アカウント名:
パスワード:
最新のソースコードだけでなく、過去の間違いも全部盗まれるって事ですよね…
なんて場合が露呈することだ。当然「残っているソースコード中から同じパターンを探す」事をすれば、同じような間違いはまだ何個か残っているだろう。その中にはセキュリティホールになったり、裏技的な使い方ができたりするものも含まれているだろう。
というわけで、これはかなり手痛い場合がありえますね。
とりあえず、このへんにぶら下げましょうか。
mod_python なんかだと、(多分、mod_perl や php でも同じ)ソースコードに Basic認証の username/password を書けたりしちゃう [python.jp] ので、ソースを読まれたら相当痛い事になります。
例えば CGI を作成するときに、Apache の設定 [apache.jp]で、ScriptAlias [apache.jp] を使うのか、Options ExecCGI [apache.jp] を使うのかを比べてみると、前者の方は原則スクリプト以外は置けないので、そこやサブディレクトリにあるソースを読む事はできないことなんじゃないかと思います。
スクリプトと同じディレクトリに画像を置きたいとか、Apache でよくある事例なんですが、セキュリティ的には、スクリプトと同じディレクトリには置けない方が安全というような考察も必要ってことです。
すみません、mod_python の例は、こちら [python.jp] の方がよかったかも。
あと、推敲してるつもりが乱文になってますが、笑って見逃してください。m(__)m
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:1)
最新のソースコードだけでなく、過去の間違いも全部盗まれるって事ですよね…
なんて場合が露呈することだ。当然「残っているソースコード中から同じパターンを探す」事をすれば、同じような間違いはまだ何個か残っているだろう。その中にはセキュリティホールになったり、裏技的な使い方ができたりするものも含まれているだろう。
というわけで、これはかなり手痛い場合がありえますね。
fjの教祖様
Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:1)
とりあえず、このへんにぶら下げましょうか。
mod_python なんかだと、(多分、mod_perl や php でも同じ)ソースコードに Basic認証の username/password を書けたりしちゃう [python.jp] ので、ソースを読まれたら相当痛い事になります。
例えば CGI を作成するときに、Apache の設定 [apache.jp]で、ScriptAlias [apache.jp] を使うのか、Options ExecCGI [apache.jp] を使うのかを比べてみると、前者の方は原則スクリプト以外は置けないので、そこやサブディレクトリにあるソースを読む事はできないことなんじゃないかと思います。
スクリプトと同じディレクトリに画像を置きたいとか、Apache でよくある事例なんですが、セキュリティ的には、スクリプトと同じディレクトリには置けない方が安全というような考察も必要ってことです。
Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:1)
すみません、mod_python の例は、こちら [python.jp] の方がよかったかも。
あと、推敲してるつもりが乱文になってますが、笑って見逃してください。m(__)m
Re: (スコア:0)