アカウント名:
パスワード:
/etc/passwdに生書きするのではなく、/etc/shadowに分けようとなった時から/etc/shadowは、root:rootかroot:wheelで640なわけだプログラムにどれだけミスがあっても、OS組み込みの保護機能を越えることはできない
つまりWebサーバー機能にディレクトリトラバーサルの脆弱性があったとしてその脆弱性によって/etc/shadowが読めたのならそのWebサーバーは、最低でもrootかwheelに属していたことになる根本的問題はそこだろディレクトリトラバーサルの脆弱性を塞ぐよりも先にそのふざけた運用方針をどうにかすべき
setuid/setgid(not root)して行う場合であっても、作業は最低限にするなんて常識だしましてや全てがroot権限で動作するWebサーバーなんて論外だ
つーか、食器洗い機なんてrootだけでも十分。そんなもの仮にクラックされたところでどうともならんだろ。
#3185336が言うように火ぃ吹くようなバグを見つけてから騒いだらいい。
そうはいうが今日日この手のマシーンでもbotnetのノードにされちゃうからなあ難儀な時代だな
botnetのノードにされて、なんか困る?
botnetのノードにされて何故困るか解らない子がスラドに紛れ込むとは、難儀な時代だな。
確かに短期的には、言うほど困ったと感じられないのがやっかいなんだよねえ・・・実際には困ったことは裏側で発生しているよ。ネットワーク帯域を食いつぶされるとか、CPU100%で電力を割増払いさせられるとか、発熱量の増加でメーカー想定外の火災リスクが生まれる、とかでもこういうのって表立っては見えにくいから。
さらに言うと bot netがどこかで被害を出し、その攻撃元の1つだと発覚した場合善管注意義務違反による損害賠償の責務が生まれるから長期的な潜在リスクって意味でなら、まともな頭をしてりゃあ怖くて即対応するんだけどね・・・
botnetのノードにされた当人は別に困らねぇよ
「当人」が困る状況を一つも思いつかないの?「困る」の主語に「当人」しか思いつかないの?そんな困った子がスラドに紛れ込むとはね。やれやれ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
なぜディレクトリトラバーサルで/etc/shadowが読めたのか? (スコア:0)
/etc/passwdに生書きするのではなく、/etc/shadowに分けようとなった時から
/etc/shadowは、root:rootかroot:wheelで640なわけだ
プログラムにどれだけミスがあっても、OS組み込みの保護機能を越えることはできない
つまりWebサーバー機能にディレクトリトラバーサルの脆弱性があったとして
その脆弱性によって/etc/shadowが読めたのなら
そのWebサーバーは、最低でもrootかwheelに属していたことになる
根本的問題はそこだろ
ディレクトリトラバーサルの脆弱性を塞ぐよりも先に
そのふざけた運用方針をどうにかすべき
setuid/setgid(not root)して行う場合であっても、作業は最低限にするなんて常識だし
ましてや全てがroot権限で動作するWebサーバーなんて論外だ
Re: (スコア:0)
つーか、食器洗い機なんてrootだけでも十分。
そんなもの仮にクラックされたところでどうともならんだろ。
#3185336が言うように火ぃ吹くようなバグを見つけてから騒いだらいい。
Re: (スコア:1)
そうはいうが今日日この手のマシーンでもbotnetのノードにされちゃうからなあ
難儀な時代だな
Re: (スコア:0)
botnetのノードにされて、なんか困る?
Re: (スコア:0)
botnetのノードにされて何故困るか解らない子がスラドに紛れ込むとは、難儀な時代だな。
Re:なぜディレクトリトラバーサルで/etc/shadowが読めたのか? (スコア:0)
だからbotnetが蔓延するんだろうが。実害出てたらいくら意識低くても即対策するわ
そんなことも解らない子がスラドに紛れ込むとは、難儀な時代だな。
Re: (スコア:0)
確かに短期的には、言うほど困ったと感じられないのがやっかいなんだよねえ・・・
実際には困ったことは裏側で発生しているよ。
ネットワーク帯域を食いつぶされるとか、CPU100%で電力を割増払いさせられるとか、
発熱量の増加でメーカー想定外の火災リスクが生まれる、とか
でもこういうのって表立っては見えにくいから。
さらに言うと bot netがどこかで被害を出し、その攻撃元の1つだと発覚した場合
善管注意義務違反による損害賠償の責務が生まれるから
長期的な潜在リスクって意味でなら、まともな頭をしてりゃあ
怖くて即対応するんだけどね・・・
Re: (スコア:0)
botnetのノードにされた当人は別に困らねぇよ
「当人」が困る状況を一つも思いつかないの?
「困る」の主語に「当人」しか思いつかないの?
そんな困った子がスラドに紛れ込むとはね。
やれやれ。