アカウント名:
パスワード:
確か管理者アカウントのsystem/managerってIPC(共有メモリやセマフォ)の関係でoracleプロダクトの所有者がsvrmgrl等のデータベースに直に触れる環境じゃないと使えないんじゃなかったでしたっけ?
それなんでOSレベルのユーザ・パスワードをかけているだけで安心しちゃっているんじゃないかな. ただ, それさえもoracle8/oracle8なんだからどうしようも無いけど.
確かに私もインストールした後, ちゃんとパスワードを変更する様に言ってはいますが, 後で見てちゃんと設定してあったのは皆無ですね. それどころか, 運用のためのスクリプトの中にユーザ/パスワードが素で固定で埋め込まれ, しかも一般read可になっていたりするんですけどね.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
オープンソースだから安全という考えは間違い (スコア:4, すばらしい洞察)
改ざんされたサイトのOpenPort(TCP)ランキング(2002.05.01-31) [geocities.co.jp]を見ても、LinuxとWindowsはほぼ同数ですね。だんだん、いい加減な設定で放置してあるLinuxサーバが増え
いい加減な設定が危険 (スコア:3, 参考になる)
いい加減な設定は「動けばよい」という理念から来るようです。
うちの学校のOracleサーバはSYSTEM/MANAGERで繋がる。
おいおい、初期パスワードかよ。
しかも、キャパシティプランニングされていない為、
生徒80人が一気にアクセスしてダウンしましたとさ。
.::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
I 1 2 B H4[keR. :-)
ORACLEって (スコア:0)
#もう忘れましたわ。
Re:ORACLEって (スコア:1)
ゲストアカウントのようなものが、SCOTT/TIGERでした。確か。
今までOracle7と8のサーバを4箇所くらいで見てきましたが、
パスワードを変更しているところは皆無でした。
危険すぎる…。
Re:ORACLEって (スコア:1)
確か管理者アカウントのsystem/managerってIPC(共有メモリやセマフォ)の関係でoracleプロダクトの所有者がsvrmgrl等のデータベースに直に触れる環境じゃないと使えないんじゃなかったでしたっけ?
それなんでOSレベルのユーザ・パスワードをかけているだけで安心しちゃっているんじゃないかな. ただ, それさえもoracle8/oracle8なんだからどうしようも無いけど.
確かに私もインストールした後, ちゃんとパスワードを変更する様に言ってはいますが, 後で見てちゃんと設定してあったのは皆無ですね. それどころか, 運用のためのスクリプトの中にユーザ/パスワードが素で固定で埋め込まれ, しかも一般read可になっていたりするんですけどね.
Re:ORACLEって (スコア:1)
パスワードだけハックできれば簡単に監理ユーザーに昇格出来ます。
でもまぁ~DBはインターネット側から隔離して利用するのが普通だと
思いますので、余り問題にならないかと思いますが...
...そういう問題ではないですけどね。