Paylaşılan barındırmada başkalarının Redis verilerini görmem normal mi? [kapalı]

40

Redis hizmeti hostingimde kullanılabilir ve para için bağlarsam, Redis ayrı bir liman işçisi konteynerinde yükseldiğinden, sadece benim için kullanılabilir.

Ancak, kapatırsam, Redis yine de sunucu genelinde olsa da ücretsiz olarak kullanılabilir. Ve burada sunucu çapında Redis'e bağlanıyorum:

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

Orada diğer insanların sitelerinin yaklaşık 300.000 kaydını görüyorum.

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

Ve her kaydı değiştirebilirim! Bunun gibi:

$redis->set($allKeys[10000], 0);

Yani, birisi sunucu çapında Redis kullanıyor ve kullanıcının verilerinin genel kullanılabilirliğinin farkında olmadığına inanıyorum. WordPress'te bir yerde "Redis Kullan" onay kutusunu açtı.

Ve soru şu: Barındırma sağlayıcısı bundan sorumlu mu? Sonuçta, sıradan bir kullanıcı verilerinin sadece sunucusunda saklandığına ve sadece onun için kullanılabilir olduğuna inanıyor.

Teknik destek yanıtı: her şey yolunda.

Ama ben öyle düşünmüyorum, o yüzden soruyorum.

php  redis 
Дмитрий Паймуллин
kaynak
5
Potansiyel olarak sadece kendi DB maruz kalma ve şimdi (gizli / kötü amaçlı bir site barındırma gibi) başka biri tarafından kullanılıyor ... Bu yanlışlıkla bir test (üretim dışı, gerçek veri / kullanım yok) redis bıraktığında bir kez oldu sunucu internete maruz. Başkalarının verileriyle dolu bulmak için birkaç gün içinde geri döndüm.
Mike Graf

Yanıtlar:

25

Bu barındırma sağlayıcısı güvenlik ihlalinden sorumludur. OWASP'nin ilk on Web uygulaması güvenlik riski göz önüne alındığında, bu birkaç güvenlik riski meselesidir: Kırık Kimlik Doğrulama, Hassas Veri Maruziyeti ve Kırık Erişim Kontrolü.

Bir sonraki adımınız size kalmış. Barındırma sağlayıcısına bilgi vermelisiniz, kullanıcılar olası veri ihlali için barındırma sağlayıcısı tarafından bilgilendirilmelidir. Bu, çok ciddi bir güvenlik ve yasal konudur çünkü birisinin özel verilerine muhtemelen diğer kullanıcılar tarafından erişilebilir.

Bkz. Https://owasp.org/www-project-top-ten/

Nikola Kirincic
kaynak
4
Teknik destek yanıtı: her şey yolunda.
Дмитрий Паймуллин
15
@ ДмитрийПаймуллин, başka bir kullanıcı verilerine erişebiliyorsanız, diğer kullanıcı verilerinize de erişebilir. Bu güvenli değil ve bu barındırma sağlayıcısını hiç kullanmayı düşünmelisiniz.
Nikola Kirincic
@NikolaKirincic Daha notönce bir tane eklemeniz gerekir consider.
Erkin Alp Güney
@NikolaKirincic Burada hatırlanması gereken önemli bir şey, eğer özel olarak ilan edilmezse, böyle bir şeyden faydalanacağımı sanmıyorum, ancak paylaşılan bir alan olarak tasarlanmış ve tasarlanmış olarak çalışıyorsa, bu bir güvenlik ihlali.
Bruce Burge
5

Web hosting çalışıyorum. Bu doğru değildir ve ellerinde ciddi bir sorun olduğu anlamına gelir! Yönetici veya danışman isteyin. Eğer bu hiçbir yere gitmezse, TAŞIN.

Açıkladığınızdan, Redis kullanıcıları için ödeme yapan sanal kullanıcıları var. Herkes için devre dışı bırakmak yerine, herkesin aynı paylaşılan havuza erişmesine izin verdiği ve tanımladığınız güvenlik ihlaline neden olduğu görülüyor.

Ryan Çiçekler
kaynak
1
Merhaba - Cevabınız, nedeninin bazı açıklamalarıyla daha yapıcı olacaktır.
Howard E
Önerin için teşekkürler. İlk cevabımı düzenledim.
Ryan Flowers
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.