Usługa Redis jest dostępna na moim serwerze, a jeśli podłączę ją za pieniądze, będzie ona dostępna tylko dla mnie, ponieważ Redis wznosi się w osobnym kontenerze dokera.
Ale jeśli ją wyłączę, to Redis nadal będzie można używać za darmo, chociaż na całym serwerze. I tutaj łączę się z serwerem Redis:
$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);
Widzę tam około 300 000 rekordów witryn innych osób.
$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site
I mogę zmienić każdy rekord! Lubię to:
$redis->set($allKeys[10000], 0);
Oznacza to, że ktoś korzysta z serwera Redis na całym serwerze i uważam, że użytkownik nie jest świadomy publicznej dostępności swoich danych. Właśnie zaznaczył pole wyboru „Użyj Redis” gdzieś w WordPress.
A pytanie brzmi: czy dostawca hostingu jest za to odpowiedzialny? W końcu zwykły użytkownik uważa, że jego dane są przechowywane tylko na jego serwerze i są dostępne tylko dla niego.
Odpowiedź wsparcia technicznego brzmiała: wszystko jest w porządku.
Ale nie sądzę, więc pytam.
Odpowiedzi:
Ten dostawca hostingu jest odpowiedzialny za naruszenie bezpieczeństwa. Biorąc pod uwagę dziesięć najważniejszych zagrożeń bezpieczeństwa aplikacji internetowych OWASP, jest to kwestia kilku zagrożeń bezpieczeństwa: zepsute uwierzytelnianie, wrażliwe ujawnianie danych i zepsuta kontrola dostępu.
Jaki jest twój następny krok? Należy poinformować dostawcę usług hostingowych, użytkownik powinien zostać poinformowany przez dostawcę usług hostingowych o możliwym naruszeniu danych. Jest to bardzo poważna kwestia bezpieczeństwa i prawa, ponieważ czyjeś prywatne dane są dostępne dla innych użytkowników.
Zobacz: https://owasp.org/www-project-top-ten/
źródło
not
wcześniejconsider
.Pracuję w hostingu. To nie jest poprawne i oznacza, że mają poważny problem na rękach! Zapytaj o kierownika lub przełożonego. Jeśli to nie pomoże, MOVE.
Z tego, co opisałeś, mają oni wirtualnych użytkowników dla użytkowników Redis, którzy za to płacą. Wydaje się, że zamiast wyłączać go dla wszystkich innych, umożliwia wszystkim dostęp do tej samej współużytkowanej puli, powodując opisane przez Ciebie naruszenie bezpieczeństwa.
źródło