[PHP-users 5019] Re: [SECURITY]:PHP4 session spoofing exploit

Naofumi Kondoh php-users@php.gr.jp
Sat, 26 Jan 2002 20:03:52 +0900


ソフト工房の近藤です。

Yasuo Ohgaki wrote:
> 
> 大垣です。
> 
> Naofumi Kondoh wrote:

...略...

> > 某レンタルサーバーで、PostgreSQL を使ってみたところ、
> > 他の利用者の DB の中身も丸見えでした。
> 
> それはあんまりだと思います。DBを見えないように設定するのは
> 簡単ですから。でもその程度が普通なんでしょうか?

私もよく知りません。この例のところは、所謂格安
レンタルサーバーなんで料金なりということかもしれ
ません。通販など商業利用には、別のまともな料金の
サーバーを推奨する旨コメントがありました。


> > DB の場合、パスワードを使って保護するにも、その
> > パスワードの入ったファイルが、Web User (nobody 等)
> > から読めなければならないので、PHP の include を
> > たどって、 パスワード設定の PHP ソースを読めるはず
> > ですね。なにか、うまい防御手段はあるのでしょうか。
> 
> 私であれば、
> 
> httpd.conf
> 顧客毎にVitualHostを作り、httpdのUIDを
> 別にします。必要であれば、GIDも別にします。
....略....

PHP-users 5011 で、あさかわさんがフォローしていた
だいた問題があるのでどういう対策がいいんでしょうね。

DB のパスワードだけでいいから、うまく隠す方法が
あればいいんですが、ファイルに入れる以上は、
permission しかないから同じことですよね。


別の問題ですが、外注さんが本運用のサーバーを直接
さわった後で DB のパスワードを設定しなおすのが
面倒なんで、なんかうまい工夫がないものかと。

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
 (株)ソフト工房   近藤直文        Email:  nkon@shonan.ne.jp 
PostgreSQL+PHP ソースコードジェネレーター セミナースライド
          http://www.shonan.ne.jp/~nkon/cslpg.a.semi/
          http://www.SOFTKOUBOU.co.jp/
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/