パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性」記事へのコメント

  • /etc/passwdに生書きするのではなく、/etc/shadowに分けようとなった時から
    /etc/shadowは、root:rootかroot:wheelで640なわけだ
    プログラムにどれだけミスがあっても、OS組み込みの保護機能を越えることはできない

    つまりWebサーバー機能にディレクトリトラバーサルの脆弱性があったとして
    その脆弱性によって/etc/shadowが読めたのなら
    そのWebサーバーは、最低でもrootかwheelに属していたことになる
    根本的問題はそこだろ
    ディレクトリトラバーサルの脆弱性を塞ぐよりも先に
    そのふざけた運用方針をどうにかすべき

    setuid/setgid(not root)して行う場合であっても、作業は最低限にするなんて常識だし
    ましてや全てがroot権限で動作するWebサーバーなんて論外だ

    • by Anonymous Coward

      つーか、食器洗い機なんてrootだけでも十分。
      そんなもの仮にクラックされたところでどうともならんだろ。

      #3185336が言うように火ぃ吹くようなバグを見つけてから騒いだらいい。

      • by Anonymous Coward

        そうはいうが今日日この手のマシーンでもbotnetのノードにされちゃうからなあ
        難儀な時代だな

        • by Anonymous Coward

          警察が
          「おたくのIPから不正アクセスがありまして」
          って朝尋ねに来るのか。

          でもって調査の為に食洗機を持ってくのか

          • by Anonymous Coward

            PC乗っ取りでIPアドレスが一致したというだけで反論も聞いてもらえずに逮捕されてしまった事例がある以上、リスクは避けた方が無難でしょうね。

            • by Anonymous Coward

              そういう事例とボットネットに参加してるデバイスの数、
              交通事故に遭う事例と自動車の数、ってなを考えると、
              そのリスクを避けるためにどれほどのコストをかけるべきか疑問。

              • by Anonymous Coward

                そりゃあ、高いコストをかけるのは割りに合わないかも知れないが、
                流石にこのレベルの話なら、対策にほとんど金かからないだろ……。
                ファイルの権限を適切に設定するだけだろ?

              • by Anonymous Coward

                誰にとっての話してるのか知らんが、レストランのオーナーにしてみりゃ
                食器洗い機のファイル権限を適切に設定するのは「だけ」ってレベルじゃないと思うぞ。

              • さすがにそれは食洗機メーカー(orベンダー)の仕事でしょう
                親コメント

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...