Чи нормально, що я бачу дані Redis інших людей про спільний хостинг? [зачинено]

Послуга Redis доступна на моєму хостингу, і якщо я підключу її за гроші, вона доступна лише для мене, оскільки Redis піднімається в окремому контейнері докера.

Але, якщо я відключу його, то Redis все ще можна використовувати безкоштовно, хоча на сервері. І ось я підключаюся до сервера Redis:

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

І я бачу там близько 300 000 записів на чужих сайтах.

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

І я можу змінити кожен запис! Подобається це:

$redis->set($allKeys[10000], 0);

Тобто, хтось використовує загальносерверський Redis, і я вважаю, що користувач не знає про загальнодоступність своїх даних. Він просто включив прапорець "Використовувати Redis" десь у WordPress.

І питання: чи відповідає за це хостинг-провайдер? Адже звичайний користувач вважає, що його дані зберігаються лише на його сервері і доступні лише йому.

Відповідь технічної підтримки була: все гаразд.

Але я так не думаю, тому прошу.

php redis

— Дмитрій Паймуллін
джерело

Потенційно це лише ваш власний БД, який піддається впливу, а тепер його використовує хтось інший (наприклад, розміщення прихованого / шкідливого сайту) ... У мене це траплялося один раз, коли випадково вийшов з тестування (невиробництво, відсутність реальних даних / використання) сервер, відкритий в Інтернеті. Повернувся через пару днів, щоб знайти його повним чужими даними.

— Майк Граф

Відповіді:

Цей хостинг-провайдер несе відповідальність за порушення безпеки. Зважаючи на десять найвищих ризиків безпеки веб-додатків OWASP, це проблема кількох ризиків для безпеки: зламана автентифікація, чутлива експозиція даних та невдалий контроль доступу.

Який ваш наступний крок, залежить від вас. Ви повинні повідомити провайдера хостингу, щоб про можливе порушення даних провайдер хостингу повідомив користувачів. Це дуже серйозне питання безпеки та правових питань, оскільки особисті дані, можливо, доступні для інших користувачів.

Дивіться: https://owasp.org/www-project-top-ten/

— Микола Киринчич
джерело

Відповідь технічної підтримки була: все гаразд.

— Дмитрій Паймуллін

@ ДмитрийПаймуллин, якщо ви можете отримати доступ до даних інших користувачів, то інший користувач також може отримати доступ до ваших даних. Це не безпечно, і вам варто взагалі розглянути можливість використання цього хостинг-провайдера.

— Микола Киринчич

@NikolaKirincic Вам потрібно вставити notперед тим consider.

— Еркін Альп Гюней

@NikolaKirincic Тут важливо пам’ятати: якщо це не рекламується як приватне, надається, я не думаю, що я би використовував щось подібне, але якщо його функціонування буде розроблено та розроблено як спільний простір, це не порушення безпеки.

— Брюс Бердже

Я працюю в веб-хостингу. Це не правильно і означає, що у них серйозна проблема на руках! Попросіть менеджера чи керівника. Якщо це нікуди не рухається, ПОВЕРНІТЬ.

З того, що ви описали, у них є віртуальні користувачі для користувачів Redis, які платять за це. Замість того, щоб вимкнути це для всіх інших, схоже, вони дозволяють усім отримувати доступ до одного спільного пулу, викликаючи порушення безпеки, яке ви описали.

— Райан Квіти
джерело

Привіт - ваша відповідь була б більш конструктивною з деяким поясненням того, чому.

— Говард Е

Дякую за пропозицію. Я відредагував свою первинну відповідь.

— Ryan Flowers