アカウント名:
パスワード:
つまり、その行為は全然安全にはつながる行為ではないということです。
「そんな所」以外の場所に置ける権限が、設置者に無い場合とか。
。。。いや、今回のケースがそういう状況だったかどうかは知らんのですが (^_^;。
# そもそもそんなホスティングサービスを個人情報扱うサーバーに使うなと言うお話?
そういうホスティングサービスの一覧表を誰か作りませんかね。日経BPとか比較票を作って報道してくれないかな。
仕事でサーバをちょこちょこ発注しています(自分でも作れるけど会社の方針で外注)。
いわゆる大手メーカーのSI屋に発注するのですが、 設定が緩いよ。 こっちも機能に関する要求はきめ細かく書くし、 ちゃんとチェックするけど、セキュリティ周りや準正常系の 動作って要求しにくいんですよね。そのせいかSI屋も めっちゃ適当に作るし、こっちもちゃんと評価やチェックできる 人材が少ない。もちろん上司なんかは、そういう周りの細かいのを 知っているはずもない。
正直、SI屋もデフォルトの設定より変更するのをいやがるし、知らない。solarisなんて沢山変更が必要だし(変更すれば幾らでもセキュアに出来るのがsolarisの良いところ)、各種デーモンのchrootとか必要だよね。FWなどパケットフィルタなんか全てのサーバに入れると思うのだけど、上位のL3SW or LBの一点入れただけで何で良いとするかなぁ。こっちの運用方針を聞き取りもしないでよく決めるよな。
2004年にもなって新規作成のサイトでXSS対策すると工数がかかるとか言う所はどうにかなりませんかね。そこの会社はお金によってはXSSを考慮しないサイトを今でも構築しているんですかね。
そういうSI屋が納品するサーバをチェックする要員がいなそうな公共団体。そういうところにもシステムを収めているかと思うと恐いです。
正直、この業界は急成長しすぎちゃっていますね。分かる人材が貴重過ぎるし、そういう人材を正当に評価できていない。
自分も資料作って周りの人に迫ることをあまりしていないので、それについては反省しつつ、改善することが今年度の目標です。三菱マテリアルのような、恥ずかしいことが減りますように、がんばりましょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
対応が遅いな・・ (スコア:4, おもしろおかしい)
05/03 22:45。
三菱マテリアル記事 [mmc.co.jp]によると
5/6朝の8時に某チャットの書き込みでやっと気づいてますね。
朝から何してらしたんでしょうか
Re:対応が遅いな・・ (スコア:2, 興味深い)
先日もこんなふうにデータもCGIもいっしょくたにインストールする奴が居てサー。 /cgi-bin/ に入れてくれよって言っても「出来ません」とか答えるんだよ。 おまえらの「出来ません」「わかりません」でどんどん世の中が悪くなる。 死ね。
Re:対応が遅いな・・ (スコア:0)
置いといて、cgiからパスを指定して呼び出すだけのことでそ?
そんな単純な話じゃない?
Re:対応が遅いな・・ (スコア:1)
Re:対応が遅いな・・ (スコア:2)
データファイルを".cgi"として作成するだけでは何か穴あるでしょうか?
#うちのサイトの掲示板の記事ファイルがそうなんですけど…
ん? 俺、今何か言った?
Re:対応が遅いな・・ (スコア:3, 参考になる)
サーバーのOSとファイルの置き場所とパーミッションによっては、
今回の話題の三菱マテリアルと同じように中身ばっちり丸見えと
いうこともあります。
掲示板のスクリプトの内容次第では、ACCSとOffice氏の事件の時の
ように、ちょっとヒネったやり方で見えることもあります。
つまり、その行為は全然安全にはつながる行為ではないと
いうことです。
Re:対応が遅いな・・ (スコア:1)
ありがとうございます。
データファイルを抜く具体的な方法というのが知りたいですが、自分で調べてみます。まぁ、危険ということがわかっただけでも、今後の自分のサイトのCGIへの意識が高まりました。
ん? 俺、今何か言った?
Re:対応が遅いな・・ (スコア:1)
Re:対応が遅いな・・ (スコア:1)
でもホントいうと、近くサイトのリニューアル考えていて、CGIも作り直そうかなぁって思ってたんで興味本位で聞いてみただけです。homepage@Niftyなのでどうしようもないんですけど。
ん? 俺、今何か言った?
Re:対応が遅いな・・ (スコア:1)
Apache の入れ換えで設定がデフォの「ExecCGIがoff」に戻って死亡
というケース(以下略
Re:対応が遅いな・・ (スコア:0)
Re:対応が遅いな・・ (スコア:3, 参考になる)
<Files "data.dat">
deny from all
</Files>
のようにしてアクセスそのものを拒否するということです。
もちろんhttpd.confが編集できるならそれでもよいのですが。
Re:対応が遅いな・・ (スコア:3, 興味深い)
Apache の入れ換えで設定がデフォの AllowOveride none に戻って死亡
というケースは良く見掛けるんだよな。
Re:対応が遅いな・・ (スコア:0)
データのファイル名を .hthoge にしてしまうとか
Re:対応が遅いな・・ (スコア:0)
なんで、そんな制御入れてまでそんな所に置こうと思うのかが謎です。
Re:対応が遅いな・・ (スコア:1)
開発時に何も考えずに公開部分にデータを置いた。
後から問題に気づいたが、置き場所を変えるには
全てのプログラムファイルを変更、テストしなければならない構造になっている。
Re:対応が遅いな・・ (スコア:1)
「そんな所」以外の場所に置ける権限が、設置者に無い場合とか。
。。。いや、今回のケースがそういう状況だったかどうかは知らんのですが (^_^;。
# そもそもそんなホスティングサービスを個人情報扱うサーバーに使うなと言うお話?
むらちより/あい/をこめて。
Re:対応が遅いな・・ (スコア:0)
そういうホスティングサービスの一覧表を誰か作りませんかね。日経BPとか比較票を作って報道してくれないかな。
Re:対応が遅いな・・ (スコア:1)
フォルダーを作らないといけない、だということで、
CGIもデータも同じフォルダーに入れて、個別に
アクセス権を設定しているところが多いんじゃないの。
それで、ローカルから転送した後アクセス権の変更し忘れ。
Re:対応が遅いな・・ (スコア:0)
#あてずっぽうなのでAC
Re:対応が遅いな・・ (スコア:1, すばらしい洞察)
Re:対応が遅いな・・ (スコア:0)
Re:対応が遅いな・・ (スコア:0)
三マテ社員が自分でやってる訳ではないんでは(あてずっぽう)??
つーかこんな学生バイトでもしねぇミス今時かます会社がのこってるってことは、その手の業界の正常な淘汰がまだ完了してないんでしょうね。
Re:対応が遅いな・・ (スコア:0)
申し訳ない、#542613の意味を取り違えていた&その後のコメントの書き方も悪かったです。
丸出し状態にするには"Options -Indexes"を指定しないだけでは甘い、
もう一工夫必要なんだということだったんですね。
全開丸出しにするためには設定の他にも発注先を選ぶことが必要という意味なのですね。
精進します。
Re:対応が遅いな・・ (スコア:3, 参考になる)
仕事でサーバをちょこちょこ発注しています(自分でも作れるけど会社の方針で外注)。
いわゆる大手メーカーのSI屋に発注するのですが、 設定が緩いよ。
こっちも機能に関する要求はきめ細かく書くし、 ちゃんとチェックするけど、セキュリティ周りや準正常系の 動作って要求しにくいんですよね。そのせいかSI屋も めっちゃ適当に作るし、こっちもちゃんと評価やチェックできる 人材が少ない。もちろん上司なんかは、そういう周りの細かいのを 知っているはずもない。
正直、SI屋もデフォルトの設定より変更するのをいやがるし、知らない。solarisなんて沢山変更が必要だし(変更すれば幾らでもセキュアに出来るのがsolarisの良いところ)、各種デーモンのchrootとか必要だよね。FWなどパケットフィルタなんか全てのサーバに入れると思うのだけど、上位のL3SW or LBの一点入れただけで何で良いとするかなぁ。こっちの運用方針を聞き取りもしないでよく決めるよな。
2004年にもなって新規作成のサイトでXSS対策すると工数がかかるとか言う所はどうにかなりませんかね。そこの会社はお金によってはXSSを考慮しないサイトを今でも構築しているんですかね。
そういうSI屋が納品するサーバをチェックする要員がいなそうな公共団体。そういうところにもシステムを収めているかと思うと恐いです。
正直、この業界は急成長しすぎちゃっていますね。分かる人材が貴重過ぎるし、そういう人材を正当に評価できていない。
自分も資料作って周りの人に迫ることをあまりしていないので、それについては反省しつつ、改善することが今年度の目標です。
三菱マテリアルのような、恥ずかしいことが減りますように、がんばりましょう。
Re:対応が遅いな・・ (スコア:0)
> るってことは、その手の業界の正常な淘汰がまだ完了してないん
> でしょうね。
そだね、淘汰されてない。みかかだたとか目立軟件とか観音軟件とか、とか、とか
Re:対応が遅いな・・ (スコア:0)
繋がりが悪くてメンテしにくくない? このコンテンツは、、、ここと
あそことあそこの中、みたいに分散しちゃうような気がするんだけど。
# 全部一人でやるならなんでもいいんだけどさ。
Re:対応が遅いな・・ (スコア:0)