パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

コピーガードを開発するDenuvo社、顧客からのメールや営業情報などを流出させる」記事へのコメント

  • 仮に設定に不備がなかったとしても普通入れないだろ…。

    • by Anonymous Coward on 2017年02月08日 15時09分 (#3157910)

      Webフォームのアクセス(およびその他)ログですよ?

      親コメント
      • by Anonymous Coward
        いやだから、アクセスログをDocumentRoot以下には普通入れないでしょ……
        • by Anonymous Coward on 2017年02月08日 16時20分 (#3157957)

          フレームワークによっては自分自身(スクリプト)の所属するディレクトリもしくはそのサブディレクトリ以下にしか
          書き込めないのも珍しくないと思います。
          もちろん少々古いとか甘いとか否定はしませんけれど、普通ではないとまでは言えません。

          親コメント
          • by Anonymous Coward

            知識がPerlでCGI使って、で止まっているので教えてほしいのだけど、スクリプトの所属するディレクトリ・サブディレクトリ以外に書き込めるのって危険じゃないの?
            アクセスログを守るために、サーバー全体を危険にさらしている気がしてならない。

            アクセスログをスクリプトが出力するなら、避けようがない?と古い知識では思ったりするので。
            どうしても避けたいのであれば、スクリプトとは別のプロセス・別権限のアクセスログ回収デーモンで、スクリプトがアクセスできない場所にログを移動させるのは思いついたけど。

            ただのアクセスログなら、公開しないディレクトリに保存するようにすればいいけど、というか普通、そうなっているだろうけど。

            • by Anonymous Coward

              書き込んでから気づいたけど、syslogのような外部のロガーにスクリプトから出力すれば、アクセスログは守られるか。

            • by Anonymous Coward

              スクリプトをフレームワーク配下に置いて、フレームワーク以下の書き込みを許せば良い。
              framework root
              ├script(document root)
              └log
              みたいに。

        • by Anonymous Coward

          ディレクトリ権限のミスで片付ける問題じゃ無いよな。
          今時こんな実装するなんて信じられん。

        • by Anonymous Coward

          そんなこと言ったら普通は流出させないんだから、「普通」を基準にしても仕方ない。
          この会社は普通じゃなかった、それだけのことだろ。

          ログ管理サーバからhttpでファイルをGETしたかったとか、そんな理由でDocumentRoot配下に
          置いていて、社外からもアクセス可能になっちゃってた、といったところか。

          原因が「単にWebサーバーの権限設定ミス」ってのはhylomが言っているだけだし、さすがに
          仕様から見直して対策するんじゃないかな。

          • by Anonymous Coward

            ログ管理サーバからhttpでファイルをGETしたかったとか、そんな理由でDocumentRoot配下に
            置いていて、

            いや、そういうのも普通しませんから……。

            普通はしないことも、100%事故が起こりえないならそれもありですけど、ちょっとしたミスで重大な問題が発生するようなことをしてはいけません。

            人がマニュアルで実行するものには、いつでもちょっとしたミスが起こりえます。

            • by Anonymous Coward

              そんなこと言ったら普通は流出させないんだから、「普通」を基準にしても仕方ない。
              この会社は普通じゃなかった、それだけのことだろ。

              普通の人はコメント読まずに反論なんてしないですよね(棒

        • by Anonymous Coward

          システム屋さんだから違うとは思いますけどね……

          共用サーバ、さくらだとスタンダードとかのクラスを使ってHTMLコーダがポンッ、とディレクトリごと突っ込んでゴニョゴニョっていう。
          一応「.htaccess」は入れておきましたけどね……

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...