「ルート権」を含む日記

■

本当のクソコードっていうのはバグがあってちゃんと動いてないんだが

そのバグを探すのにかなりの労力を有するようなコードのこと

話題になってるファイル化してファイルのリストでソートする、みたいなのは全然可愛いもので

ファイルのリストを表示させるコマンドを直接コールしてて

引数にユーザーのリクエストが含まれていて簡単にルート権限取られてしまうようなコードが書いてあるのがクソコード

おまけにどこで何が起きるかわからないからそういう脆弱性にも気付きにくい

そこまで危険じゃないものでもバグがあるのに条件が分からない、再現しにくい、どこでその状態になっているかが分からないっていうコードは山ほどある

分かりにくいコードになっている原因はただただ書いた奴がアホな上に調べ物しないやつだからっていう理由だけ

Permalink | 記事への反応(0) | 23:42

ツイートシェア

■

rootって入力して2回Enterを押すとルート権限取れちゃうのも最先端のUIであるが故

不具合ではないのだ

Permalink | 記事への反応(0) | 16:27

ツイートシェア

■

パスワードをHASH化してもすぐ複合できますよ？

というご意見はたまにいただくのだが、

さまざまな事情でパスワードファイルを編集することはあって、そのさいに見ちゃうともんだいだから

見てもわからないていど

そりゃ複合ツール使えばわからなくはないんだろうが

自分のシステムなんだからルート権でやったほうがはやい。

Permalink | 記事への反応(1) | 15:16

ツイートシェア

■ある有名なFTPアプリの話

ある日、自宅でサーバー作業していた際にFTPのアプリを使用することになって

僕に降り掛かった恐ろしい話をひとつ。

まず前提として面倒だからルート権限（幾つかのドメインにまたがって操作可能）で作業していました

これがそもそもの間違いでした。ちゃんとドメインごとにftpユーザーを作成しましょう。

FTPアプリでサーバー側のドメインのフォルダ一覧から色々とドメインのフォルダみていたら

なんとなしにその内の一つのサイトをブラウザでひらくとエラーになっていた

「何もしてないのに壊れたぞ？」

あわてて顧客にはサーバーメンテナンスと通知をしたあと、原因を探ると

どうやらドメインフォルダを色々のぞいていた際にワンクリックのつもりがドラッグアンドドロップを行っていたらしく

ログを見るとドメインフォルダごとどっかの適当なフォルダにぶち込む操作を行ってしまったのでした

色々なことがよぎり冷や汗もでましたが、結局ftpコマンドで

rename folder ../folder

で治ったというお話でした。

GUIアプリって恐ろしいですね

（※ドメイン毎にFTPユーザー作成しましょう）

終わり

Permalink | 記事への反応(0) | 16:09

ツイートシェア

■http://anond.hatelabo.jp/20130725003701

素人でもできる事は、こまめにセキュリティーパッチを当てろ。

今猛威を振るってるのは、セキュリティーパッチが当たってないだ。

１　フレームワークがバージョンアップする　

２　互換性がない

３　お金がない

４　しかたがないので、古いフレームワークのまま使い続ける

５　古いフレームワークにルート権とられるバグが有る

６　乗っ取り

他にも超古典的手口が山ほどあるが、日本企業にとって致命的なのはこれ。保守費を積んでないか、積み込みが甘い。

あとは、作った会社が潰れたとかな。

今の御時世　１つのソフトを５年も１０年も使い続けるのは無理。必ずフレームワークの更新問題が起きてセキュリティー上のハザードを抱える。

少なくとも３年から５年に１度は更新手数料がかかる事は見積もらないと無理。

Permalink | 記事への反応(2) | 00:41

ツイートシェア