アカウント名:
パスワード:
memcachedをダダ漏れで使っているケースなんて想定外だろうな。しかしその想定外の使い方をしているケースがあるとすればまずいよ、という啓蒙か。
普通はバックエンドのDBや分散key-valueストアなんてのはシステム外からはアクセス出来ないサーバファーム専用のネットーワーク内にあって、インターフェイスも物理的に別個だったり、ブレードのフレームに有るスイッチが持ってるVLANモドキ機能とか、そうでなくてもせめてVLANで切り分けられているネットワーク内にあるものだと思うが。
その内部でモニタすればバレバレだよ、とか言われるとじゃぁロードバランサでSSLを解除してバックエンドのウェブサーバに振り分けるのもアウトなのかと。
今までは内部バスとか別NICで専門家がやってたことをネットワークの素人がやるようになったから露見したんじゃないですかね。ちゃんとFW組もうよ、と。
>ちゃんとFW組もうよ、と本来ならFWすらいらないはずという話なんじゃないの?
FW組んだって、普通に通信が行われている限り覗かれて困るのは同じでしょ。VPNなんかでトンネリングしたりしなきゃ変わらないんでは。
外からのmemcachedサーバとか非公開リソースへのアクセスを軽く止める必要もあるんじゃないですか?telnetポートが開いてるよ、みたいな話じゃないですか。
(T/O)
# Ciscoがシリアルに拘る理由が分かるというか
シリアル [nissincisco.co.jp]もいいですね。
最近の私はサブレの方が好みですが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
memcachedをダダ漏れで使っているケースなんて想定外 (スコア:4, 参考になる)
memcachedをダダ漏れで使っているケースなんて想定外だろうな。
しかしその想定外の使い方をしているケースがあるとすればまずいよ、という啓蒙か。
普通はバックエンドのDBや分散key-valueストアなんてのは
システム外からはアクセス出来ないサーバファーム専用のネットーワーク内にあって、
インターフェイスも物理的に別個だったり、
ブレードのフレームに有るスイッチが持ってるVLANモドキ機能とか、
そうでなくてもせめてVLANで切り分けられているネットワーク内にあるものだと思うが。
その内部でモニタすればバレバレだよ、とか言われると
じゃぁロードバランサでSSLを解除してバックエンドのウェブサーバに振り分けるのもアウトなのかと。
屍体メモ [windy.cx]
敷居が下がって (スコア:2)
今までは内部バスとか別NICで専門家がやってたことをネットワークの素人がやるようになったから露見したんじゃないですかね。
ちゃんとFW組もうよ、と。
Re: (スコア:0)
>ちゃんとFW組もうよ、と
本来ならFWすらいらないはずという話なんじゃないの?
Re: (スコア:0)
FW組んだって、普通に通信が行われている限り覗かれて困るのは同じでしょ。
VPNなんかでトンネリングしたりしなきゃ変わらないんでは。
外から中に入れるのがおかしい訳で (スコア:2)
外からのmemcachedサーバとか非公開リソースへのアクセスを軽く止める必要もあるんじゃないですか?
telnetポートが開いてるよ、みたいな話じゃないですか。
大事なことなので37回言いました (スコア:1, 参考になる)
スライドを3行でまとめると
memcachedってメジャーだし単純で簡単だよね(いろいろな意味で)
2^16の範囲をスキャンして見つかった229個でダンプ取ったらパスワードいっぱい。テキストベースだから検索楽々!
キャッシュ書き換えて広告のせちゃった。pythonのpickleならshell code走るから夢いっぱい!
だそうです。
FW, FW, FW, FW, egg, bacon, FW, FW, ... (スコア:2)
(T/O)
# Ciscoがシリアルに拘る理由が分かるというか
coconut, sable, sesami, sable, butter, sable, ... (スコア:0)
シリアル [nissincisco.co.jp]もいいですね。
最近の私はサブレの方が好みですが。