アカウント名:
パスワード:
/etc/passwdに生書きするのではなく、/etc/shadowに分けようとなった時から/etc/shadowは、root:rootかroot:wheelで640なわけだプログラムにどれだけミスがあっても、OS組み込みの保護機能を越えることはできない
つまりWebサーバー機能にディレクトリトラバーサルの脆弱性があったとしてその脆弱性によって/etc/shadowが読めたのならそのWebサーバーは、最低でもrootかwheelに属していたことになる根本的問題はそこだろディレクトリトラバーサルの脆弱性を塞ぐよりも先にそのふざけた運用方針をどうにかすべき
setuid/setgid(not root)して行う場合であっても、作業は最低限にするなんて常識だしましてや全てがroot権限で動作するWebサーバーなんて論外だ
つーか、食器洗い機なんてrootだけでも十分。そんなもの仮にクラックされたところでどうともならんだろ。
#3185336が言うように火ぃ吹くようなバグを見つけてから騒いだらいい。
そうはいうが今日日この手のマシーンでもbotnetのノードにされちゃうからなあ難儀な時代だな
botnetのノードにされて、なんか困る?
そりゃおまえ困…困…あれ…困らない気がしてきた…いい…いっか…意識低くしていこっか…
botnetのノードにされて何故困るか解らない子がスラドに紛れ込むとは、難儀な時代だな。
確かに短期的には、言うほど困ったと感じられないのがやっかいなんだよねえ・・・実際には困ったことは裏側で発生しているよ。ネットワーク帯域を食いつぶされるとか、CPU100%で電力を割増払いさせられるとか、発熱量の増加でメーカー想定外の火災リスクが生まれる、とかでもこういうのって表立っては見えにくいから。
さらに言うと bot netがどこかで被害を出し、その攻撃元の1つだと発覚した場合善管注意義務違反による損害賠償の責務が生まれるから長期的な潜在リスクって意味でなら、まともな頭をしてりゃあ怖くて即対応するんだけどね・・・
botnetのノードにされた当人は別に困らねぇよ
「当人」が困る状況を一つも思いつかないの?「困る」の主語に「当人」しか思いつかないの?そんな困った子がスラドに紛れ込むとはね。やれやれ。
警察が「おたくのIPから不正アクセスがありまして」って朝尋ねに来るのか。
でもって調査の為に食洗機を持ってくのか
PC乗っ取りでIPアドレスが一致したというだけで反論も聞いてもらえずに逮捕されてしまった事例がある以上、リスクは避けた方が無難でしょうね。
そういう事例とボットネットに参加してるデバイスの数、交通事故に遭う事例と自動車の数、ってなを考えると、そのリスクを避けるためにどれほどのコストをかけるべきか疑問。
そりゃあ、高いコストをかけるのは割りに合わないかも知れないが、流石にこのレベルの話なら、対策にほとんど金かからないだろ……。ファイルの権限を適切に設定するだけだろ?
誰にとっての話してるのか知らんが、レストランのオーナーにしてみりゃ食器洗い機のファイル権限を適切に設定するのは「だけ」ってレベルじゃないと思うぞ。
むしろTorの終端ノードを開いてみたり、ボットネットの一匹でも飼っていた方があれはボットネットのせいですと言えて便利。 悪い事を本当にしていてもね。
普通に考えてボットネットはLANの中にアクセスできるから普通に情報が盗めるし攻撃に使えるって発想がここまでないのは驚く。 ボットネットが本当にWANだけを相手にしていれば確かに大した実害はないけど。
税務署「皿洗いの回数からすると売上申告が少なすぎる」
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
なぜディレクトリトラバーサルで/etc/shadowが読めたのか? (スコア:0)
/etc/passwdに生書きするのではなく、/etc/shadowに分けようとなった時から
/etc/shadowは、root:rootかroot:wheelで640なわけだ
プログラムにどれだけミスがあっても、OS組み込みの保護機能を越えることはできない
つまりWebサーバー機能にディレクトリトラバーサルの脆弱性があったとして
その脆弱性によって/etc/shadowが読めたのなら
そのWebサーバーは、最低でもrootかwheelに属していたことになる
根本的問題はそこだろ
ディレクトリトラバーサルの脆弱性を塞ぐよりも先に
そのふざけた運用方針をどうにかすべき
setuid/setgid(not root)して行う場合であっても、作業は最低限にするなんて常識だし
ましてや全てがroot権限で動作するWebサーバーなんて論外だ
Re: (スコア:0)
つーか、食器洗い機なんてrootだけでも十分。
そんなもの仮にクラックされたところでどうともならんだろ。
#3185336が言うように火ぃ吹くようなバグを見つけてから騒いだらいい。
Re:なぜディレクトリトラバーサルで/etc/shadowが読めたのか? (スコア:1)
そうはいうが今日日この手のマシーンでもbotnetのノードにされちゃうからなあ
難儀な時代だな
Re: (スコア:0)
botnetのノードにされて、なんか困る?
Re: (スコア:0)
そりゃおまえ困…困…あれ…困らない気がしてきた…いい…いっか…意識低くしていこっか…
Re: (スコア:0)
Re: (スコア:0)
botnetのノードにされて何故困るか解らない子がスラドに紛れ込むとは、難儀な時代だな。
Re: (スコア:0)
だからbotnetが蔓延するんだろうが。実害出てたらいくら意識低くても即対策するわ
そんなことも解らない子がスラドに紛れ込むとは、難儀な時代だな。
Re: (スコア:0)
確かに短期的には、言うほど困ったと感じられないのがやっかいなんだよねえ・・・
実際には困ったことは裏側で発生しているよ。
ネットワーク帯域を食いつぶされるとか、CPU100%で電力を割増払いさせられるとか、
発熱量の増加でメーカー想定外の火災リスクが生まれる、とか
でもこういうのって表立っては見えにくいから。
さらに言うと bot netがどこかで被害を出し、その攻撃元の1つだと発覚した場合
善管注意義務違反による損害賠償の責務が生まれるから
長期的な潜在リスクって意味でなら、まともな頭をしてりゃあ
怖くて即対応するんだけどね・・・
Re: (スコア:0)
botnetのノードにされた当人は別に困らねぇよ
「当人」が困る状況を一つも思いつかないの?
「困る」の主語に「当人」しか思いつかないの?
そんな困った子がスラドに紛れ込むとはね。
やれやれ。
Re: (スコア:0)
警察が
「おたくのIPから不正アクセスがありまして」
って朝尋ねに来るのか。
でもって調査の為に食洗機を持ってくのか
Re:なぜディレクトリトラバーサルで/etc/shadowが読めたのか? (スコア:1)
Re: (スコア:0)
PC乗っ取りでIPアドレスが一致したというだけで反論も聞いてもらえずに逮捕されてしまった事例がある以上、リスクは避けた方が無難でしょうね。
Re: (スコア:0)
そういう事例とボットネットに参加してるデバイスの数、
交通事故に遭う事例と自動車の数、ってなを考えると、
そのリスクを避けるためにどれほどのコストをかけるべきか疑問。
Re: (スコア:0)
そりゃあ、高いコストをかけるのは割りに合わないかも知れないが、
流石にこのレベルの話なら、対策にほとんど金かからないだろ……。
ファイルの権限を適切に設定するだけだろ?
Re: (スコア:0)
誰にとっての話してるのか知らんが、レストランのオーナーにしてみりゃ
食器洗い機のファイル権限を適切に設定するのは「だけ」ってレベルじゃないと思うぞ。
Re:なぜディレクトリトラバーサルで/etc/shadowが読めたのか? (スコア:1)
Re: (スコア:0)
むしろTorの終端ノードを開いてみたり、ボットネットの一匹でも飼っていた方があれはボットネットのせいですと言えて便利。
悪い事を本当にしていてもね。
普通に考えてボットネットはLANの中にアクセスできるから普通に情報が盗めるし攻撃に使えるって発想がここまでないのは驚く。
ボットネットが本当にWANだけを相手にしていれば確かに大した実害はないけど。
Re: (スコア:0)
税務署「皿洗いの回数からすると売上申告が少なすぎる」