web-dev-qa-db-ja.com

ホスティングプロバイダーがセキュリティ面でひどいことを顧客に説明するにはどうすればよいですか?

フリーランスの開発者として、私は時々顧客のホスティングプロバイダーの管理パネルにアクセスしなければなりません。それは驚くほど恐ろしい経験です。以下は、ホームページに「セキュア」という言葉が広く言及されている、英国に拠点を置くそれほど人気のないホスティングプロバイダーに最近アクセスしたときに気付いたいくつかのポイントです。

  • デフォルトの管理アカウントは、ひどいパスワード:小文字と数字のみの5文字、大文字なし、記号なしで作成されます。

  • パスワードは管理パネルのいくつかの場所に表示されます。これは、データベースにプレーンテキストで保存されているであることを示す良い兆候です。

  • この管理アカウントは、すべてにアクセスするために使用されます:FTP、MySQL、および管理パネル自体(個人情報、請求書などを含む)。

  • 追加のアカウントを作成することは不可能であり、顧客はプロジェクトに携わるフリーランサーに同じ管理パスワードを与える(すべてに無制限にアクセスできるようにする)を強いられます。

  • MySQLデータベースにはどこからでもアクセスできますローカルだけでなく。この動作は変更できません。

  • 監査なしがあります。

  • お客様に役立つことや招待することは何もありません定期的なバックアップ

  • ホスティングはPHP 5.2.4、8月30日にリリースされたバージョン)を使用しますth、2007であり、より新しいバージョンにアップグレードすることはできません。 PHPに慣れていない人にとっては、セキュリティの問題が定期的に発見されているため、言語は頻繁に更新されます。2011年にリリースされたバージョンでも、2012年にWebサイトを運営することは非常に悪い考えです。

英国、米国、フランスの他の有名なホスティング会社での私の経験も同様です。セキュリティ面で少し優れているものもありますが、最悪の慣行を実施するためにできる限りのことをしている人が多すぎます。次に、彼らは安全で使いやすいと主張します。これにより、顧客はセキュリティに関連するすべてのことをホスティングプロバイダーに頼ることができると感じます。


そのようなホスティング会社に関して、開発者から顧客への専門的な対応はどうあるべきですか?

技術的に知識の少ない顧客に直面するリスクについて通知する義務がある開発者として、私は何をすべきですか?

  • ホスティングプロバイダーが安全ではないためにダメだとすぐに言うのは解決策ではありません。ホスティングプロバイダーが不人気でなければ、顧客はフリーランスの開発者ではなく、大規模なホスティング会社を信頼するでしょう。

  • セキュリティとリスク管理のあらゆる側面を詳細に説明しても、顧客が読むには長すぎて退屈なので、どちらも役に立ちません。ものを再構成するのに何時間も費やすことは彼らにとっても恐ろしいことでしょう。

7

あなたの顧客がビジネスパーソンである場合、彼/彼女はあなたが上記のほとんどによって何を意味するのか理解していない可能性があります。ある顧客とのセキュリティについての話し合いで、「どうして彼らは私のビジネスを追いかけるのか、私は銀行ではないのか」という質問を受けました。

私はあなたに提案します:

  1. 脅威(上記のような)と、それぞれが顧客のビジネスにどのような影響を与える可能性があるかをリストにします。

  2. 代替案を明確にします。表示されるコスト比較およびその他の移行コストを表示します。平易な英語で簡単な最終推奨を行います。

  3. このアドバイスを公式レポートとして顧客に提供し、顧客にアドバイスを認めてもらいます。

彼らが聞いていないなら、まあ、彼らの選択は、あなたはあなたの役割を果たしているでしょう。

7
NoChance

一部の問題がサービスプロバイダー側​​から簡単に解決できる場合に備えて、最初にサービスプロバイダーに連絡することをお勧めします。彼らの反応は「いいえからすべてへ」から「はいからすべてへ、追加料金なし」の範囲である可能性がありますが、おそらく中間のどこかになります(「これとあれを修正できますが、少額の料金を請求する必要があります")。

彼らの反応が不十分である場合、あなたは少なくともあなたの顧客に不平を言う前に問題を解決するためのイニシアチブを示しました。サービスに複数の問題があることを顧客に説明することは良いことであり、サービスプロバイダーがそれらの問題を修正するために自分の役割を果たすことに無意識であるか、できないか、または単に興味がないことを示します。

5
yannis

あなたはあなた自身の質問に答えていると思います、ある種...あなたはあなたがあなたの質問で説明するのとほとんど同じように、現在のプロバイダーの何が悪いのかを顧客に説明する必要があります。より良いホスティングプロバイダーの例、できればそれほど高価ではないプロバイダーの例も挙げることができれば、彼らが耳を傾ける可能性さえあるかもしれません。

結局のところ、すべては、別のプロバイダーに移動することが彼らにとってメリットがあることを実際に見ている顧客に帰着します。違反によって収益が直接失われたり、訴訟や事業の損失によって追加の費用が発生したりしない限り、セキュリティだけを議論として使用するのは難しいかもしれません。

2
harald