[PHP-users 5019] Re: [SECURITY]:PHP4 session spoofing exploit
Naofumi Kondoh
php-users@php.gr.jp
Sat, 26 Jan 2002 20:03:52 +0900
ソフト工房の近藤です。
Yasuo Ohgaki wrote:
>
> 大垣です。
>
> Naofumi Kondoh wrote:
...略...
> > 某レンタルサーバーで、PostgreSQL を使ってみたところ、
> > 他の利用者の DB の中身も丸見えでした。
>
> それはあんまりだと思います。DBを見えないように設定するのは
> 簡単ですから。でもその程度が普通なんでしょうか?
私もよく知りません。この例のところは、所謂格安
レンタルサーバーなんで料金なりということかもしれ
ません。通販など商業利用には、別のまともな料金の
サーバーを推奨する旨コメントがありました。
> > DB の場合、パスワードを使って保護するにも、その
> > パスワードの入ったファイルが、Web User (nobody 等)
> > から読めなければならないので、PHP の include を
> > たどって、 パスワード設定の PHP ソースを読めるはず
> > ですね。なにか、うまい防御手段はあるのでしょうか。
>
> 私であれば、
>
> httpd.conf
> 顧客毎にVitualHostを作り、httpdのUIDを
> 別にします。必要であれば、GIDも別にします。
....略....
PHP-users 5011 で、あさかわさんがフォローしていた
だいた問題があるのでどういう対策がいいんでしょうね。
DB のパスワードだけでいいから、うまく隠す方法が
あればいいんですが、ファイルに入れる以上は、
permission しかないから同じことですよね。
別の問題ですが、外注さんが本運用のサーバーを直接
さわった後で DB のパスワードを設定しなおすのが
面倒なんで、なんかうまい工夫がないものかと。
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
(株)ソフト工房 近藤直文 Email: nkon@shonan.ne.jp
PostgreSQL+PHP ソースコードジェネレーター セミナースライド
http://www.shonan.ne.jp/~nkon/cslpg.a.semi/
http://www.SOFTKOUBOU.co.jp/
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/