アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
「誰にでもアップロードできる」のがヤバイと思う (スコア:5, 参考になる)
ファイルの受け渡し用に簡単なパスワードを使った半anonymousなftpアカウントに侵入されたことがあります。
(今ならうぷろだとか使うケースですかね)
・前提条件: ユーザー名foo(仮)のパスワードはユーザー名と同じ。ssh や telnet は不可でftpのみ可能。chrootしてるので、他のディレクトリは見えない。(実際には、アカウント名は英単語一つ)
侵入方法
1. cracker にブルートフォースでアカウントfooの存在およびパスワードがばれる
2. ftpでホームにphpファイルがアップロードされる
3. httpでhttp://example.com/~foo/bar.php にア
Re:「誰にでもアップロードできる」のがヤバイと思う (スコア:1)
# あと、攻撃と思しきアクセスを検出して攻撃元アドレスをしばらく無視るとか拒否るとか。
Re:「誰にでもアップロードできる」のがヤバイと思う (スコア:2, 興味深い)
(生でもゴムでも)ftp putサービスが必要な状況は、昨今極めて稀と思っています。今時のファイル送信は、(俺オレ証明ででも使って)httpsでそれなりの認証を備えたinput type="file"なフォームのup専用URLを、ユーザ限定で(できればユーザ毎にURLも個別にして。そのURLにハイパーリンクが張ってある等は問題外。)使わせ、上がってきたファイルはwebサーバから見える範囲外に隔離して管理者の査閲に付す、くらいの防御をして然るべきと思います。
Re:「誰にでもアップロードできる」のがヤバイと思う (スコア:2, 参考になる)
・ファイルの受け取りのために使用する。(受け取ったファイルをそのまま公開するつもりはない)
・アップロード者は特定少数
・ファイルサイズは数十MBから数GB
という状況なので、おそらく「極めて希」な例と言えると思います。
> input type="file"なフォームのup専用URL
これは、素人にもアップロードさせやすいというのは大きなメリットなのですが、
大きめのファイルをアップロードさせる場合、
・アップロードが進んでいるのかいないのかさっぱりわからない。いつ頃終わるかも読めない。
・途中で失敗しても再開できない
といった感じ
Re:「誰にでもアップロードできる」のがヤバイと思う (スコア:0)
Proftpd + LDAP認証を使ってます。
root directoryもローカルのアカウントから完全に切り離して自由に設定できるし便利。
まぁ、Proftpdは違う方でたまに穴が見つかったりしますけど。