その他 > その他 > オフィシャルサイトで紹介されているサイトでDBのID/パスワード等が見れるページがあったので注意 |
その他
フラット表示 | 前のトピック | 次のトピック |
投稿者 | スレッド |
---|---|
saitoh |
投稿日時: 2009/10/9 15:29
対応状況: 解決済
|
新米 登録日: 2009/1/28 居住地: 投稿: 7 |
オフィシャルサイトで紹介されているサイトでDBのID/パスワード等が見れるページがあったので注意 お世話になっています
EC-CUBEオフィシャルサイトの構築事例に掲載されているあるサイトで、 apacheの設定ミスで/data/以下が丸見え状態となっていて DBのIDとパスワード、管理画面のログインID、セッションID等が 丸見え状態のサイトがありました あと、mysqlのポート(3306)も外部へオープン状態でログインを受け付ける状態でもありました 現在、サイトを稼働中の方は一度確認された方よいかもしれません 上記のサイトにはコンサルティング会社へメールにて指摘しており、 現在は問題ないようです EC-CUBEはITに精通していない人でも、 サーバをレンタルして構築している方もいます たとえば、私は農業従事者ですが、知人の農家の方は、 自分で1からコンピュータを勉強して、サーバをレンタルしてインストールして開店準備を進めています コンピュータに詳しくない方でも開店できる敷居の低さは良いことですが、 これが仇になって、今回のようなセキュリティミスも今後発生するかもしれません 私の知人も/data以下が丸見えでした インストール後、install.phpは削除するようメッセージが出ますが、 インストール完了画面で /data/は外部から参照出来ないようにapacheの設定を確認させるメッセージ等を表示してもいいのではないのでしょうか? /html/install/も第3者に参照させる必要は無いので、 このディレクトリ毎削除させるようなメッセージもほしいところです 補足 mysqlはデフォルトでバインドアドレスがALLかな? 外部からアクセスしないのであれば 設定ファイルで [mysqld] bind-address = 127.0.0.1 とした方がいいかな postgresqlはデフォルトで127.0.0.1なんだけどな
|
フラット表示 | 前のトピック | 次のトピック |
題名 | 投稿者 | 日時 |
---|---|---|
» オフィシャルサイトで紹介されているサイトでDBのID/パスワード等が見れるページがあったので注意 | saitoh | 2009/10/9 15:29 |
Re: オフィシャルサイトで紹介されているサイトでDBのID/パスワード等が見れるページがあったので注意 | AMUAMU | 2009/10/9 23:07 |
Re: オフィシャルサイトで紹介されているサイトでDBのID/パスワード等が見れるページがあったので注意 | saitoh | 2009/10/10 9:45 |