È normale vedere i dati Redis degli altri sull'hosting condiviso? [chiuso]

40

Il servizio Redis è disponibile sul mio hosting e, se lo collego per denaro, è disponibile solo per me, dal momento che Redis si alza in un contenitore docker separato.

Ma, se lo spengo, Redis può ancora essere utilizzato gratuitamente, anche se a livello di server. E qui mi sto collegando al Redis a livello di server:

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

E vedo lì circa 300.000 registrazioni di siti di altre persone.

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

E posso cambiare ogni record! Come questo:

$redis->set($allKeys[10000], 0);

Cioè, qualcuno utilizza il Redis a livello di server e credo che l'utente non sia a conoscenza della disponibilità pubblica dei propri dati. Ha appena attivato la casella di controllo "Usa Redis" da qualche parte in WordPress.

E la domanda è: il provider di hosting è responsabile di questo? Dopotutto, un utente normale ritiene che i suoi dati siano archiviati solo sul suo server ed è disponibile solo per lui.

La risposta del supporto tecnico è stata: tutto ok.

Ma io non la penso così, quindi chiedo.

php  redis 
Дмитрий Паймуллин
fonte
5
Potenzialmente è solo il tuo DB esposto e ora utilizzato da qualcun altro (come l'hosting di un sito nascosto / dannoso) ... Ho avuto questo accadere una volta quando ho lasciato accidentalmente un test (non produzione, nessun dato reale / utilizzo) server esposto su Internet. Sono tornato tra un paio di giorni per trovarlo pieno di dati di qualcun altro.
Mike Graf

Risposte:

25

Questo provider di hosting è responsabile della violazione della sicurezza. Considerando i primi dieci rischi per la sicurezza delle applicazioni Web di OWASP, questo è un problema di pochi rischi per la sicurezza: autenticazione non funzionante, esposizione sensibile dei dati e controllo dell'accesso non funzionante.

Qual è il tuo prossimo passo dipende da te. È necessario informare il provider di hosting, gli utenti dovrebbero essere informati dal provider di hosting per la possibile violazione dei dati. Questa è una questione molto seria di sicurezza e legale poiché i dati possibilmente privati ​​di qualcuno sono accessibili ad altri utenti.

Vedi: https://owasp.org/www-project-top-ten/

Nikola Kirincic
fonte
4
La risposta del supporto tecnico è stata: tutto ok.
Дмитрий Паймуллин
15
@ ДмитрийПаймуллин, se puoi accedere ai dati di altri utenti, anche gli altri utenti possono accedere ai tuoi dati. Questo non è sicuro e dovresti considerare di utilizzare questo provider di hosting.
Nikola Kirincic,
@NikolaKirincic Devi inserire un notprima consider.
Erkin Alp Güney
@NikolaKirincic Una cosa importante da ricordare qui, è che se non fosse pubblicizzato come privato, garantito non penso che farei uso di qualcosa del genere, ma se funzionasse come progettato e progettato come uno spazio condiviso, non è un violazione della sicurezza.
Bruce Burge,
5

Lavoro nel web hosting. Questo non è corretto e significa che hanno un grave problema nelle loro mani! Chiedi un manager o un supervisore. Se ciò non va da nessuna parte, SPOSTA.

Da quello che hai descritto, hanno utenti virtuali per gli utenti Redis che pagano per questo. Invece di disabilitarlo per tutti gli altri, sembrano consentire a tutti di accedere allo stesso pool condiviso, causando la violazione della sicurezza che hai descritto.

Ryan Flowers
fonte
1
Ciao, la tua risposta sarebbe più costruttiva con qualche spiegazione del perché.
Howard E
Grazie per il suggerimento Ho modificato la mia risposta iniziale.
Ryan Flowers
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.