Das längste Thema

  • m_ueberall

    seltsam, ich verwende standardmäßig einen anderen Browser, und da genügt es den URL der Browserleiste in den Edge zu kopieren, und es klappt;

    Code
    https://en.wikipedia.org/wiki/Cat#:~:text=On%20islands,%20birds%20can%20contribute%20as%20much%20as%2060%25%20of%20a%20cat's%20diet

    (der Edge kann des auch:D)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • es gibt ja diverse HTTP-Header z.B.

    Content-Security-Policy

    Feature-Policy

    u. a. m.

    sind diese grundsätzlich auch HTTP od. nur f. HTTPS?


    sprich: ich habe folgendes im Apache

    Header always set Content-Security-Policy: "default-src 'self'; img-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'"

    mit HTTPS passt alles und etwaige Javascripte funktionieren; das selbe aber mit HTTP versagt, ist das das erwartete Ergebnis?

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Mit dem 5-Byte Index dürfte die Tabelle jetzt auf ca. 33GB Speicherplatzbedarf kommen.

    Letztes Update zu dieser Geschichte: Nur noch 22GB mit ROW_FORMAT=COMPRESSED 8o (Index auf 50%, Rest auf 75% geschrumpft)


    Statt teilweise 100 Millisekunden am VPS braucht der DB-Server am RS übrigens nur noch maximal 5 Millisekunden, um einen Hashwert zu prüfen.

    SQL
    CREATE TABLE `passwords` (
      `hash` binary(20) NOT NULL,
      KEY `5b` (`hash`(5))
    ) ENGINE=InnoDB DEFAULT CHARSET=ascii COLLATE=ascii_bin ROW_FORMAT=COMPRESSED COMMENT='v5'

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • es gibt ja diverse HTTP-Header z.B. Content-Security-Policy, Feature-Policy u. a. m.

    [...] mit HTTPS passt alles und etwaige Javascripte funktionieren; das selbe aber mit HTTP versagt, ist das das erwartete Ergebnis?

    Grundsätzlich sollte das auch für HTTP gelten (es gibt hier beispielsweise die "Content-Security-Policy: upgrade-insecure-requests"). Inwiefern sich ein Client jedoch an die Vorgaben des Servers gebunden fühlt, ist Auslegungssache. Obengenanntes Problem stellt sich mir nicht, da ich via HSTS einen sofortigen Wechsel auf HTTPS erzwinge.

    Wenn der Fehler bei eigenen Seiten auftritt, hilft jedoch häufig ein Blick auf die Diagnosemeldungen des jeweiligen Browsers – vielleicht werden die Scripte auf beiden Ports unterschiedlich ausgeliefert?

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Grundsätzlich sollte das auch für HTTP gelten ...

    dachte ich auch, habe in meinem Apache folgendes auch f. HTTP gesetzt

    Header always set Content-Security-Policy: "default-src 'self'; img-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline';"

    bei HTTP zeigt er mir im FF in der Webconsole diesen Fehler ...

    Content Security Policy: Couldn’t parse invalid host "self"

    bei HTTPS kommt dieser nicht;


    wieso hier der FF " zeigt, obwohl der Server ' liefert, weiß der Geier ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • wieso hier der FF " zeigt, obwohl der Server ' liefert, weiß der Geier ...

    Schuß ins Blaue: Kann es sein, dass Content-Security-Policy mehrmals in den Response-Headern auftaucht (insbesondere bisweilen dann der Fall, wenn Apache als SSL-Terminierungs-Proxy verwendet wird)? Ich habe einige Anwendungen, welche eigene Header-Zeilen ausliefern (wollen), die ich jedoch via Apache überschreibe (mittels header always unset, header always set).

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Schuß ins Blaue: Kann es sein, dass Content-Security-Policy mehrmals in den Response-Headern auftaucht

    bei mir nicht; und das bekommst am besten heraus indem Du z.B. mit cURL einen Request machst:

    curl --dump-header hdr.txt  <URL>

    dann findest in hdr.txt die empfangenen HTTP-Reply-Header

    bei mir sieht das z.B. so aus (gekürzt)

    Code
    HTTP/1.1 200 OK
    ...
    Content-Security-Policy: default-src 'self'; img-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline';
    Feature-Policy: geolocation 'none'; midi 'none'; notifications 'none'; push 'none'; sync-xhr 'none'; microphone 'none'; camera 'none'; magnetometer 'none'; gyroscope 'none'; speaker 'self'; vibrate 'none'; fullscreen 'self'; payment 'none';
    Referrer-Policy: no-referrer
    X-Frame-Options: deny
    X-Content-Type-Options: nosniff
    X-XSS-Protection: 1; mode=block
    ...

    wobei konsequent einheitlich/durchgängig ist das mit ' und " nicht;

    bei diesen Headern werden die Werte z.B. none, self, ... vom Browser mit ' erwartet,

    so schreibt es auch z.B. https://content-security-policy.com/ und andere Quellen; eine schreibt dies sogar explizit, habe ich mir aber nicht mehr gemerkt;

    dem Validator hier: https://securityheaders.com ist des hingegen egal;


    aber andere Header z.B. Public-Key-Pins dort liefert bei Verwendung von ' an Stelle " der ssllabs Validator einen Fehler;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Du meinst a Runde vServer f. alle :D

    Eine DE-Domain für alle, nur aussuchen darfst Du Dir keine, es gibt für alle netcup-<KDNR>.de ^^


    PS: Der Witz mit #Datenleak ist irgendwie gewöhnungsbedürftig… :whistling:

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Netcup hat ein paar Zahlen vergessen.

    - Insgesamt breitgestelle CPU Leistung oder Anzahl

    - Durchschnittliche CPU Auslastung

    - Stromverbrauch pro Jahr

    Wünsche Netcup auch alles gute zum 18 Geburstag. :D

  • Na denn herzlichen Glückwunsch :). Hätt ich mir eigentlich denken können, dass das heute ist. Schliesslich kam heute die Rechnung für mein "Webhosting 16 Years". :D. Jetzt fehlt nur noch ein Geburtstagsangebot wie ein RS mit 18 Cores. Oder ein Webhosting mit 18 Inklusivdomains. 18 GB zugesichertes RAM wär wohl zu heftig. Da müsste es ja mindestens 18,-€ pro Monat kosten, 18 Monate pro Jahr.

  • Ich würde mal schätzen, dass "überbuchte" Ressourcen nicht mehrfach eingerechnet sind. ;)


    Also wirklich nur das, was physisch zur Verfügung steht oder eventuell sogar benutzt wird. Oder was einer VM zugewiesen ist. Die Webhostingsysteme sind ja auch nur VM-Gäste auf KVM-Hostsystemen.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Ob bei der "bereitgestellten Storagegröße" auch die Webhostings dazuzählen? Bei denen wird ja regelrecht mit SSD-Speicher nach den Kunden geworfen

    Davon gehe ich fest aus. Warum sollte man auch bei einer Statistik, die offensichtlich "Fakten auf den Tisch legen soll" bestimmte Produkte ausschließen?

  • Es ging mir eher um die von KB19 angesprochene Überbuchung:)

    die hast ja nur beim Webhosting, sei es bei den Mailservern (POP-Space) und den Webservern (WEB-Space)

    bzw. beim Anhängsel zu den vServern dem StorageSpace und dem Pendant f. die Managed vServer;


    bei allen anderen Dingen geht kein Überbuchen ...


    was aber nicht ganz uninteressant ist: 130 PByte Traffic im Jahr vs. 25 PByte zur Verfügung gestellter Plattenstorage;

    (soll heißen, dass hier ein schöner Teil entweder nur als ausgelagertes Datengrab dient od. gewaltiger Overhead darstellt)


    wenn die Festplattenkap. nicht da ist wirst keine weitere kVM-Platte anlegen können

    wenn das RAM nicht da ist, wirst auch keinen weiteren kVM starten können;

    und bei den VPS ist das mit den CPUs ohnehin relativ ;)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • bei allen anderen Dingen geht kein Überbuchen

    Warum? Bezogen auf die HDD der VMs geht das definitiv schon und ist bei ordentlichem Monitoring prinzipiell kein Problem. Solange eine handvoll Kunden mit ihren Produkten nicht alles innerhalb weniger Minuten belegen können, sehe ich da kein Problem. Selbst beim RAM könnte man spekulieren, dass niemals 100% aller VMs gestartet sind. Notfalls migriert man sie beim Start halt auf einen anderen Host.

    Ob es so zum Einsatz kommt, ist eine andere Frage. Ist mir ehrlich gesagt aber auch egal. Solange ich als Kunde keinen Nachteil dadurch habe und meine vereinbarte Leistung erhalte, darf jedes Unternehmen intern gerne so kalkulieren und arbeiten, wie es das für richtig hält. :thumbup:

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)