[PHP-users 5005] Re: [SECURITY]:PHP4 session spoofing exploit
Tomoyuki Asakawa
php-users@php.gr.jp
Sat, 26 Jan 2002 12:46:21 +0900
あさかわ@レンタルサーバ屋でもある。
>> #レンタルサーバ屋さんはどうやって共有サーバ資源のセキュリティを
>> #確保しているのか興味あるところです。
>
> コメントに反応しますが、レンタルサーバー屋さんが
> どうしているかは、私も知りたいです。
>
> 某レンタルサーバーで、PostgreSQL を使ってみたところ、
> 他の利用者の DB の中身も丸見えでした。
>
そうなんですよ。
まえから何度か、ここのMLにも書いてるのだけど。
ちゃんと設定すれば大丈夫などという答えが帰ってくるんですがねえ。
わたしは、
Subject: [PHP-users 4535] Re: ファイル書き込みのユーザパーミッシ
の、戯れ言に書いたみたいのが無いと、結局
サーバのローカルユーザに対するセキュリティ確保は
不可能だと思うのですがね。
お客さんを強奪する時の移転作業で、よそのサーバ覗くことあるのですが
まったく参考にならないです。なんせ設定ファイル全部見えるのですからねえ。
わたしの場合、わたしが開発者でお客さん自身は、プログラムさわらないので
問題ないというか、そういうお客にしか貸してないです恐いから。
さらに、jailで囲っているなんてことも併用してますが
使える。グローバルIP少ないから、全部のお客につかうわけにはいかない。