Każda firma oferuje kilka tzw. pakietów usług hostingowych. Postanowiliśmy przyjrzeć się tym, które są dostępne dla przeciętnego Kowalskiego i jego kieszeni. Ustaliliśmy więc limit na 300 zł netto rocznie. Oczywiście nie wszystkie firmy oferują usługi dokładnie w tej cenie. Braliśmy wtedy pod uwagę propozycje nieco tańsze, a w wypadku Ogicom.pl zmuszeni byliśmy do przyjrzenia się ofercie droższej (ceny pakietów zaczynają się od 407 zł netto rocznie). Nie uwzględnialiśmy też opcji promocyjnych. Wynikało to stąd, że większość takich ofert jest ograniczona w czasie i w momencie, gdy czytacie ten tekst, byłaby zapewne nieaktualna. Ponadto promocje obowiązują jedynie przy zakładaniu kont. Po roku, gdy będziemy płacić za kolejny okres abonamentowy, już z nich nie skorzystamy.
Każdemu według potrzeb
Inną decyzję dotyczącą najlepszej usługi podejmie osoba odpowiedzialna za kwestie informatyczne w dużej firmie, a inną osoba prowadząca jednoosobową działalność gospodarczą. W wyborze odpowiedniej oferty kierujemy się potrzebami i zasobnością portfela. Dlatego też ocenialiśmy oferty na podstawie trzech scenariuszy:
Zdobywamy konta
Po wyborze ofert przystąpiliśmy do zakładania kont testowych. Jak się okazało, już na tym etapie można mieć zastrzeżenia do mechanizmów stosowanych przez niektóre firmy. W wypadku Active24.pl w momencie składania zamówienia cena z 240 zł zamieniła się na 250 zł netto. Co więcej, nie wykupimy tam usługi serwera wirtualnego bez nabycia domeny. Jest to niespotykana sytuacja. U wszystkich innych dostawców domyślnie każdy serwis jest bowiem dostępny pod adresem zgodnym ze schematem http://naszLogin.domenaOperatora.pl. W Active24.pl trzeba o to dodatkowo poprosić. Oczywiście wszyscy operatorzy umożliwiają automatyczną rejestrację domen.
W większości firm konta założyliśmy bardzo szybko i przetestowaliśmy ich możliwości bez ograniczeń. Takie podejście pozwala na szybką ocenę opcji oferowanych u różnych dostawców. O ile w większości wypadków konto testowe po opłaceniu należności przemienia się we w pełni funkcjonalne, o tyle Superhost.pl blokuje konto testowe i daje nam nowe.
Jednak nie wszystkie firmy udostępniają konta testowe. Active24.pl długo nie reagował, nawet mimo naszych próśb. Jak widać, nadal istnieją firmy, które próbują sprzedawać kota w worku.
Jeśli chodzi o dane, które musimy podać podczas rejestracji, to firmy czasem proszą o zbędne informacje (np. numer PESEL i NIP od osoby fizycznej). W niektórych wypadkach należy też przesłać adres e-mailowy. Dla nowicjuszy, którzy nie mają skrzynki poczty elektronicznej, a właśnie chcą sobie taką założyć, może to być znaczącym utrudnieniem.
Nie wszędzie bezpiecznie
Po założeniu kont zaczęliśmy je sprawdzać pod kątem bezpieczeństwa. Jeżeli chodzi o wykorzystanie technologii SSL, to prawie wszyscy dostawcy z pierwszej dziesiątki (poza Superhost.pl) oferują szyfrowane połączenia podczas logowania do paneli administracyjnych serwerów czy też w czasie sprawdzania poczty. Większość ma też wykupione certyfikaty, akceptowane automatycznie przez przeglądarki. Zdarzają się jednak i tacy, którzy mają certyfikaty podpisane przez samego siebie (self signed). Trzeba pamiętać, że naraża to nieuważnych klientów na ataki phishingowe ( Nazwa.pl, Kei.pl, Az.pl), ale i tak jest to o niebo bezpieczniejsze niż zaniechanie korzystania z szyfrowania połączeń w ogóle.
Wykorzystanie SSL, choć nieźle prezentuje się w materiałach marketingowych, nie gwarantuje stuprocentowego bezpieczeństwa danych. Bardzo dużo zależy też od konfiguracji serwerów, które będą obsługiwały strony WWW. Nawet jeśli dołożymy wszelkich starań, aby nasza aplikacja sieciowa nie zawierała luk, to na serwerze, gdzie mamy stronę, może być umieszczona witryna podatna na Cross Site Scripting (patrz: “$(LC165152:Detektyw Google)$”). Wtedy haker, wykorzystując słabości tamtej strony i błędy konfiguracji serwera, może zdobyć np. hasła do bazy danych.
Wykonaliśmy test sprawdzający poziom oferowanego bezpieczeństwa. Na koncie umieszczaliśmy skrypty PHP, które informowały o tym, jakie mamy uprawnienia (np. czy właściciel skryptu ma prawo przeglądać pliki znajdujące się poza katalogiem dostępnym przez WWW/FTP). Jak się okazało, w trzech wypadkach (Kei.pl, Superhost.pl, Az.pl) możliwe było przeglądanie katalogów i plików systemowych. Tak skonfigurowane serwery WWW aż się proszą o włamanie. Jeżeli niefrasobliwy administrator wykona kopię bezpieczeństwa systemu i umieści ją w katalogu lub pliku, które można odczytać, to w dość łatwy i w zasadzie niewykrywalny sposób pobierzemy z serwera poufne informacje.
Czarne chmury
Taki scenariusz sprawdził się w wypadku Kei.pl. Mogliśmy bez większych trudności zdobyć nie tylko kopię bezpieczeństwa innych stron i skrzynek mailowych, ale również spakowaną zawartość katalogu /etc. Pośród plików konfiguracyjnych znajdował się też plik shadow, zawierający hashe haseł użytkowników (z kontem administratora włącznie). Z dużym prawdopodobieństwem to samo hasło jest używane do innych serwerów tego operatora.
Jeszcze więcej w krótkim czasie można było uzyskać w Az.pl i Superhost.pl. Zdobyliśmy: dostęp do kont innych użytkowników oraz hasła do baz danych (poprzez odczytywanie skryptów konfiguracyjnych aplikacji). W Az.pl do czytania cudzej poczty hasła nie były konieczne. Z łatwością odczytaliśmy dane (w tym listy) aplikacji WebMail.
Pozostali usługodawcy przeszli ten test bez problemu, przy czym bezpieczeństwo zapewnione np. przez Futuro.pl i Interia.pl zostało okupione funkcjonalnością. Nie udało nam się tam zainstalować (bez asysty administratora serwera) systemu CMS Joomla.
| Porównanie wybranych parametrów ofert hostingowych | ||||||||||
| Nazwa firmy | Home.pl | NetArt | Onet.pl | KEI Provider | Superhost.pl | Active 24 PL | Az.pl | PRO Futuro | Interia.pl | Spider-Ogicom |
| Adres WWW (http://) | www.home.pl/ | www.nazwa.pl/ | www.hostingpro.pl/ | www.kei.pl/ | www.superhost.pl/ | www.domeny.org/ | www.az.pl/ | www.futuro.pl/ | www.strefa.pl/ | www.ogicom.pl/ |
| Nazwa pakietu | Buisness Starter | Serwer Active | Starter | Biuro Extra | Super | Serwer Start | Konto Start | Flexo | Złoty | Biznes start |
| Cena netto za rok | 300 zł | 300 zł | 300 zł | 300 zł | 300 zł | 225 zł | 240 zł | 100 zł | 200 zł | 407 zł |
| Subiektywna ocena CHIP-a | 5/5 | 5/5 | 5/5 | 2/5 | 2/5 | 3/5 | 1/5 | 4/5 | 4/5 | 3/5 |
| Parametry | ||||||||||
| Pojemność konta | 1 GB | 5 GB | 1 GB | 10 GB | 6 GB | 4 GB (WWW), 4 GB (e-mail), 2 GB (bazy) | 2 GB | 5 GB | 5 GB | 1 GB |
| Dopuszczalna liczba domen | 1 | bez ograniczeń | 1 | bez ograniczeń | bez ograniczeń | bez ograniczeń | bez ograniczeń | bez ograniczeń | 1 | bez ograniczeń |
| Liczba kont FTP | 1 | 1 | 1 | 1 | 5 | 1 | bez ograniczeń | 1 | 1 | 1 |
| Liczba baz MySQL/PostgreSQL | 11)/n | bez ograniczeń2)/n | 11)/n | 31)/33) | 101)/103) | 54)/n | 61)/n | bez ograniczeń5)/bez ograniczeń5) | bez ograniczeń6)/n | n/n |
| Liczba kont pocztowych | bez ograniczeń | bez ograniczeń | bez ograniczeń | bez ograniczeń | bez ograniczeń | 4007) | bez ograniczeń | bez ograniczeń | bez ograniczeń | 4 |
| Limit transferu rocznego | 120 GB | 300 GB | 120 GB | 180 GB | 360 GB | 100 GB | 60 GB | 120 GB | 180 GB | 24 GB |
| Wersja PHP | PHP 4.3.10 | PHP 4.3.11 | PHP 4.3.10 | PHP 5.0.5 | PHP 4.4.1 | 4.3.1 | PHP 4.4.0 | PHP 5.0.4 | PHP 4.2.2 | PHP 4.3.11 |
| Ming (dynamiczny flash)/PDFlib | t/t | t/t | t/t | t/n | t/n | n/n | n/n | n/n | n/t | t/n |
| Obsługa | ||||||||||
| Infolinia/czat/formularz | t/t/t | t/n/t | t/t/t | t/n/t | t/n/t | t/n/t | n/t/n | t/n/t | n/n/t | n/t/t |
| Godziny obsługi | całą dobę | pon.-pt.: 8-18; sob.: 8-16 | pon.-pt.: 7-24; sob.-niedz.: 9-20 | pon.-pt.: 8-16; pon.-sob.: 6-16 | pon.-pt.: 8-20 | pon.-pt.: 8-22 | pon.,wt.,pt.: 8-20; śr.,czw.: 8-16 | całą dobę | pon.-pt.: 7-22; sob.-niedz.: 9-17 | pon.-pt.: 7-20; sob.: 9-17 |
| Rozbudowany system pomocy | t | t | t | t | t | t | t | t | t | t |
| Platności online/przelew/karta | t/t/t | n/t/t | t/t/t | n/t/n | t/t/t | n/t/n | t/t/t | t/t/t | t/t/t | n/t/t |
| Bezpieczeństwo | ||||||||||
| Bezpieczeństwo katalogów serwera | t | t | t | n | n | t | n | t | t | t |
| Prawidłowe prawa katalogów | t | t | t | n | n | t | n | t | t | t |
| Bezpieczeństwo naszego katalogu | t | t | t | t | n | t | n | t | t | t |
| Bezpieczne logowanie do panelu administracyjnego i poczty | t | t | t | t | n | t | t | t | t | t |
| Prawdziwy certyfikat SSL | t | n | t | n | n | t | n | t | t | t |
| Inne | ||||||||||
| Bezproblemowa instalacja Joomli | t | t | t | t | t | bd. | t | n | n | n |
| Lokalizacja serwerów w Polsce | t | t | t | t | n | t | n | t | t | t |
| Możliwość natychmiastowego przetestowania konta | t | t | t | n | t | n | t | t | t | t |
| Wszystkie funkcje podczas testów | t | t | t | t | n | n | t | t | n | t |
| Transfer na łączu 1/10/30 Mb/s | 1/4,5/18,8 Mb/s | 1/3,9/3,9 Mb/s | 1/4,5/18,8 Mb/s | 1/4,5/9,1 Mb/s | 1/4,5/11,9 Mb/s | 1/0,5/4,4 Mb/s | 1/3,6/12,9 Mb/s | 1/3,8/3,8 Mb/s | 1/4,5/26,4 Mb/s | 1/4,5/16,4 Mb/s |
| t – tak; n – nie; c – częściowo; 1) – do pojemności konta; 2) – do 500 MB; 3) – łączna liczba baz MySQL i PostgreSQL; 4) – do 2 GB; 5) – do 10 MB; 6) – do 15 MB; 7) – do 4 GB; bd. – brak danych | ||||||||||
