パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Memcached に潜むセキュリティホール」記事へのコメント

  • 何を今更・・・ (スコア:4, すばらしい洞察)

    by Anonymous Coward

    >ネットワークをモニタすることで、比較的容易にその通信内容を盗み見ることが可能であり
    memcachedに限らず、FTPやSMTPなんかも同様なんですがそれをセキュリティホールと言っていいのでしょうか?
    想定してない欠陥を突かれて漏洩などが起こるのであればセキュリティホールだと思っていたのですが
    初めから想定されていた動作もセキュリティホールだ、と言われるとなんだかなーという気がします。

    >bit.ly や Globworld、Gowalla といったサイトではインターネットから memcached へのアクセスが可能であり
    プライベートで利用されることを想定してるツールをグローバルで利用できるようになってる事自体が異常な状態では?
    どうみてもサービスの欠陥としか思えませんが。

    • すくなくとも、ネットワーク上の通信が暗号化されて居ない場合は、
      納得出来なくても、仕様だとしても、今のご時世はセキュリティホール扱いでは?

      それこそ素のFTPは使用禁止にしているところもあるような……

      • by Anonymous Coward on 2010年08月11日 7時17分 (#1807984)

        元コメントにあるようにローカルネットワークで使う物で
        rawデータの送受信しか流せない物にID/PSなどのデータを詰め込んで
        グローバルネットワークに公開しているのが根本的におかしいのであって
        それをもってmemcachedのセキュリティーホールだというのは無理がある。

        MySQLをアクセス制限もユーザ認証の設定もせずに外部に公開して
        DELETEもDROPもできるし、しかもSELECTでID/PASSを平文で出力できた!
        これはMySQLのセキュリティーホールだ!
        と言って誰がまともに取り合うのですか?
        これは「ソフト」のセキュリティーホールではなく
        「サービス」のセキュリティーホールです。

        > すくなくとも、ネットワーク上の通信が暗号化されて居ない場合は、
        >納得出来なくても、仕様だとしても、今のご時世はセキュリティホール扱いでは?

        smtpsを使ってのメール送信はクライアントサーバ間は暗号化されていますが
        サーバサーバ間の配送はsmtpで平文のままです。
        このことについてsmtpsのセキュリティホールだと主張して
        世の中のコンセンサスは得られると思いますか?

        オフトピ:
        DPI [google.co.jp]に対してhttpにはhttps、telnetにはssh、ftpにはftps/sftp/scpがあるけど
        ユーザーユーザーまで一貫して暗号化しているシステムがはやくこないかなとは思います。

        親コメント

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...