アカウント名:
パスワード:
WordPressの脆弱性より、ホスティングサービスの方がヤバいやん。ホスティングサービスに正式に契約したユーザは、他のユーザのデータをいじれるってことやん。WordPressに不正ログインした悪者もこれにはびっくり大爆笑だったんじゃないかな…。
外に見えているネットワークとは別に管理系のネットワークが存在していて裏ではサーバたちが繋がっているようなものだったんでしょうかね
ネットワーク関係なく、PHP経由でshellでコマンド実行できて、他のユーザーのフォルダに書き込みできた、ってところじゃね?shellじゃなくても、普通にPHPの関数で他のユーザーの領域の読み書きができたのかも。昔はsafe modeとかいう機能で制限かけるのが一般的だったけどPHP5.4で廃止されたんだよな。今はどうやってんだろ。
個人的には、もうVPSがワンコイン以下で借りれるわけだし、わざわざ共用を借りることはないかなと思ってるけど、管理の手間とかで共用選ぶのもありか。
その昔でもSafe Modeに依存するのは一般的ではないと思うな。
ユーザー毎にchrootするのが基本で、でも、リソースがもったいないので簡易的なところではCGIモードで動作させて、SUEXEC珍しいケースでSuPHP
んで、PHPの設定では、open_base_dirを一応ね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
ホスティングサービスの脆弱性 (スコア:0)
WordPressの脆弱性より、ホスティングサービスの方がヤバいやん。ホスティングサービスに正式に契約したユーザは、他のユーザのデータをいじれるってことやん。WordPressに不正ログインした悪者もこれにはびっくり大爆笑だったんじゃないかな…。
Re: (スコア:0)
外に見えているネットワークとは別に管理系のネットワークが存在していて裏ではサーバたちが繋がっているようなものだったんでしょうかね
Re: (スコア:0)
ネットワーク関係なく、PHP経由でshellでコマンド実行できて、他のユーザーのフォルダに書き込みできた、ってところじゃね?
shellじゃなくても、普通にPHPの関数で他のユーザーの領域の読み書きができたのかも。
昔はsafe modeとかいう機能で制限かけるのが一般的だったけどPHP5.4で廃止されたんだよな。
今はどうやってんだろ。
個人的には、もうVPSがワンコイン以下で借りれるわけだし、わざわざ共用を借りることはないかなと思ってるけど、
管理の手間とかで共用選ぶのもありか。
Re:ホスティングサービスの脆弱性 (スコア:0)
その昔でもSafe Modeに依存するのは一般的ではないと思うな。
ユーザー毎にchrootするのが基本で、でも、リソースがもったいないので
簡易的なところではCGIモードで動作させて、SUEXEC
珍しいケースでSuPHP
んで、PHPの設定では、open_base_dirを一応ね。