[PHP-users 3869] Re: PHP のセキュリティモデルについて

[Kentaro Fujinuma]

藤沼＠イイガです。

<20011126200740.DD3D.MAT@abelia.ocn.ne.jp> の、
   "[PHP-users 3868] Re: PHPのセキュリティモデルについて" において、
   "まつなみ <mat@abelia.ocn.ne.jp>"さんは書きました：

> 対策としては，いろいろ方法はありますが，簡単なものとしては
> (1)公開するデータファイルは必ず/home/data/以下に置くことにして，
> (2)その上でファイル名の命名規則を/^[A-Za-z0-9.]+$/にマッチすると
> 決めてしまって，
　　　:
> というのでセキュアになると思います。

同一ホスト上に悪意のあるユーザーがアカウントを持っていた場合には
どうなるでしょうか。

例えば wwwhost.example.com というホスト上に自分 (fujinuma) と
まつなみさん (matsunami) がアカウントを持っていたとします。
もし自分に何らかの悪意（あるいは好奇心）があって、
$fp = fopen("/home/matsunami/data/config.php", "r");
という風にまつなみさんのディレクトリのファイルを読むような
コードを書いてしまったらどうなるでしょうか。同様のコードを
書くことにより、まつなみさんのディレクトリ中のファイル・リストを
表示させるのは容易な作業でしょう。

坂本さんがお話されているのはそのような場合への対処のことだと
思います。

それではよろしくお願いします。

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
 Kentaro Fujinuma / IIGA Co., Ltd. / Network Administrator
 Contact: E-mail: fuji@iiga.co.jp 
          Tel: 03-5296-0389 / Fax: 03-5296-0386
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-