パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オープンソース・ソフトは危険?」記事へのコメント

  • > 「オープンソースだから安全という考えは間違い」というのは事実

    改ざんされたサイトのOpenPort(TCP)ランキング(2002.05.01-31) [geocities.co.jp]を見ても、LinuxとWindowsはほぼ同数ですね。だんだん、いい加減な設定で放置してあるLinuxサーバが増え
    • >いい加減な設定で放置してあるLinuxサーバが増えてきている模様。

      いい加減な設定は「動けばよい」という理念から来るようです。

      うちの学校のOracleサーバはSYSTEM/MANAGERで繋がる。
      おいおい、初期パスワードかよ。
      しかも、キャパシティプランニングされていない為、
      生徒80人が一気にアクセスしてダウンしましたとさ。
      --


      .::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
      I 1 2 B H4[keR. :-)
      • by Anonymous Coward on 2002年06月07日 20時52分 (#104480)
        デフォルトはSCOTT/TIGERじゃなかったっけ?
        #もう忘れましたわ。
        親コメント
        • by parsley (5772) on 2002年06月07日 20時57分 (#104483) 日記
          scott/tigerはdemoデータベース用一般ユーザでしたよね
          --
          Copyright (c) 2001-2014 Parsley, All rights reserved.
          親コメント
        • by amirex (6995) on 2002年06月07日 21時30分 (#104506)
          管理者アカウントが、SYSTEM/MANAGERで、
          ゲストアカウントのようなものが、SCOTT/TIGERでした。確か。

          今までOracle7と8のサーバを4箇所くらいで見てきましたが、
          パスワードを変更しているところは皆無でした。
          危険すぎる…。
          親コメント
          • by kei100 (5854) on 2002年06月07日 21時48分 (#104517)
            「ワームに最適!」って、無理かな・・・

            むぅ、複合技で「データを少しずつじっくり改竄していく」ワーム
            というのが出たら、「とても脅威」だと思うけど。
            改竄は全てのデータの信用性がなくなる恐ろしいものだと個人的に思う。
            まして、少しずつだとしたら、全てのデータを入れなおしになるかも・・・
            その際の損失は、とんでもない大きなものになるでしょうね(滝汗)

            # データが消えると言うはっきりした症状がすぐ出るものはある意味安全。
            # その逆は、AIDSのように人々に気づかれずに広まるのかもしれない。
            ## 例えが悪すぎるかもしれませんが(滝汗)
             
            親コメント
          • >今までOracle7と8のサーバを4箇所くらいで見てきましたが、
            >パスワードを変更しているところは皆無でした。

            個人的に(参考になる+1)
            パスワードは業者が変わっても誰でもわかるように
            初期パスワードという事なんでしょうか??

            チューニングされていないOracleサーバを
            そのまま動かしている事もありですか?
            --


            .::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
            I 1 2 B H4[keR. :-)
            親コメント
            • by Anonymous Coward

              パスワードは業者が変わっても誰でもわかるように
              初期パスワードという事なんでしょうか??

              引継ぎが発生したらパスワードを渡せばいいだけだからそれは無いでしょう。
              単に手抜きなだけ。
          • by Hippo2000 (8802) on 2002年06月08日 1時33分 (#104673) 日記
            >管理者アカウントが、SYSTEM/MANAGERで、
            さらに SYS/CHANGE_ON_INSTALL っつーのもあります。
            #っていうか、こっちのほうが最強だった覚えあり
            開発用のサーバで、そのまんま使っていたことはあります。(懺悔)

            でも、こっちのほうはパスワードもなしです(^^;;;。

            MS,SQL Serverに感染する「CBLAD」ワームに注意呼び掛け
            [zdnet.co.jp]
            親コメント
          • by SteppingWind (2654) on 2002年06月08日 15時17分 (#104943)

            確か管理者アカウントのsystem/managerってIPC(共有メモリやセマフォ)の関係でoracleプロダクトの所有者がsvrmgrl等のデータベースに直に触れる環境じゃないと使えないんじゃなかったでしたっけ?

            それなんでOSレベルのユーザ・パスワードをかけているだけで安心しちゃっているんじゃないかな. ただ, それさえもoracle8/oracle8なんだからどうしようも無いけど.

            確かに私もインストールした後, ちゃんとパスワードを変更する様に言ってはいますが, 後で見てちゃんと設定してあったのは皆無ですね. それどころか, 運用のためのスクリプトの中にユーザ/パスワードが素で固定で埋め込まれ, しかも一般read可になっていたりするんですけどね.

            親コメント
            • by emuty (9332) on 2002年06月08日 15時40分 (#104952)
              その監理ユーザー名が"oracle"だったりする事が多々あります(--)
              パスワードだけハックできれば簡単に監理ユーザーに昇格出来ます。
              でもまぁ~DBはインターネット側から隔離して利用するのが普通だと
              思いますので、余り問題にならないかと思いますが...
              ...そういう問題ではないですけどね。
              親コメント
        • by Dobon (7495) on 2002年06月09日 0時40分 (#105167) 日記
          何故か user1/user1という奴が管理者権限で作ってある…
          「1カラムは最大255まで、1行は2000バイト未満にすること」って意味不明な規約もあるし...
             (MS-SQLに移行する気だったんだろうか?)

          #ms-accessでテーブルを直接書き換えているという噂もあり...
          --
          notice : I ignore an anonymous contribution.
          親コメント

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...