Går det att hitta skyddad hantering av hemsidan?


theplanet webhosting

Ibland kommer en del frågor som inte riktigt passar in i de vanliga support-frågorna och då är det tur att jag har en rätt bred lösningsvana för konstiga ärenden.

Jag nåddes av en fråga: ”Jag har en idé för en möjligtvis väldigt kontroversiell tecknad serie i blog-format (i stil med www.xkcd.com) och undrar hur jag kan göra för att minimera chanserna att folk utan humor kontaktar mig med hot?”

Den viktigaste frågan är naturligtvis att göra en riskanalys. Vad är det för hot som man behöver vara rädd för? Är det myndigheter är det generellt omöjligt att permanent skydda sig. Visst kan man försvåra utredningar genom att lägga tjänster i utlandet (åtminstone så länge som polisen inte får bättre resurser), men jag anser att man istället bör använda tryckfrihetsförordningens skydd och istället skaffa utgivningsbevis som en riktig tidning. Kommer hot från annat håll kan man dock göra en hel del och det är det jag ska svara på nedan.


”Första steget skulle vara att ha en domänadress utan koppling till ägaren, förmodar jag.”

Det går aldrig att registrera en domän helt utan koppling (det är svårt att vara riktigt anonym), men man kan försvåra informationsinhämtning rätt enkelt. Om man registrerar en EU-, NU- eller SE-domän som privatperson är kontaktuppgifterna (namn, telefon och adress) skyddat och enbart registraren samt topp-domänhanteraren vet vem ägaren är. Myndigheter kan få fram informationen med domstolsbeslut, men i annat fall är det sällan möjligt att få fram den. NU-domän fungerar förövrigt på samma sätt oavsett om det är företag, annan organisation eller privatperson. För de flesta borde ovanstående ge tillräckligt skydd.

Ett alternativ är att registrera domänen hos ett domänföretag som erbjuder motsvarande målvaktstjänster, exempelvis GoDaddy. Det innebär att företaget helt enkelt sätter sina uppgifter på domänen, men att du administerar det. Då är det enbart registraren som har dina uppgifter, men det gäller att man kan lita på registraren och man blir ofta fastlåst till just den registraren under lång tid. Plus att det kostar extra. Samt att myndigheter får fram uppgifterna ändå åtminstone för de större domänmålvaktstjänsterna (exempelvis specifierade GoDaddy).

Ett tredje sätt är att låta någon annan stå för domänen. Det vanligaste sättet, som dock är att anse som bedrägeri och alltså inget jag rekommenderar, är att man letar upp namn+personnummer som man sätter på en beställning. Eftersom många domänbeställningstjänster betalas med kort brukar det ta en stund (ungefär 1 år) innan sådant uppdagas och då är brottslingarna oftast klara. Polisen har sällan några stora svårigheter att följa de spår som lämnas. Notera att man inte kan göra sådant hos de större webbhotellen eftersom de redan känner till att sådant förekommer (och har lagt spärrar mot det). Mindre kända/nogräknade företag kan det dock gå att göra hos fortfarande. Det går naturligtvis att erbjuda någon att stå som målvakt för domänen. Skriv ett formellt avtal med personen. Är det hot från media eller privatpersoner är det bara för den personen att hantera det på bästa sätt, men i rätten kan avtalet hjälpa för ta bort annat än medhjälps-åtal. Det ger möjlighet för dig att förbereda dig på åtal åtminstone. Det finns också jurister som är experter på att tillhandahålla målvaktstjänster och det är inte på något sätt brottsligt, även om man kan få den uppfattningen. Dock är det knappast gratis.


Nästa steg är att se till att DNS-nivån hanteras. DNS är namnuppslagningen som säger vilken server besökaren ska nå för att få se din hemsida. För att undvika nedstängning eller nedtid på DNS-nivå bör man anlita någon större DNS-operatör och kanske till och med flera olika (dock måste man se till att det är samma information på alla platser). Det finns ett antal gratis-DNS-tjänster som har imponerande tjänster, exempelvis xname.org, everydns.com och zoneedit.com. Man separerar det här lagret för att det ska bli enkelt att ändra nästa nivå om den nivån stänger ner. För företag är ett alternativ att ha flera separata DNS-servrar hos olika datahallar, men jag anser att det mest kostnadseffektiva är externa DNS-leverantörer även för de flesta företag.


Sista delen, och den viktigaste, är själva webbplatsen dit http-adressen ska peka på. Visserligen kan man dela upp även den nivån på olika delar (en för själva hemsidan, en annan för blogg, en tredje för själva serie-bilderna, och så vidare) men principerna är samma för alla, så det är snarare en prioriteringsfråga samt naturligtvis hur mycket tid man har att hantera och sätta upp det hela. Då jag förordar KISS-principer tycker jag att det är enklare att använda färdiga lösningar så långt det går.

Så webbhostingen alltså. Det kan tyckas att det är bäst att använda en mindre leverantör som skyddar sina kunder, exempelvis PRQ, men det innebär också att man i vissa kretsar får ögonen på sig snabbare och det är knappast heller särskilt billigt. För en enklare hemsida/blogg skulle jag snarare rekommendera lågpris-webbhotellen, som visserligen inte skyddar för nedtid eller liknande men som innebär att man kan vara kund hos flera webbhotell för nästan inga pengar alls. I USA finns det en drös med webbhotell som erbjuder gigantisk webbplats med dygnet-runt-support för en bråkdel av vad svenska leverantörer kan erbjuda. Om man har en rimlig budget rekommenderar jag dock att man åtminstone primärt använder sig av en kvalitetsleverantör, exempelvis Loopia, Surftown, Binero eller en kombination av dem. För några extra kronor per månad får man en tjänst som inte stängs ner på grund av enskilda klagomål på innehåll.

Skulle jag göra en kontroversiell serie-strip-sida skulle jag se till att webbhotellen har stöd för wordpress, samt att det går att göra automatiska backuper och återställningar av backupper via cron eller liknande. Jag skulle använda en egen server som test-server och huvudserver, och se till att den ”trycker” uppdateringar till alla de olika webbhotellen automatiskt, och rapporterar eventuella fel. Det skulle dock kunna gå att en av webbhotellen är huvudsida och övriga webbplatser hämtar information därifrån.

Om man vill ha en enklare lösning rekommenderar jag att använda en traditionell HTML-sida. Naturligtvis saknas många av de funktioner som man förväntar sig på en modern hemsida, men överföringen till de olika webbhotellen kan man göra i samband med att sidan uppdateras. Eftersom man inte förlitar sig på något automatiskt system finns det heller inte något sådant system som kan misslyckas utan att man känner till det.

Om hemsidan av olika anledningar skulle gå ner kan man via DNS-tjänsten peka om adressen till en av de övriga webbhotellen och minimerar på så sätt nertiden. Tillsammans med övervakningstjänster som Pingdom, kan man rätt snabbt få reda på att huvudsidan går ner.

Det går att göra mer avancerat naturligtvis, exempelvis genom att skydda överföringarna (IP-adresseringarna)… men ofta är det onödigt och kostar mer än det ger skydd.


Sammanfattning:

  • Registrera en domän (EU, SE, NU) som skyddar dina uppgifter.
  • Använd dig av en separat DNS-tjänst. XNAME.org, ZoneEdit, EveryDNS är gratis.
  • Använd dig av flera webbhotell och se till att primärt använda dig av Loopia, Binero eller/och Surftown.

Pingat på Intressant.


4 svar till “Går det att hitta skyddad hantering av hemsidan?”

  1. Också nämnvärd ”målvaktstjänst” för domännamn är PRQs egen, mig veterligen har de aldrig avslöjat vem som äger en domän (men jag kan ha fel).

    Men återigen, det kostar, man blir fastlåst, och PRQ kan i sig vara ett blickfång för en del…

  2. Kvalitetstjänsten Surftown, med en kundtjänst kunskapsnivå som är penibel och okrypterad lagring av användarnas användaruppgifter som nämnda kundtjänst glatt mailar … I beg to differ i den kvalitetsbedömningen m.a.o.

    • Skulle jag göra en säkerhetsbedömning av webbhotell är det möjligt att Surftown skulle få lägre betyg, men det skulle i så fall inte enbart bero på att lösenorden sparas i klartext. Även om det är bättre säkerhet att se till att lösenord enbart känns till av kunden, och man inte på något (legitimt eller inte) kan få tillgång till ett befintligt lösenord från webbhotellets system, påverkar det inte själva kvaliten på tjänsten. Finns det låg säkerhet hos webbhotellet kan man ju alltid se till att använda lågkvalitetslösenord som man byter ofta (motsvarande OTP).