アカウント名:
パスワード:
サーバーの設定ミスによりデータベースが公開状態になっており、サーバーのIPアドレスを知っていればアクセス可能であったと発表
ajaxなhtmlソースからバレた?
>ajaxなhtmlソースからバレた?
多分No。
発見者であるChris Vickeryさんが、MacKeeperでユーザー情報が漏洩していることを発見した [krebsonsecurity.com]時にはShodanで27017番ポートが開いているサーバーを検索して見つけたと言っていました。サンリオタウンの「サーバーの設定ミス」も、ポートが開いていてShodanで探索結果として掲載され、認証なしで操作できたのではないかと、私は推測しています。
もう、「MongoDBの脆弱性」として騒ぐべきなのではないか?
そこにいるエンジニアの脆弱性だし。Oracleでsystem/managerscott/tigerを有効にして無制限の権限与えてetc...と同じ。こういう所はWindowsのAdministrator、Linuxのrootも同じことやってる可能性高い上に、自分達が絶対正義なんだよね。ISO/IEEE規格ですら自分の意にそぐわないのはバグ呼ばわり(それ以前に知らない)。そういうトコで反論しても味方は一人も居なかった上に人格攻撃と嫌がらせのオンパレードだったので、逃げる以外の術はないよ。
まあ人格攻撃はされるだろうなあって感じの文章
http://security.srad.jp/story/15/12/17/1649245/ [security.srad.jp]
申し訳ない…年末特有の雰囲気(酔っぱらい)故のtypoです…
#恥ずかしいのでAC
Webサーバーとか何か既知のIPと隣接してたのでは。
> ajaxなhtmlソースからバレた?
ajaxなhtmlからDBを直にさすことはないでしょう?それってやばいでしょう?
>それってやばいでしょう?でも楽でしょう?
API立てたほうが楽です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
DBサーバにグルーバルIPアドレス振ってたの? (スコア:1)
ajaxなhtmlソースからバレた?
Re:DBサーバにグルーバルIPアドレス振ってたの? (スコア:4, 興味深い)
>ajaxなhtmlソースからバレた?
多分No。
発見者であるChris Vickeryさんが、MacKeeperでユーザー情報が漏洩していることを発見した [krebsonsecurity.com]時にはShodanで27017番ポートが開いているサーバーを検索して見つけたと言っていました。
サンリオタウンの「サーバーの設定ミス」も、ポートが開いていてShodanで探索結果として掲載され、認証なしで操作できたのではないかと、私は推測しています。
Re: (スコア:0)
もう、「MongoDBの脆弱性」として騒ぐべきなのではないか?
Re: (スコア:0)
そこにいるエンジニアの脆弱性だし。
Oracleで
system/manager
scott/tiger
を有効にして無制限の権限与えてetc...と同じ。
こういう所はWindowsのAdministrator、Linuxのrootも同じことやってる可能性高い上に、自分達が絶対正義なんだよね。
ISO/IEEE規格ですら自分の意にそぐわないのはバグ呼ばわり(それ以前に知らない)。
そういうトコで反論しても味方は一人も居なかった上に人格攻撃と嫌がらせのオンパレードだったので、逃げる以外の術はないよ。
Re: (スコア:0)
まあ人格攻撃はされるだろうなあって感じの文章
Re: (スコア:0)
http://security.srad.jp/story/15/12/17/1649245/ [security.srad.jp]
Re:DBサーバにグルーバルIPアドレス振ってたの? (スコア:3)
Re:DBサーバにグろーバルIPアドレス振ってたの? (スコア:0)
申し訳ない…年末特有の雰囲気(酔っぱらい)故のtypoです…
#恥ずかしいのでAC
Re:DBサーバにグルーバルIPアドレス振ってたの? (スコア:1)
Webサーバーとか何か既知のIPと隣接してたのでは。
Re: (スコア:0)
> ajaxなhtmlソースからバレた?
ajaxなhtmlからDBを直にさすことはないでしょう?
それってやばいでしょう?
Re: (スコア:0)
>それってやばいでしょう?
でも楽でしょう?
Re: (スコア:0)
API立てたほうが楽です。