- - PR -
【皆知っている】rootのパスワード
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2007-01-05 21:10
1.知っている人は何人?(PJ内、部内、下請け、異動者は?、退職者は?)
2.規模(ユーザ数、社内向け、一般消費者向け、企業向け、官公庁向けなど) 3.不正侵入の想定被害 4.何か対策している? 実際はどんな感じでしょうか? | ||||
|
投稿日時: 2007-01-05 21:19
1.知っている人は何人?(PJ内、部内、下請け、異動者は?、退職者は?)
課内50名ほぼ全員。異動者、退職者、下請けも知っている。 2.規模(ユーザ数、社内向け、一般消費者向け、企業向け、官公庁向けなど) 一般消費者向けWebショップ。会員数10万件以上。 3.不正侵入の想定被害 個人情報(氏名、性別、住所、電話番号、買った商品、検索した商品) 4.何か対策している? 管理者、開発者の人の管理が出来ていないので、事実上放置。 パスワードを変えたら周知されるまで時間がかかる。 プロパーから見ると2次受けの末端の人は誰が何をやっているのかわからない。 ちょっとずさんすぎる。 私も下請けだから、全体が見渡せない。 現実ってこんな感じですか? | ||||
|
投稿日時: 2007-01-05 21:25
他に・・・
サーバメンテ時にDBをバックアップするため 退避したデータファイル全体や一部分が部内の共用サーバのtmpにあります。 メモ帳などで見るとデータファイルなので化けますが文字列は読み取れます。 一人が声を上げて改善しようにも限界を感じます。 というか、忙しくて手が回らない。。。 | ||||
|
投稿日時: 2007-01-05 23:20
あえて釣られてみましょうかね。
んで…だから何? 誰かにハッキングして欲しいとか言ってる? 俺はこんな重要なシステム管理してるんだぜって自慢? 本当に問題だと思ってるならばもっと上に 個人情報が漏洩した時の危険性を切実に説いてみな。 個人情報の漏洩事件なんて昨今腐るほどあるだろ。 そういった記事みせてやりゃ〜い〜んじゃね〜の? ちなみにこの書き込みで何処のサイトか特定されて、 個人情報が漏れたりしたら、あんたも背任で懲戒とか損害賠償とか 請求される可能性が高いのであしからず。 何自分の首絞めてるんだか。 あんたのやってる事はこういった事件の魁になった某プロバイダの 犯人と同じレベル。 そうそう、一応参考になるサイト提示しておいてあげるよ。 優しいでしょ? http://www.security-next.com/cat_cat25.html [ メッセージ編集済み 編集者: NAO 編集日時 2007-01-05 23:36 ] | ||||
|
投稿日時: 2007-01-06 03:31
「こんな感じですか?」も何も、お前さん自身の見た「現実」をその上の文章に書いてるじゃないか。 愚痴こぼしたいだけならチラシの裏にでも書いとけば? もし本気で改善したいと思っているのなら、それなりの準備や手続き踏んで上司にアピールしなよ。 「忙しくて手が回らない」と言っているだけでは状況は変わらんよ。 | ||||
|
投稿日時: 2007-01-06 12:31
あんまり叩かなくても・・・
当方もWEB屋ですが、スレ主さんの所は管理がちょっと杜撰だと思います。 例えば会社に恨みを持って辞めた人間が個人情報を・・・という事件は多々あります。 最初から完璧なセキュリティ対策なんていうのはやっていなくて、 大問題になってから、外の専門家に対策を依頼する会社が多いような気がします。 もちろん、きちんとセキュリティ対策を行っている会社もいっぱいありますが。 | ||||
|
投稿日時: 2007-01-06 13:14
コメントする気無かったけど、可哀そうなので。
ここで他所の状況を知ったところで何の解決にもならないのは事実ですが、 ウチの状況だけ紹介します。 開発環境と本番運用環境は全く別にしています。 開発環境(クローズ環境)はピグピグさんの所と大差ありませんが、本番運用 環境は限られた者(2〜3名)しか知りません。 またシステムによっては開発環境と本番環境の中間にバリデーション環境を持つ ものも存在してます。 → バリデーション環境は準本番環境なので、ここも限られた者だけがroot パスワードを知っている状況です。 これからピグピグさんがどういったアクションを取るかが重要ですよ。 | ||||
|
投稿日時: 2007-01-06 14:23
そんな訳ないじゃないですかw そのサーバー、既に侵されていませんか? もし無事なら、奇跡に近いように思いますが・・・ もしピグピグさん自身が心配で何とか改善したいとお考えでしたら、まずはパスワード管理マニュアルなりをご自身でまとめて提案すれば宜しいかと思います。 そうすれば、リスクと管理コストの天秤の傾き具合で、自然と結果が出るのでは無いでしょうか。 _________________ R・田中一郎 - R.Tanaka.Ichiro’s Blog |