[PHP-users 11769] Re: [FYI]PostgreSQL の認証設定が必要です(phpPgAdmin 2.4.2 で認証ができない)
UNO Shintaro
php-users@php.gr.jp
Mon, 25 Nov 2002 23:37:43 +0900
> By default, Postgres does not check passwords through a local connection. This is
> a major security if connecting through a local unix socket with phpPgAdmin. You
> have a few options to close this security hole:
>標準では PostgreSQL はローカル接続で認証を行いません。(補足:ユーザー名
>が合えば,パスワードなしでDBにログインできます!)セキュアに接続するため
>には,ローカルのUNIX socket 接続を phpPgAdmin で行うのが主流の方法です。
>このセキュリティホールを塞ぐには,ちょっとした工夫で可能です。
すみません、この訳は、ちょっと気になります。
全体の論旨は、「Postgresの初期設定状態では、phpPgAdminをローカル接続で
つないじゃダメ。TCP/IP接続にするか、ローカル接続でもパスワード検査を有
効にするかのどちらかの対策を取れ。」ということですよね。
そうすると、「セキュアに接続するためにはローカルのUNIX socket 接続を
phpPgAdmin で行なうのが主流の方法です。」ってのはその論旨と合わないと
感じます。
ここのmajor securityは「主流なセキュアな方法」ではなく「重大なセキュリ
ティ問題」の意味で、以下のような訳になるのではないでしょうか?
---------------
初期設定状態では、Postgresはローカル接続ではパスワードを検査しません。
このことは、phpPgAdminと(Postgresを)ローカルunix socketで接続している
場合に重大なセキュリティ問題になります。(訳註:初期状態のPostgresに対し
てphpPgAdminからローカルunix socket(=ローカル接続)で接続する設定になっ
ていると、パスワードを知らない第三者でもデータベースに接続して操作でき
てしまう)
このセキュリティホールを塞ぐには、幾つかの方法が選べます:
---------------
--
UNO Shintaro, 宇野 信太郎
mailto:uno@venus.dti.ne.jp
http://www.venus.dti.ne.jp/~uno/