パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性」記事へのコメント

  • /etc/passwdに生書きするのではなく、/etc/shadowに分けようとなった時から
    /etc/shadowは、root:rootかroot:wheelで640なわけだ
    プログラムにどれだけミスがあっても、OS組み込みの保護機能を越えることはできない

    つまりWebサーバー機能にディレクトリトラバーサルの脆弱性があったとして
    その脆弱性によって/etc/shadowが読めたのなら
    そのWebサーバーは、最低でもrootかwheelに属していたことになる
    根本的問題はそこだろ
    ディレクトリトラバーサルの脆弱性を塞ぐよりも先に
    そのふざけた運用方針をどうにかすべき

    setuid/setgid(not root)して行う場合であっても、作業は最低限にするなんて常識だし
    ましてや全てがroot権限で動作するWebサーバーなんて論外だ

    • つーか、食器洗い機なんてrootだけでも十分。
      そんなもの仮にクラックされたところでどうともならんだろ。

      #3185336が言うように火ぃ吹くようなバグを見つけてから騒いだらいい。

      親コメント
      • そうはいうが今日日この手のマシーンでもbotnetのノードにされちゃうからなあ
        難儀な時代だな

        親コメント
        • by Anonymous Coward

          botnetのノードにされて、なんか困る?

          • by Anonymous Coward

            そりゃおまえ困…困…あれ…困らない気がしてきた…いい…いっか…意識低くしていこっか…

          • by Anonymous Coward
            電気代ガー
          • by Anonymous Coward

            botnetのノードにされて何故困るか解らない子がスラドに紛れ込むとは、難儀な時代だな。

            • by Anonymous Coward
              botnetのノードにされた当人は別に困らねぇよ
              だからbotnetが蔓延するんだろうが。実害出てたらいくら意識低くても即対策するわ
              そんなことも解らない子がスラドに紛れ込むとは、難儀な時代だな。
              • by Anonymous Coward

                確かに短期的には、言うほど困ったと感じられないのがやっかいなんだよねえ・・・
                実際には困ったことは裏側で発生しているよ。
                ネットワーク帯域を食いつぶされるとか、CPU100%で電力を割増払いさせられるとか、
                発熱量の増加でメーカー想定外の火災リスクが生まれる、とか
                でもこういうのって表立っては見えにくいから。

                さらに言うと bot netがどこかで被害を出し、その攻撃元の1つだと発覚した場合
                善管注意義務違反による損害賠償の責務が生まれるから
                長期的な潜在リスクって意味でなら、まともな頭をしてりゃあ
                怖くて即対応するんだけどね・・・

              • by Anonymous Coward

                botnetのノードにされた当人は別に困らねぇよ

                「当人」が困る状況を一つも思いつかないの?
                「困る」の主語に「当人」しか思いつかないの?
                そんな困った子がスラドに紛れ込むとはね。
                やれやれ。

        • by Anonymous Coward

          警察が
          「おたくのIPから不正アクセスがありまして」
          って朝尋ねに来るのか。

          でもって調査の為に食洗機を持ってくのか

          • 業務用持ってくのは大変ですな (そこかよ
            親コメント
          • by Anonymous Coward

            PC乗っ取りでIPアドレスが一致したというだけで反論も聞いてもらえずに逮捕されてしまった事例がある以上、リスクは避けた方が無難でしょうね。

            • by Anonymous Coward

              そういう事例とボットネットに参加してるデバイスの数、
              交通事故に遭う事例と自動車の数、ってなを考えると、
              そのリスクを避けるためにどれほどのコストをかけるべきか疑問。

              • by Anonymous Coward

                そりゃあ、高いコストをかけるのは割りに合わないかも知れないが、
                流石にこのレベルの話なら、対策にほとんど金かからないだろ……。
                ファイルの権限を適切に設定するだけだろ?

              • by Anonymous Coward

                誰にとっての話してるのか知らんが、レストランのオーナーにしてみりゃ
                食器洗い機のファイル権限を適切に設定するのは「だけ」ってレベルじゃないと思うぞ。

              • さすがにそれは食洗機メーカー(orベンダー)の仕事でしょう
                親コメント
            • by Anonymous Coward

              むしろTorの終端ノードを開いてみたり、ボットネットの一匹でも飼っていた方があれはボットネットのせいですと言えて便利。
              悪い事を本当にしていてもね。

              普通に考えてボットネットはLANの中にアクセスできるから普通に情報が盗めるし攻撃に使えるって発想がここまでないのは驚く。
              ボットネットが本当にWANだけを相手にしていれば確かに大した実害はないけど。

          • by Anonymous Coward

            税務署「皿洗いの回数からすると売上申告が少なすぎる」

      • by Anonymous Coward

        そういうおバカプログラマが書いたプログラムがシステムを破壊したら困る、
        という理由でサービス用プログラムには root 以外で動いていただきたく。

        最悪、再起動すればなおるじゃん?

        誰にネットワーク接続を許可するのか、を記憶するエリアは少なくとも書き込み可能なはずだし
        全部 ROM って訳ではなさそうですもの。

      • by Anonymous Coward

        基地の稼働状況を把握されたりして。

        • by Anonymous Coward

          滅菌・乾燥もオプションつければいけるし
          壁に設置して汚染区側から入れ清潔区側から取り出す運用もできるし
          バーコードスキャナーオプションがあったり
          ペトリ皿とかビーカーという記述
          内容物や血液のこびりつきは落として入れてねという記述があったり
          本格的ですね。
          データシートに記録を残す必要があるような所で使うんですね。
          スパイ活動の対象になるような施設で使われる可能性もありそうですね。

      • by Anonymous Coward

        こういう発想の人が設計したんだろうなぁ。
        rootで動かしてると、脆弱性があった時に被害が拡大するということが理解できないのか。

ソースを見ろ -- ある4桁UID

処理中...