アカウント名:
パスワード:
パスワードは業者が変わっても誰でもわかるように 初期パスワードという事なんでしょうか??
確か管理者アカウントのsystem/managerってIPC(共有メモリやセマフォ)の関係でoracleプロダクトの所有者がsvrmgrl等のデータベースに直に触れる環境じゃないと使えないんじゃなかったでしたっけ?
それなんでOSレベルのユーザ・パスワードをかけているだけで安心しちゃっているんじゃないかな. ただ, それさえもoracle8/oracle8なんだからどうしようも無いけど.
確かに私もインストールした後, ちゃんとパスワードを変更する様に言ってはいますが, 後で見てちゃんと設定してあったのは皆無ですね. それどころか, 運用のためのスクリプトの中にユーザ/パスワードが素で固定で埋め込まれ, しかも一般read可になっていたりするんですけどね.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
オープンソースだから安全という考えは間違い (スコア:4, すばらしい洞察)
改ざんされたサイトのOpenPort(TCP)ランキング(2002.05.01-31) [geocities.co.jp]を見ても、LinuxとWindowsはほぼ同数ですね。だんだん、いい加減な設定で放置してあるLinuxサーバが増え
いい加減な設定が危険 (スコア:3, 参考になる)
いい加減な設定は「動けばよい」という理念から来るようです。
うちの学校のOracleサーバはSYSTEM/MANAGERで繋がる。
おいおい、初期パスワードかよ。
しかも、キャパシティプランニングされていない為、
生徒80人が一気にアクセスしてダウンしましたとさ。
.::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
I 1 2 B H4[keR. :-)
ORACLEって (スコア:0)
#もう忘れましたわ。
Re:ORACLEって (スコア:1)
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:ORACLEって (スコア:1)
ゲストアカウントのようなものが、SCOTT/TIGERでした。確か。
今までOracle7と8のサーバを4箇所くらいで見てきましたが、
パスワードを変更しているところは皆無でした。
危険すぎる…。
どうぞ狙ってください。 (スコア:2, 興味深い)
むぅ、複合技で「データを少しずつじっくり改竄していく」ワーム
というのが出たら、「とても脅威」だと思うけど。
改竄は全てのデータの信用性がなくなる恐ろしいものだと個人的に思う。
まして、少しずつだとしたら、全てのデータを入れなおしになるかも・・・
その際の損失は、とんでもない大きなものになるでしょうね(滝汗)
# データが消えると言うはっきりした症状がすぐ出るものはある意味安全。
# その逆は、AIDSのように人々に気づかれずに広まるのかもしれない。
## 例えが悪すぎるかもしれませんが(滝汗)
Re:ORACLEって (スコア:1)
>パスワードを変更しているところは皆無でした。
個人的に(参考になる+1)
パスワードは業者が変わっても誰でもわかるように
初期パスワードという事なんでしょうか??
チューニングされていないOracleサーバを
そのまま動かしている事もありですか?
.::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
I 1 2 B H4[keR. :-)
Re:ORACLEって (スコア:0)
引継ぎが発生したらパスワードを渡せばいいだけだからそれは無いでしょう。
単に手抜きなだけ。
Re:ORACLEって (スコア:1)
さらに SYS/CHANGE_ON_INSTALL っつーのもあります。
#っていうか、こっちのほうが最強だった覚えあり
開発用のサーバで、そのまんま使っていたことはあります。(懺悔)
でも、こっちのほうはパスワードもなしです(^^;;;。
MS,SQL Serverに感染する「CBLAD」ワームに注意呼び掛け [zdnet.co.jp]
Re:ORACLEって (スコア:1)
確か管理者アカウントのsystem/managerってIPC(共有メモリやセマフォ)の関係でoracleプロダクトの所有者がsvrmgrl等のデータベースに直に触れる環境じゃないと使えないんじゃなかったでしたっけ?
それなんでOSレベルのユーザ・パスワードをかけているだけで安心しちゃっているんじゃないかな. ただ, それさえもoracle8/oracle8なんだからどうしようも無いけど.
確かに私もインストールした後, ちゃんとパスワードを変更する様に言ってはいますが, 後で見てちゃんと設定してあったのは皆無ですね. それどころか, 運用のためのスクリプトの中にユーザ/パスワードが素で固定で埋め込まれ, しかも一般read可になっていたりするんですけどね.
Re:ORACLEって (スコア:1)
パスワードだけハックできれば簡単に監理ユーザーに昇格出来ます。
でもまぁ~DBはインターネット側から隔離して利用するのが普通だと
思いますので、余り問題にならないかと思いますが...
...そういう問題ではないですけどね。
Re:ORACLEって (スコア:1)
「1カラムは最大255まで、1行は2000バイト未満にすること」って意味不明な規約もあるし...
(MS-SQLに移行する気だったんだろうか?)
#ms-accessでテーブルを直接書き換えているという噂もあり...
notice : I ignore an anonymous contribution.