska, na których praca czeka na człowieka. Średni staż wśród wszystkich pracowników nazwa.pl to ponad 5 lat, a kilkudziesięciu pracowników jest z nami znacznie ponad 10 lat. 

 

Edytowane 18 Grudnia 2023 przez itomek

[jvr]

Dzizys. O czym Ty piszesz? Nie interesują mnie świeczki na biurkach zwolnionych pracowników.

[Maxx]

5 godzin temu, itomek napisał(a):

Odezwij się do mnie przez priv i zostaw proszę nr telefonu do siebie. Zadzwonię i chętnie porozmawiam na ten i inne tematy. Mimo, że okres przedświąteczny ...

 

Lepiej skup się Tomku aby Nazwa.pl nie straciła po raz kolejny danych klientów i nie nadpisała uszkodzonymi plikami backup-ów jak to również już miało miejsce i to właśnie w gorącym okresie przedświątecznym, o czym można przeczytać w artykule: Awaria w Nazwa.pl – klienci stracili dane, także z backupów 

 

W skrócie:

 

 

Dlatego dobrym zwyczajem jest robienie własnych backupów i trzymanie ich z dala od samozwańczych "lyderów hostingu". Zwłaszcza gdy mówimy o czymś bardziej konkretnym niż stronka o zamieszkałych w stodole kotkach z 5 wizytami miesięcznie  Bo to nie przez DDOS lecz przez "ekspertów" z Nazwa.pl klienci stracili dane.

 

 

Edytowane 18 Grudnia 2023 przez Maxx

[itomek]

45 minut temu, Maxx napisał(a):

Lepiej skup się Tomku aby Nazwa.pl nie straciła po raz kolejny danych klientów i nie nadpisała uszkodzonymi plikami backup-ów

 

Rozumiem, że szukasz sensacji, ale gdybyś miał choć minimalne pojęcie na temat tej sytuacji sprzed 7 lat wiedziałbyś, że po pierwsze problem dotyczył znacznie mniej niż procenta naszych Klientów, a po drugie - najważniejsze - wszystkie dane finalnie zostały przywrócone. Oczywiście wyciągnęliśmy wnioski z tamtego bardzo przykrego dla nas zdarzenia. Od 2016 roku czasu nasza infrastruktura była wielokrotnie modernizowana, a systemy ochrony danych - unowocześniane.

 

Edytowane 18 Grudnia 2023 przez itomek

[Maxx]

7 godzin temu, theqkash napisał(a):

jakie dodatkowe zabezpieczenia na DDoSy poza "zabezpieczeniem" na poziomie DNS Anycast macie wprowadzone?

 

Moim zdaniem, gdyby Nazwa.pl miała sprzętowe zabezpieczenie DDOS to nie robiła by z siebie pośmiewiska amatorską ochroną DDOS za pomocą anycasta - tylko od rana do nocy chełpiła by się nim na swoim blogu i tym forum oraz tym którego kupił Jachu. Ale na to drugie forum, to już chyba tylko roboty zaglądają po tym jak Jachu wykasował na nim wszystkie niepochlebne opinie na temat Nazwa.pl i konkretnie podrasował prezentowane tam statystyki łudząc się naiwnie iż poprawi to fatalny wizerunek Nazwa.pl ale stało się dokładnie na odwrót 

 

Jeśli z kolei chodzi o Anycast - nie jest tajemnicą, iż dzisiaj nawet średnio ogarnięty Brajanek czy Grażynka mająca blok RIPE o wielkości co najmniej /24 może sobie postawić Anycasta nawet na VPS-ach w Vultr.com i to jest śmiesznie mały koszt, czego nie można powiedzieć o sprzętowym zabezpieczeniu DDOS zwłaszcza na poziomie 400Gbps. A @itomek może raczyć forumowiczów barwnymi opowieściami od których w razie draki odetnie się Nazwa.pl a które nie można użyć w żadnym sporze w stosunku do oferty Nazwa.pl. Gdyż nie barwne opowieści Tomka na forum RootNode lecz regulamin usługi jest podstawą do wszelkich roszczeń. A w nim nie widzę sprzętowego zabezpieczenia DDOS.

 

Edytowane 18 Grudnia 2023 przez Maxx

[Maxx]

Gdzie @itomek znajdę w regulaminie Nazwa.pl zapis, który mówi jakie odszkodowanie otrzymuje klient w przypadku gdy strony klienta przestaną działać ze względu na atak DDOS ? Jest taki zapis czy ochrona DDOS przez Nazwa.pl kończy się na marketingowej paplaninie nie mającej żadnego umocowania prawnego ? Bo to by było coś, co faktycznie by wyróżniało Nazwa.pl na tle konkurencji już nawet niezależnie od użytych technologii. Bo jeśli takiego zapisu nie ma - w rzeczywistości oferta Nazwa.pl niczym się nie wyróżnia na tle konkurencji oprócz marketingowego bełkotu i wysadzoną w kosmos ceną. 

 

W cenniku widzę też certyfikat nazwaSSL  - od kiedy Nazwa.pl jest jednostką certyfikującą i wystawcą certyfikatów SSL ? 

 

Edytowane 19 Grudnia 2023 przez Maxx

[itomek]

18 minut temu, Maxx napisał(a):

który mówi jakie odszkodowanie otrzymuje klient w przypadku gdy strony klienta przestaną działać ze względu na atak DDOS ?

 

Podobnie, jak każda inna firma hostingowa, nazwa.pl nie ponosi odpowiedzialności za ataki DDoS na serwery / usługi użytkowników.  Odpowiedzialność za atak ponosi podmiot, który ten atak inicjuje. Kwestie ewentualnych roszczeń między podmiotami regulowane są przez odpowiednie przepisy. Ochrona anty-DDoS w nazwa.pl ma na celu przeciwdziałać ewentualnym problemom z dostępnością usług. Od tego, jak skuteczna jest ochrona anty-DDoS zależy to, czy uda się zminimalizować ryzyko związane z przerwami w działaniu na przykład strony WWW. 

 

19 minut temu, Maxx napisał(a):

od kiedy Nazwa.pl jest jednostką certyfikującą i wystawcą certyfikatów SSL ? 

 

Jednostką certyfikującą dla usługi nazwaSSL jest Asseco Data Systems S.A. 

[Maxx]

1 godzinę temu, itomek napisał(a):

Jednostką certyfikującą dla usługi nazwaSSL jest Asseco Data Systems S.A. 

 

Wbrew pozorom jest gigantyczna różnica pomiędzy słowem "usługa" a będącym w cenniku Nazwa.pl wyrażeniem "certyfikat nazwaSSL" zwłaszcza w myśl kodeksu karnego Art. 286 dotyczącego oszustwa:

 

§  1. Kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania,

podlega karze pozbawienia wolności od 6 miesięcy do lat 8.

 

A jest oczywiste, iż mamy tutaj do czynienia z celowym wprowadzeniem nabywcy w błąd poprzez oferowanie mu w cenniku nie istniejącego certyfikatu nazwaSSL podczas gdy w rzeczywistości użytkownik otrzymuje np. certyfikat Certum. 

 

 

Edytowane 19 Grudnia 2023 przez Maxx

[jvr]

Zaczynasz błądzić Maxx. SubCA jest powszechną sprawą w branży i stosują to dużo więksi na świecie od nazwy. W Polsce robił (nie wiem czy robi) również home.pl.

[Sevos]

W dniu 18.12.2023 o 09:58, Maxx napisał(a):

Natomiast w przypadku naprawdę dużego ataku DDOS, cała Nazwa.pl mająca przepustowość sieci na poziomie 400Gbit będzie leżeć razem ze swoim Anycastem i wszystkimi stronami swoich klientów. Czego nie można powiedzieć np. o firmie Hetzner mającego przepustowość sieci na 100 KROTNIE większym poziomie i sprzętowe firewalle do ochrony DDOS które znacząco odróżniają profesjonalistów od amatorów na rynku hostingowym w kwestii ochrony przeciwko DDOS.

 

Idąc tym tokiem myślenia nie ma więc sensu oferowanie jakiejkolwiek ochrony czy DNS Anycast? ATMAN też chyba nie oferuje tej skali co Hetzner, a i tak oferuje ochronę antyDDoS. Do pewnej skali jest to całkiem wystarczające i powinno też być brane pod uwagę jako usługa / koszt usługodawcy, bo on daje Ci do dyspozycji całą swoją sieć, żeby zaabsorbować na tyle ile się da, czasem i kosztem sąsiadów. 400 Gbps to imponująca przepustowość jak na polski hosting, który głównie jest do hostowania stronek...

Edytowane 19 Grudnia 2023 przez Sevos

[Maxx]

10 minut temu, jvr napisał(a):

Zaczynasz błądzić Maxx ... stosują to dużo więksi na świecie od nazwy

 

Wskaż mi więc proszę stronę/firmę, która w ofercie ma np. certyfikat GlobalSign a sprzedaje Certum czy cokolwiek innego, skoro twierdzisz iż na świecie to "takie popularne". I proszę nie podawaj za przykładu Home.pl które od Nazwa.pl wiele się nie różni odnośnie stosowanych praktyk. I nie zapominaj, iż mówimy o certyfikatach komercyjnych.

 

 

6 minut temu, Sevos napisał(a):

400 Gbps to imponująca przepustowość

Ciekaw byłem czy Tomek sprostuje moją wypowiedź, gdyż w rzeczywistości - to jedyne 150 Gbps, co z kolei zwiększa wielokrotność przewagi przepustowości Hetzner.com do blisko 300 RAZY, dlatego właśnie Hetzner może zagwarantować przepustowość na poziomie 1GBit a Nazwa.pl nie może nawet na wielokrotnie niższym poziomie. A mając gwarantowaną przepustowość nie trudno policzyć ile odsłon jest w stanie obsłużyć dany serwer.  Po prostu w Hetznerze wiesz co kupujesz i dostajesz to za co zapłaciłeś a nie kota w worku, jak na przykładzie powyżej z certyfikatem SSL 

 

[itomek]

Hetzner to operator data center, a nazwa.pl to firma hostingowa. Budowanie sieci na wyrost, w sytuacji gdy nie jest to nikomu potrzebne, nie ma uzasadnienia ekonomicznego. Przepustowość sieci nazwa.pl do innych operatorów wynosi aktualnie (po rozszerzeniu połączenia z AMS-IX) ponad 400 Gbps. 

[Maxx]

6 godzin temu, Sevos napisał(a):

nie ma więc sensu oferowanie jakiejkolwiek ochrony czy DNS Anycast?

 

Anycast ma sens wyłącznie w przypadku gdy strona jest serwowana z dwóch lub więcej różnych lokalizacji geograficznych pod jednym IP co umożliwia np. CloudFlare. A gdy strony są serwowane z serwerów zgromadzonych w jednym data center - anycast jest całkowicie bezużyteczny w tym przypadku. Zwłaszcza gdy mamy do czynienia nawet z bardzo małym ale niezwykle skutecznym atakiem na zasoby, np. plik index.php WordPresa pozbawionego wydajnej wtyczki cache. 

 

Nie trudno policzyć, iż jeśli maszyna ma 64 rdzenie a każdy jest zajęty przez 0.5 sekundy generowaniem strony WP - już niecałe 200 zapytań na sekundę będzie zwiększać kolejkę oczekujących zapytań co w efekcie doprowadzi do sypania błędami 50x z powodu braku wolnych zasobów. A co dopiero gdy maszyna ma tylko 4 gwarantowane rdzenie jak np. na cloud-hostingu Nazwa.pl

 

Więc skupianie się jedynie na DDOS podczas gdy zaledwie 200 zapytaniami na sekundę można powalić na kolana cały serwer jest wręcz śmieszne. A jeszcze bardziej śmieszne (albo raczej tragiczne) jest skupianie się na DNSSEC który nikogo nie obroni przez wykradzeniem danych z serwera lub zainstalowaniu na nim botneta który może zostać zdalnie uruchomiony do dowolnego typu ataku bez wiedzy i świadomości właściciela danej strony, który cieszy się bezużytecznym DNSSEC jak @itomek 

 

A dlaczego DNSSEC jest bezużyteczny ? Ponieważ NIKT nie stosuje tego typu wektoru ataków mając dostęp do znacznie bardziej efektownych rozwiązań. Dlatego największe banki i strony e-commerce zarówno w Polsce jak i na świecie nie stosują tego prymitywnego rozwiązania, o czym może przekonać się każda osoba przeglądając whois. Więc w zasadzie ma ono znaczenie jedynie marketingowe.

 

 

[itomek]

Dzięki rozmieszczeniu serwerów DNS nazwa.pl w różnych miejscach na świecie, w pierwszej kolejności technologia Anycast skraca czas otwierania stron WWW. Dodatkowo duża liczba aktywnych serwerów DNS i ich lokalizacja geograficzna w różnych punktach w znaczący sposób podnoszą bezpieczeństwo usługi DNS, eliminując ryzyko jej niedostępności z powodu ataków DDoS lub problemów na łączach międzyoperatorskich.

 

CloudHosting gwarantuje stały dostęp do 4 vCPU w przypadku modelu abonamentowego i do 8 vCPU w modelu za użycie. Klastry WWW w chmurze nazwa.pl zbudowane są w oparciu o procesory Intel Xeon z taktowaniem 5 GHz. Jest to możliwe ponieważ stosujemy wyłącznie procesory z małą liczbą rdzeni, ale wysokim taktowaniem. Dzięki temu czas generowania np. strony w WordPressie jest u nas bardzo nieduży, co potwierdzają niezależne testy np. webspeed.pl. Inteligentne rozkładanie obciążenia pomiędzy wszystkie maszyny w klastrze realizowane jest przez load balancery. To sprawia, że nasi Klienci nie mają problemów z wolno wczytującymi się stronami, czego powodem mogłoby być środowisko np. noisy neighbours. Na serwerze, gdzie nie ma kontroli użycia zasobów, potencjalnie każdy z klientów może użyć większość dostępnej mocy procesora, co w przypadku braku gwarancji lub dodatkowej kontroli np. na poziomie systemu operacyjnego, może skutkować wolną i niestabilną pracą stron. Należy pamiętać, że w CloudHostingu mamy osobne klastry serwerów odpowiadające na poszczególne funkcje. Bazy danych mają swoje klastry i swoją indywidualną moc obliczeniową, podobnie FTP, SSH czy poczta. 

 

Dzięki temu, że oferujemy usługi CloudHosting, działanie jednego użytkownika - czyli tzw. noisy neighbour - nie wpływa na działanie innego użytkownika. Dodatkowa ochrona anty DDoS na poziomie serwerów DNS (technologia Anycast), potem na poziomie poszczególnych węzłów CDN, na poziomie Data Center i systemy ochrony IPS (Intrusion Prevention System)  i WAF (Web Application Firewall) zapewniają dodatkowe bezpieczeństwo witryn naszych Klientów. 

 

DNSSEC jest to dodatkowa forma ochrony, niezależna od opisanych powyżej. Protokół DNS nie jest wolny od wad. Bez DNSSEC w bardzo prosty sposób można fałszować odpowiedzi DNS, co ostatecznie prowadzi to do skierowania użytkownika na specjalnie przygotowaną przez oszustów stronę WWW. DNSSEC, jak inne systemy zabezpieczeń, samodzielnie nie rozwiązuje problemu bezpieczeństwa w sieci Internet. Tak, jak poduszka powietrzna nie rozwiąże problemu bezpieczeństwa w samochodzie. Jest to jednak jeden z elementów, które stosowane razem znacząco podnoszą ochronę stron WWW i danych Klientów nazwa.pl.

[Sevos]

Jak itomek wspomniał, izolowane środki bezpieczeństwa nie chronią całej infrastruktury, ale stanowią komplementarną część całego szeregu wszystkich zabezpieczeń, które składają się na poprawę bezpieczeństwa oraz wydajności. Nie postrzegałbym więc wszystkiego osobno, tylko patrzył na big picture.

 

Nie bronię nazwy, ale to już jest nagonka, która się ciągnie od wielu stron. Od strony technicznej nie widzę problemów, wręcz przeciwnie - nazwa wymyśla się na nowo i chce dążyć do bycia liderem technologicznym, który inwestuje w różne fajne rzeczy i ja to chwalę.

 

Z mojej strony szczera, może i wręcz brutalna opinia: tu muszą się dwie rzeczy stać/zmienić.

 

WHT powinno albo zostać zaorane, albo sprzedane/oddane właściwemu podmiotowi. Najlepszym podejściem byłoby zamknięcie i tak już martwego forum z komunikatem o lepszej alternatywie jaką jest rootnode. Rootnode wykazał się do tej pory ogromną obiektywnością i uczciwością wobec wszystkich firm hostingowych, nie faworyzuje nikogo i stawia na otwarty nieskrępowany dialog, który nikogo nie dyskryminuje. W ten sposób naprawicie mocno swój wizerunek tutaj.

 

Inną sprawą jest podejście do rozliczania klientów, do proform i różnych płatności oraz nieprzejrzystych cenników. Prośba jest głównie o to, żebyście zebrali się, zrobili brainstorming i wymyślili lepszy sposób na monetyzację biznesu. Taki, który nie będzie mętlikiem dla klientów i który oczywiście będzie nadal na Waszą korzyść. 

 

Tomek, wiem, że jesteście spółką, która musi na siebie zarabiać, ale wierzę, że można to zrobić lepiej. Dużo rzeczy robicie dobrze - jesteś tutaj i jesteś w kontakcie z innymi, co ja oczywiście doceniam, bo równie mógłbyś tego wcale nie robić. Jesteście na dobrej drodze, ale w kwestii transparentności moglibyście trochę się poprawić.

 

To byłoby tyle z mojej strony. Nie mam więcej tu nic dodania. Powodzenia i wesołych świąt