क्या यह सामान्य है कि मैं साझा होस्टिंग पर अन्य का रेडिस डेटा देखूं? [बन्द है]


40

मेरे होस्टिंग पर रेडिस सेवा उपलब्ध है, और अगर मैं इसे पैसे के लिए जोड़ता हूं, तो यह मेरे लिए ही उपलब्ध है, क्योंकि रेडिस एक अलग डॉकटर कंटेनर में उगता है।

लेकिन, अगर मैं इसे बंद कर देता हूं, तो रेडिस अभी भी मुफ्त में इस्तेमाल किया जा सकता है, हालांकि सर्वर-वाइड। और यहां मैं सर्वर-वाइड रेडिस से कनेक्ट कर रहा हूं:

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

और मैं अन्य लोगों की साइटों के लगभग 300,000 रिकॉर्ड देखता हूं।

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

और मैं हर रिकॉर्ड बदल सकता हूँ! ऐशे ही:

$redis->set($allKeys[10000], 0);

यही है, कोई सर्वर-वाइड रेडिस का उपयोग करता है और मेरा मानना ​​है कि उपयोगकर्ता को अपने डेटा की सार्वजनिक उपलब्धता के बारे में पता नहीं है। वह सिर्फ वर्डप्रेस में "यूज रेडिस" चेकबॉक्स को चालू करता है।

और सवाल यह है: क्या होस्टिंग प्रदाता इसके लिए जिम्मेदार है? आखिरकार, एक साधारण उपयोगकर्ता का मानना ​​है कि उसका डेटा केवल उसके सर्वर पर संग्रहीत है और केवल उसके लिए उपलब्ध है।

तकनीकी समर्थन प्रतिक्रिया थी: सब कुछ ठीक है।

लेकिन मुझे नहीं लगता, इसलिए मैं पूछता हूं।


5
संभावित रूप से सिर्फ आपका अपना डीबी उजागर हो रहा है और अब किसी और द्वारा उपयोग किया जा रहा है (जैसे कि गुप्त / दुर्भावनापूर्ण साइट को होस्ट करना) ... मेरे पास एक बार ऐसा हुआ था जब गलती से एक परीक्षण (गैर-उत्पादन, कोई वास्तविक डेटा / उपयोग) नहीं छोड़ा गया था सर्वर इंटरनेट पर उजागर। एक दो दिनों में वापस आया और इसे किसी और के डेटा से भरा हुआ पाया।
माइक ग्रेफ

जवाबों:


25

यह होस्टिंग प्रदाता सुरक्षा उल्लंघन के लिए जिम्मेदार है। OWASP के शीर्ष दस वेब एप्लिकेशन सुरक्षा जोखिमों को ध्यान में रखते हुए, यह कुछ सुरक्षा जोखिमों का एक मुद्दा है: टूटी प्रमाणीकरण, संवेदनशील डेटा एक्सपोजर और टूटी हुई एक्सेस कंट्रोल।

आपका अगला कदम आपके लिए क्या है आपको होस्टिंग प्रदाता को सूचित करना चाहिए, उपयोगकर्ताओं को संभावित डेटा उल्लंघन के लिए होस्टिंग प्रदाता द्वारा सूचित किया जाना चाहिए। यह बहुत गंभीर सुरक्षा और कानूनी मामला है क्योंकि किसी का संभवतः निजी डेटा अन्य उपयोगकर्ताओं के लिए सुलभ है।

देखें: https://owasp.org/www-project-top-ten/


4
तकनीकी समर्थन प्रतिक्रिया थी: सब कुछ ठीक है।
.१६

15
@ ДмитрийПаймуллин, यदि आप किसी अन्य उपयोगकर्ता के डेटा तक पहुँच सकते हैं, तो दूसरा उपयोगकर्ता आपके डेटा तक भी पहुँच सकता है। यह सुरक्षित नहीं है, और आपको इस होस्टिंग प्रदाता का उपयोग करने पर विचार करना चाहिए।
निकोला किरकिनिक

@NikolaKirincic आपको notपहले डालने की आवश्यकता है consider
एरकिन अल्प ग्यूनी

@NikolaKirincic यहाँ याद रखने वाली एक महत्वपूर्ण बात है, अगर इसके निजी के रूप में विज्ञापित नहीं किया गया है, तो मुझे लगता है कि मुझे नहीं लगता कि मैं इस तरह की किसी भी चीज़ का उपयोग करूँगा, लेकिन अगर इसकी कार्यप्रणाली को एक साझा स्थान के रूप में डिज़ाइन किया गया है, तो यह एक नहीं है सुरक्षा उल्लंघन।
ब्रूस बर्ज

5

मैं वेब होस्टिंग में काम करता हूँ। यह सही नहीं है और इसका मतलब है कि उनके हाथों पर एक गंभीर समस्या है! एक प्रबंधक या पर्यवेक्षक के लिए पूछें। अगर वह कहीं नहीं जाता है, तो मोवे।

आपके द्वारा वर्णित से, उनके पास Redis उपयोगकर्ताओं के लिए आभासी उपयोगकर्ता हैं जो इसके लिए भुगतान करते हैं। हर किसी के लिए इसे अक्षम करने के बजाय, वे सभी को उसी साझा पूल का उपयोग करने की अनुमति देते दिखाई देते हैं, जिससे आपके द्वारा उल्लिखित सुरक्षा भंग हो जाता है।


1
हाय - क्यों का कुछ स्पष्टीकरण के साथ आपका जवाब अधिक रचनात्मक होगा।
हावर्ड ई

सलाह के लिये धन्यवाद। मैंने अपना प्रारंभिक उत्तर संपादित कर दिया है।
रयान फूल
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.