アカウント名:
パスワード:
仮に設定に不備がなかったとしても普通入れないだろ…。
Webフォームのアクセス(およびその他)ログですよ?
フレームワークによっては自分自身(スクリプト)の所属するディレクトリもしくはそのサブディレクトリ以下にしか書き込めないのも珍しくないと思います。もちろん少々古いとか甘いとか否定はしませんけれど、普通ではないとまでは言えません。
知識がPerlでCGI使って、で止まっているので教えてほしいのだけど、スクリプトの所属するディレクトリ・サブディレクトリ以外に書き込めるのって危険じゃないの?アクセスログを守るために、サーバー全体を危険にさらしている気がしてならない。
アクセスログをスクリプトが出力するなら、避けようがない?と古い知識では思ったりするので。どうしても避けたいのであれば、スクリプトとは別のプロセス・別権限のアクセスログ回収デーモンで、スクリプトがアクセスできない場所にログを移動させるのは思いついたけど。
ただのアクセスログなら、公開しないディレクトリに保存するようにすればいいけど、というか普通、そうなっているだろうけど。
書き込んでから気づいたけど、syslogのような外部のロガーにスクリプトから出力すれば、アクセスログは守られるか。
スクリプトをフレームワーク配下に置いて、フレームワーク以下の書き込みを許せば良い。framework root├script(document root)└logみたいに。
ディレクトリ権限のミスで片付ける問題じゃ無いよな。今時こんな実装するなんて信じられん。
そんなこと言ったら普通は流出させないんだから、「普通」を基準にしても仕方ない。この会社は普通じゃなかった、それだけのことだろ。
ログ管理サーバからhttpでファイルをGETしたかったとか、そんな理由でDocumentRoot配下に置いていて、社外からもアクセス可能になっちゃってた、といったところか。
原因が「単にWebサーバーの権限設定ミス」ってのはhylomが言っているだけだし、さすがに仕様から見直して対策するんじゃないかな。
ログ管理サーバからhttpでファイルをGETしたかったとか、そんな理由でDocumentRoot配下に置いていて、
いや、そういうのも普通しませんから……。
普通はしないことも、100%事故が起こりえないならそれもありですけど、ちょっとしたミスで重大な問題が発生するようなことをしてはいけません。
人がマニュアルで実行するものには、いつでもちょっとしたミスが起こりえます。
普通の人はコメント読まずに反論なんてしないですよね(棒
システム屋さんだから違うとは思いますけどね……
共用サーバ、さくらだとスタンダードとかのクラスを使ってHTMLコーダがポンッ、とディレクトリごと突っ込んでゴニョゴニョっていう。一応「.htaccess」は入れておきましたけどね……
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
なぜそんなものをWebサイトに放り込むのか (スコア:1)
仮に設定に不備がなかったとしても普通入れないだろ…。
Re:なぜそんなものをWebサイトに放り込むのか (スコア:0)
Webフォームのアクセス(およびその他)ログですよ?
Re: (スコア:0)
Re:なぜそんなものをWebサイトに放り込むのか (スコア:1)
フレームワークによっては自分自身(スクリプト)の所属するディレクトリもしくはそのサブディレクトリ以下にしか
書き込めないのも珍しくないと思います。
もちろん少々古いとか甘いとか否定はしませんけれど、普通ではないとまでは言えません。
Re: (スコア:0)
知識がPerlでCGI使って、で止まっているので教えてほしいのだけど、スクリプトの所属するディレクトリ・サブディレクトリ以外に書き込めるのって危険じゃないの?
アクセスログを守るために、サーバー全体を危険にさらしている気がしてならない。
アクセスログをスクリプトが出力するなら、避けようがない?と古い知識では思ったりするので。
どうしても避けたいのであれば、スクリプトとは別のプロセス・別権限のアクセスログ回収デーモンで、スクリプトがアクセスできない場所にログを移動させるのは思いついたけど。
ただのアクセスログなら、公開しないディレクトリに保存するようにすればいいけど、というか普通、そうなっているだろうけど。
Re: (スコア:0)
書き込んでから気づいたけど、syslogのような外部のロガーにスクリプトから出力すれば、アクセスログは守られるか。
Re: (スコア:0)
スクリプトをフレームワーク配下に置いて、フレームワーク以下の書き込みを許せば良い。
framework root
├script(document root)
└log
みたいに。
Re: (スコア:0)
ディレクトリ権限のミスで片付ける問題じゃ無いよな。
今時こんな実装するなんて信じられん。
Re: (スコア:0)
そんなこと言ったら普通は流出させないんだから、「普通」を基準にしても仕方ない。
この会社は普通じゃなかった、それだけのことだろ。
ログ管理サーバからhttpでファイルをGETしたかったとか、そんな理由でDocumentRoot配下に
置いていて、社外からもアクセス可能になっちゃってた、といったところか。
原因が「単にWebサーバーの権限設定ミス」ってのはhylomが言っているだけだし、さすがに
仕様から見直して対策するんじゃないかな。
Re: (スコア:0)
ログ管理サーバからhttpでファイルをGETしたかったとか、そんな理由でDocumentRoot配下に
置いていて、
いや、そういうのも普通しませんから……。
普通はしないことも、100%事故が起こりえないならそれもありですけど、ちょっとしたミスで重大な問題が発生するようなことをしてはいけません。
人がマニュアルで実行するものには、いつでもちょっとしたミスが起こりえます。
Re: (スコア:0)
そんなこと言ったら普通は流出させないんだから、「普通」を基準にしても仕方ない。
この会社は普通じゃなかった、それだけのことだろ。
普通の人はコメント読まずに反論なんてしないですよね(棒
Re: (スコア:0)
システム屋さんだから違うとは思いますけどね……
共用サーバ、さくらだとスタンダードとかのクラスを使ってHTMLコーダがポンッ、とディレクトリごと突っ込んでゴニョゴニョっていう。
一応「.htaccess」は入れておきましたけどね……