web-dev-qa-db-ja.com

共有ホスティングで他人のRedisデータが表示されるのは正常ですか?

私のホスティングではRedisサービスを利用できますが、お金で接続すると、Redisが別のDockerコンテナーで上昇するため、私だけが利用できます。

ただし、オフにすると、サーバー全体でRedisを無料で使用できます。そして、ここではサーバー全体のRedisに接続しています。

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

また、他の人のサイトの記録が約30万件あります。

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

そして、私はすべての記録を変えることができます!このような:

$redis->set($allKeys[10000], 0);

つまり、誰かがサーバー全体のRedisを使用しており、ユーザーは自分のデータが公開されていることを認識していないと思います。彼はWordPressのどこかにある「Use Redis」チェックボックスをオンにしただけです。

そして問題は、ホスティングプロバイダーがこれに責任があるかどうかです。結局のところ、一般ユーザーは、自分のデータは自分のサーバーにのみ保存され、自分だけが利用できると考えています。

テクニカルサポートの回答は次のとおりです。すべて問題ありません。

でもそうは思わないのでお願いします。

私はウェブホスティングで働いています。これは正しくなく、深刻な問題を抱えていることを意味します。マネージャーまたは監督者に依頼してください。それがどこにも行かない場合は、MOVE。

あなたが説明したことから、彼らはそれを支払うRedisユーザーのための仮想ユーザーを持っています。他のすべてのユーザーに対して無効にするのではなく、同じ共有プールへのアクセスをすべてのユーザーに許可しているように見え、説明したセキュリティ違反を引き起こしています。

5
Ryan Flowers