Это нормально, что я вижу данные Redis других на общем хостинге? [закрыто]

40

Сервис Redis доступен на моем хостинге, и если я подключаю его за деньги, он доступен только для меня, так как Redis поднимается в отдельный контейнер докера.

Но если я выключу его, тогда Redis все еще можно будет использовать бесплатно, хотя и для всего сервера. И вот я подключаюсь к обще-серверному Redis:

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

И я вижу там около 300 000 записей чужих сайтов.

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

И я могу изменить каждую запись! Нравится:

$redis->set($allKeys[10000], 0);

То есть кто-то использует общедоступный Redis, и я считаю, что пользователь не знает о публичной доступности своих данных. Он просто включил флажок «Использовать Redis» где-то в WordPress.

И вопрос: ответственен ли хостинг-провайдер за это? Ведь обычный пользователь считает, что его данные хранятся только на его сервере и доступны только ему.

Ответ технической поддержки был: все в порядке.

Но я так не думаю, поэтому я спрашиваю.

php redis Дмитрий Паймуллин
источник
5
Потенциально это просто ваша собственная БД, которая может быть раскрыта и теперь используется кем-то другим (например, для размещения скрытого / вредоносного сайта) ... У меня такое было однажды, когда случайно оставил тестовый (непроизводственный, без реальных данных / использования) повторный вызов сервер выставлен в интернете. Вернулся через пару дней, чтобы найти его полный чужих данных.
Майк Граф

Ответы:

25

Этот хостинг-провайдер несет ответственность за нарушение безопасности. Учитывая десять основных рисков безопасности веб-приложений OWASP, это проблема нескольких рисков безопасности: сломанная аутентификация, раскрытие конфиденциальных данных и сломанный контроль доступа.

Какой ваш следующий шаг зависит от вас. Вы должны проинформировать хостинг-провайдера, пользователи должны быть проинформированы хостинг-провайдером о возможном нарушении данных. Это очень серьезный вопрос безопасности и правовые вопросы, поскольку чьи-то личные данные доступны другим пользователям.

Смотрите: https://owasp.org/www-project-top-ten/

Никола Киринчич
источник
4
Ответ технической поддержки был: все в порядке.
Дмитрий Паймуллин
15
@ ДмитрийПаймуллин, если вы можете получить доступ к данным другого пользователя, то другой пользователь также может получить доступ к вашим данным. Это небезопасно, и вы должны рассмотреть возможность использования этого хостинг-провайдера вообще.
Никола Киринчич
@NikolaKirincic Вы должны вставить notраньше consider.
Erkin Alp Güney
@NikolaKirincic Важно помнить, что если это не будет объявлено как частное, то я не думаю, что я бы использовал что-то подобное, но если его функционирование спроектировано и спроектировано как общее пространство, это не нарушение безопасности
Брюс Бердж
5

Я работаю в веб-хостинге. Это не правильно и означает, что у них на руках серьезная проблема! Спросите менеджера или руководителя. Если это никуда не денется, ПЕРЕМЕСТИТЕ.

Из того, что вы описали, у них есть виртуальные пользователи для пользователей Redis, которые платят за это. Вместо того, чтобы отключить его для всех остальных, они, по-видимому, позволяют всем получить доступ к одному и тому же общему пулу, что вызывает нарушение безопасности, которое вы описали.

Райан Флауэрс
источник
1
Привет - ваш ответ будет более конструктивным с объяснением причин.
Говард Э
Спасибо за предложение. Я отредактировал свой первоначальный ответ.
Райан Флауэрс