アカウント名:
パスワード:
分けてなかったから、脆弱性対策適用のスクリプトでバックアップのシステムファイルを消したらユーザデータも消えたという問題にも見える。
ここの問題は、バックアップという名前の、疑似RAID1だったってこと。
カタログスペックと聞いた話でしか僕はわからないけど:
この2通りで、疑似ミラーリングしていたわけです
本番系がたとえば朝5時59分に落ちた場合、自動で待機系に切り替えるようになっていたようで、この場合は23時間59分ぶんのデータがまるっと無くなる仕組みです。
いままでは
だったわけですが、これはバックアップではなく1世代だけある待機系に切り替わっただけです。
この間にエンジニアがえっちらおっちら待機系からクローニングして、あらたな待機系をぶら下げていたと推測します。
任意タイミングでとったスナップショットがないので、結果10日前に戻るとかそういうのも出来なかったのでしょう。
つまり、バックアップ機能搭載!と謳ってないサービスはスタンドアロン運用だということで、ただの領域貸しですね。
#しまった 出遅れた
あれ、すると同じマシン上にあったと言われるバックアップは?
というか今時そんな待機系があるのか・・・自動SYNCってったって時間もかかるだろうし、稼働中の環境でスナップショットなしに整合性のとれたミラーリングが出来ていたのだろうか。Windows環境みたくファイルロックされてコピーできていないなんて事態はないのか。編集中のファイルコピーされてもしかたないだろうに。# 因みに今どきのWindowsはスナップショットコピーされるようになってます。
聞けば聞くほど謎は深まるばかりです。
というか、待機系(ホットスタンバイ)はデータバックアップじゃないもんなあ。VPSのバックアップもこの程度のもんなのかな?
VPSの様なソリューションってデータバックアップはしないのが普通なんでしょうかね。
100歩譲って(安いんだから)定期的にデータバックアップしてないのは許せるとしても環境変更時は最悪元に戻せるように事前にバックアップ取るのが普通じゃないのかなぁ。何かあった時に復旧できない。
まあコスト削減のためにリスクを多く取り過ぎたってことなんだろうけど。
VPSのバックアップは(マネージドでない限り)それこそユーザーの責任だろ。IaaSなのにシェルログイン機能とか軒並み省略されてたらウケるけど
利用規約にデータバックアップは取りませんと書いてある以上は、こんなもんじゃないかな。
あとは利用者がバックアップを取れるようにしてくれればよかったんだけど。# っていうか利用者がバックアップ取れないのにその規約はどうなの
取れるようになってたんじゃないでしょうか。事後のアナウンスにもバックアップのとり方が示されてますし。事前にバックアップを取るように十分にアナウンスしていたとしたら、結構大きな企業の担当者が慌てる事態になったとも思えませんが。
Q. どうやって取りましょうかね?
A. CGIにSQLインジェクションを埋め込む。
さらに、脆弱性があることを周知すれば何もせずとも第3者がデータバックアップをどんどんしてくれるという。データバックアップの取得は不正アクセス禁止法違反による家宅捜索で押収。
まさにクラウド。
ftpがあるだろ。DBは管理ツールから、ダンプできる。JK
> まさにクラウド。なんか"crowd"っぽい(笑)。
むしろ「kuraudo」っぽいw
いや今回の障害の起点は、脆弱性対策だからそれだと本末転倒でしょう。
規約にはそのようにかいてありましたがバックアップを(露骨に)謳ってたので(専門じゃなので間違ってるかもしれませんが)誇大広告とか不当表示防止法とかひっかかりそうな法律が結構あるので規約より法律が勝ちそうなきがします。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
システム系バックアップとユーザーデータバックアップ (スコア:0)
分けてなかったから、脆弱性対策適用のスクリプトでバックアップの
システムファイルを消したらユーザデータも消えたという問題にも
見える。
Re:システム系バックアップとユーザーデータバックアップ (スコア:5, 参考になる)
ここの問題は、バックアップという名前の、疑似RAID1だったってこと。
カタログスペックと聞いた話でしか僕はわからないけど:
この2通りで、疑似ミラーリングしていたわけです
本番系がたとえば朝5時59分に落ちた場合、
自動で待機系に切り替えるようになっていたようで、
この場合は23時間59分ぶんのデータがまるっと無くなる仕組みです。
いままでは
だったわけですが、これはバックアップではなく
1世代だけある待機系に切り替わっただけです。
この間にエンジニアがえっちらおっちら待機系から
クローニングして、あらたな待機系をぶら下げていたと推測します。
任意タイミングでとったスナップショットがないので、
結果10日前に戻るとかそういうのも出来なかったのでしょう。
つまり、バックアップ機能搭載!と謳ってないサービスは
スタンドアロン運用だということで、ただの領域貸しですね。
#しまった 出遅れた
( ´・ω・`)いままでとこれからを比べる生活
ぱんかれ
Re: (スコア:0)
あれ、すると同じマシン上にあったと言われるバックアップは?
というか今時そんな待機系があるのか・・・
自動SYNCってったって時間もかかるだろうし、稼働中の環境でスナップショットなしに整合性のとれたミラーリングが出来ていたのだろうか。
Windows環境みたくファイルロックされてコピーできていないなんて事態はないのか。
編集中のファイルコピーされてもしかたないだろうに。
# 因みに今どきのWindowsはスナップショットコピーされるようになってます。
聞けば聞くほど謎は深まるばかりです。
今時じゃないのかも (スコア:2)
Re: (スコア:0)
Re: (スコア:0)
というか、待機系(ホットスタンバイ)はデータバックアップじゃないもんなあ。
VPSのバックアップもこの程度のもんなのかな?
Re:システム系バックアップとユーザーデータバックアップ (スコア:3)
VPSの様なソリューションってデータバックアップはしないのが普通なんでしょうかね。
100歩譲って(安いんだから)定期的にデータバックアップしてないのは許せるとしても
環境変更時は最悪元に戻せるように事前にバックアップ取るのが普通じゃないのかなぁ。
何かあった時に復旧できない。
まあコスト削減のためにリスクを多く取り過ぎたってことなんだろうけど。
Re: (スコア:0)
VPSのバックアップは(マネージドでない限り)それこそユーザーの責任だろ。IaaSなのにシェルログイン機能とか軒並み省略されてたらウケるけど
Re: (スコア:0)
利用規約にデータバックアップは取りませんと書いてある以上は、こんなもんじゃないかな。
Re:システム系バックアップとユーザーデータバックアップ (スコア:1)
あとは利用者がバックアップを取れるようにしてくれればよかったんだけど。
# っていうか利用者がバックアップ取れないのにその規約はどうなの
Re:システム系バックアップとユーザーデータバックアップ (スコア:1)
取れるようになってたんじゃないでしょうか。
事後のアナウンスにもバックアップのとり方が示されてますし。
事前にバックアップを取るように十分にアナウンスしていたとしたら、結構大きな企業の担当者が慌てる事態になったとも思えませんが。
Re:システム系バックアップとユーザーデータバックアップ (スコア:3, 興味深い)
「※外部サーバーからのデータベース連携はできません。
※シェル(TELNET、SSHなど)はご利用いただけません。 」
どうやって取りましょうかね?
Re:システム系バックアップとユーザーデータバックアップ (スコア:2)
Q. どうやって取りましょうかね?
A. CGIにSQLインジェクションを埋め込む。
さらに、脆弱性があることを周知すれば何もせずとも第3者がデータバックアップをどんどんしてくれるという。
データバックアップの取得は不正アクセス禁止法違反による家宅捜索で押収。
まさにクラウド。
Re: (スコア:0)
Re: (スコア:0)
ftpがあるだろ。
DBは管理ツールから、ダンプできる。
JK
Re: (スコア:0)
> まさにクラウド。
なんか"crowd"っぽい(笑)。
Re: (スコア:0)
むしろ「kuraudo」っぽいw
Re: (スコア:0)
いや今回の障害の起点は、脆弱性対策だからそれだと本末転倒でしょう。
Re:システム系バックアップとユーザーデータバックアップ (スコア:1)
規約にはそのようにかいてありましたがバックアップを(露骨に)謳ってたので(専門じゃなので間違ってるかもしれませんが)誇大広告とか不当表示防止法とかひっかかりそうな法律が結構あるので規約より法律が勝ちそうなきがします。