アカウント名:
パスワード:
WordPressの脆弱性より、ホスティングサービスの方がヤバいやん。ホスティングサービスに正式に契約したユーザは、他のユーザのデータをいじれるってことやん。WordPressに不正ログインした悪者もこれにはびっくり大爆笑だったんじゃないかな…。
外に見えているネットワークとは別に管理系のネットワークが存在していて裏ではサーバたちが繋がっているようなものだったんでしょうかね
ネットワーク関係なく、PHP経由でshellでコマンド実行できて、他のユーザーのフォルダに書き込みできた、ってところじゃね?shellじゃなくても、普通にPHPの関数で他のユーザーの領域の読み書きができたのかも。昔はsafe modeとかいう機能で制限かけるのが一般的だったけどPHP5.4で廃止されたんだよな。今はどうやってんだろ。
個人的には、もうVPSがワンコイン以下で借りれるわけだし、わざわざ共用を借りることはないかなと思ってるけど、管理の手間とかで共用選ぶのもありか。
safe modeが廃止されたのは、仮想化なりでユーザーランドが分離されているが一般的になったからじゃね。今でも共用型のサービス残っていることにびっくりだよ。
昔使おうとサーバー仕様を確認したら PHPのバージョンが古すぎ [alpha-prm.jp]て利用しなかった。大塚のアルファメールで利用可能な最も新しいPHPはコメント記入時点で7.0.1。 PHP7.0.10が使えるバージョン2が利用可能になったのが2017年12月 [alpha-prm.jp]で移行可能になったのが20 [alpha-prm.jp]
その昔でもSafe Modeに依存するのは一般的ではないと思うな。
ユーザー毎にchrootするのが基本で、でも、リソースがもったいないので簡易的なところではCGIモードで動作させて、SUEXEC珍しいケースでSuPHP
んで、PHPの設定では、open_base_dirを一応ね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
ホスティングサービスの脆弱性 (スコア:0)
WordPressの脆弱性より、ホスティングサービスの方がヤバいやん。ホスティングサービスに正式に契約したユーザは、他のユーザのデータをいじれるってことやん。WordPressに不正ログインした悪者もこれにはびっくり大爆笑だったんじゃないかな…。
Re: (スコア:0)
外に見えているネットワークとは別に管理系のネットワークが存在していて裏ではサーバたちが繋がっているようなものだったんでしょうかね
Re:ホスティングサービスの脆弱性 (スコア:0)
ネットワーク関係なく、PHP経由でshellでコマンド実行できて、他のユーザーのフォルダに書き込みできた、ってところじゃね?
shellじゃなくても、普通にPHPの関数で他のユーザーの領域の読み書きができたのかも。
昔はsafe modeとかいう機能で制限かけるのが一般的だったけどPHP5.4で廃止されたんだよな。
今はどうやってんだろ。
個人的には、もうVPSがワンコイン以下で借りれるわけだし、わざわざ共用を借りることはないかなと思ってるけど、
管理の手間とかで共用選ぶのもありか。
Re:ホスティングサービスの脆弱性 (スコア:1)
safe modeが廃止されたのは、仮想化なりでユーザーランドが分離されているが一般的になったからじゃね。
今でも共用型のサービス残っていることにびっくりだよ。
Re: (スコア:0)
昔使おうとサーバー仕様を確認したら PHPのバージョンが古すぎ [alpha-prm.jp]て利用しなかった。
大塚のアルファメールで利用可能な最も新しいPHPはコメント記入時点で7.0.1。
PHP7.0.10が使えるバージョン2が利用可能になったのが2017年12月 [alpha-prm.jp]で移行可能になったのが20 [alpha-prm.jp]
Re: (スコア:0)
その昔でもSafe Modeに依存するのは一般的ではないと思うな。
ユーザー毎にchrootするのが基本で、でも、リソースがもったいないので
簡易的なところではCGIモードで動作させて、SUEXEC
珍しいケースでSuPHP
んで、PHPの設定では、open_base_dirを一応ね。