ריבוי אתרים בחשבון = סיכון אבטחה

עולם אחסון האתרים השיתופי משתנה, חד משמעית.

ירידת מחירים של הדיסקים הקשיחים יחד עם פיתוחים טכנולוגים לטובת איזון והגבלת העומסים שמשתמש יחיד יכול ליצור על שרת הובילו ליצירת מושג ה"אחסון אתרים לא הגבלה".

נלך קצת לאחור: Concept ה"ללא הגבלה" קיים כבר שנים, במיוחד בחו"ל.
כזכור, כל משאב הוא מוגבל – ובניגוד לסיסמא המפוצצת של "אחסון אתרים ללא הגבלה", צריך לעצור רגע ולחשוב "איך זה קורה".
בסופו של דבר, האתר שלכם יושב על מחשב "בשר ודם" – בין אם הוא מתאחסן בענן, "ענן" או "סתם שרת".
לכל מחשב (בדומה למחשב הביתי שלכם) יש מגבלות: אין באמת דיסק קשיח שאינו מוגבל, אין זכרון ללא הגבלה ובטח שאין מעבדים ללא הגבלה (להפך, זהו המשאב היקר ביותר באופן יחסי).

רעיון ה"אחסון ללא הגבלה" בנוי מ-2 חלקים עיקריים:

1. הגבלת כוח העיבוד והזכרון PER משתמש: ניקח את זה לקיצון, ברור שבחבילה שיתופית של 40 ש"ח לחודש לא נוכל לארח אתר בסדר גודל של YNET. … רגע, למה ברור?
   האם האחסון ללא הגבלה, למה אני לא יכול לאחסן אתר בסדר גודל של YNET בחשבון השיתופי?
   על השאלה הזו עונה לנו ההגיון (של רובנו), ובעיקר הפסקה הקודמת: אין "אין סוף" משאבים, משאבים הם משאב מוגבל, ומובן שיש גבול לכמות המשאבים שאנחנו יכולים לקבל ב-40 ש"ח.
   אתר בסדר גודל של YNET לוקח המון משאבים, בין אם שטח דיסק, כוח עיבוד או זכרון RAM.
   אם ננסה לחשב כלכלית את הכדאיות של חברת האחסון לאחסן אתר בסדר גודל של YNET בחבילה של 40 ש"ח.. נגלה מהר מאוד שאין כדאיות כזו, ולכן זה לא הגיוני.חזרה לנושא המקורי: על מנת למנוע ממשתמש יחיד לנצל את כלל המשאבים של השרת, חברות האחסון מפעילות הגבלה על המשאבים שכל משתמש יכול לקבל.
   הרעיון הוא פשוט- "שימוש סביר", אתר יקבל את כל המשאבים שהוא צריך על מנת לפעול, כל עוד הוא מתאים ל"קטגוריה" של אחסוןן שיתופי.
   איך קובעים איזה מתאים ואיזה לא? כל חברה קובעת את הפרמטרים שלה, חלקן מפרסמות אותן וחלקן לא אבל העקרון ברור לכולנו: אתר עם 5000 כניסות יומיות יכול לשבת על אחסון שיתופי, אתר עם 50,000 – ייתכן ולא.
2. Storage ו-oversell: ציינו קודם, דיסקים קשיחים הם משאב מוגבל – לכן מבחינה הגיונית, לא ניתן למכור "ללא הגבלה" ממוצר שהוא מוגבל מלכתחילה.
   אז איך עושים את זה? פשוט מאוד, בונים על זה שלא תשתמשו בכל השטח הקניתם (בכל זאת, ללא הגבלה..) יחד עם התניות לשימוש סביר.
   מה זה אומר? המשתמש הסביר, גם אם רכש חבילה ללא הגבלה, לא יעלה 200 ג'יגה של מידע.. פשוט מכיוון שאין באמת אתרים שמכילים כמות כזו של מידע. חברות האחסון מבינות את זה ו"מנצלות" את זה – כך שבסופו של דבר מדובר ב-win-win, חברות האחסון יכולות להציג חבילות "ללא הגבלה" והלקוח? יכול להעלות נתונים לשרת ללא דאגה.החלק השני של המשוואה בסיפור הזה מתמקד ב"שימוש הסביר" – המטרה של חשבון האחסון היא.. אחסון אתרים, לא של התמונות המשפחתיות מהטיול בקיץ שעבר לקוסטה בראבה. משמע.. כל עוד משתמשים בשטח הדיסק למטרת אירוח אתר- נהדר, ברגע ששטח הדיסק הופך להיות ארכיון.. סיכוי טוב שחברת האחסון תעשה לכם "נו נו נו" ותאלצו לפינות את המידע.

איך כל זה קשור לאבטחת מידע?

לחברת האחסון יש לא מעט אחריות בכל הנוגע לאבטחת האתר שלכם.
נכון, יש חברות מסויימות שיגידו כי על הלקוח לדאוג לעדכן את האתר שלו לגרסאות התוכנה העדכניות האחרונות שלו – והן צודקות.

יחד עם זאת, הפסקה הזו נאמרת לרוב בהקשר לאחריות שחברת האחסון מסרבת לקחת.. כלומר, נכון, חשוב שלקוח הקצה ידאג לעדכן את האתר שלו לגרסאות התוכנה העדכניות – אבל יש אין ספור סיבות שמונעות ממנו את זה:

1. הלקוח לא טכני ולא יודע איך לבצע זאת
2. הלקוח סיים את חוזה התחזוקה מול חברת הבניה / הלקוח קיבל אתר ללא חוזה תחזוקה כלשהו
3. האתר בנוי עם אפליקציה שלא ניתנת לשדרוג: מכיוון שהיא ישנה מידי או שבונה האתר "שבר" את האפשרות לבצע עדכונים.

מה חברת האחסון צריכה לעשות מהצד שלה? אני לא אפרט לעומק (בעיקר כי פרטתי בפוסטים קודמים), אבל בקצרה: הפעלה של WAF (מערכת לחסימת פרצות ברמת חברת האחסון) ועדכון תדיר שלו, חסימה של פונקציות מסוכנות בצד השרת, מניעה של "זליגת פרצה" ממשתמש אחד למשתמש אחר, ועוד.

וכאן אנחנו מגיעים לנקודה החשובה:

כולנו מכירים את המנטרה שאומרת ש"לכל דבר ניתן לפרוץ" – וזה נכון, שום חברת אחסון לא תוכל לעצור 100% מהפרצות.
לעיתים בגלל שהמערכות של החברה לא מספיק יעילות, ולעיתים.. הכול סופר יעיל, אבל לפורץ יש את סיסמת הגישה שלכם ל-wp-admin (במקרה של wordpress) ושום מערכת, יעילה ככול שתהיה.. לא תוכל למנוע את הכניסה שלו (דוגמא בלבד, ברור לי שבמקרה הזה מנגנון של 2 factor authentication יעשה את העבודה).

באמצעות מנגנונים שונים, חברת האחסון יכולה (וצריכה) למנוע מצבים בו פרצה למשתמש א' משמשת לטובת פרצה לתוך משתמש ב'.
אבל מה בנוגע לפרצה מאתר של משתמש א' לפרצה של אתר אחר של משתמש א'? כאן הנושא קצת מורכב יותר, אפילו בלתי אפשרי.

טכנולוגית כיום, קיימות אפשרויות מאוד מצומצמות על מנת למנוע מפורץ שחדר לאתר א', לחדור לאתר ב' כאשר השניים יושבים תחת אותו המשתמש.
הסיבה היא פשוטה: 2 האתרים עובדים תחת אותו סט של הרשאות, אותו המשתמש.
ובדיוק כמו שאתם יכולים להעלות דרך ה-wordpress (שוב, רק דוגמא) תמונה או סרטון, כך גם הפורץ הפוטנציאלי יכול לעשות זאת.
אם האתרים היו פועלים עם סטים שונים של הרשאות- זה לא היה אפשרי.

וכאן גם הקשר ל"אחסון אתרים ללא הגבלה". חבילות אחסון אלו מעודדות (באופן כזה או אחר) את המשתמש להעלות לחשבון אין ספור אתרים (בכל זאת, ללא הגבלה, לא? 🙂 ).
ולמרות שמבחינה טכנית אין בעיה לעשות זאת, מבחינה אבטחתית.. זה לא כל כך מומלץ, בדיוק מהסיבה שתארתי מעלה: ריבוי אתרים = ריבוי אפשרויות לפריצה, ומכיוון שרוב המשתמשים לא דואגים לעדכן את כלל האלמנטים באתר לגרסאות האחרונות (וגם אם כן, זה רק צמצמם את הסיכוי לפריצה, לא מוחק אותו לחלוטין) = אתר אחד שיפרץ, שדרכו יוכלו לפרוץ לאתרים אחרים באותו החשבון.

לסיכום- אם בחרת להתאחסן בחבילה ללא הגבלה, מעולה, סביר שחסכתם כמה שקלים.
יחד עם זאת, חשוב לזכור- לא להעמיס כמות גדולה של אתרים בחשבון- לא מטעמים של חסכון לחברת האחסון, אבל כן מטעמי אבטחת מידע עבור האתרים שלכם.

• About
• Latest Posts

מנהל מערכת

חלק מחברת SPD Hosting החל משנת 2006.
כחלק מהתפקידים שלי בחברה, אני אחראי על תוכניות ההכשרה של עובדים חדשים.
חי ונושם Hosting, קוד פתוח ו-Linux (ויש גם מילה טובה ל-Windows)

Latest posts by מנהל מערכת (see all)

• ריבוי אתרים בחשבון = סיכון אבטחה - יולי 16, 2017
• Let's encrypt – תעודות SSL, ובחינם! - ינואר 17, 2017
• PHPMailer Exploit - דצמבר 28, 2016