[hackers-jp: 227] Re: COPYの権限
Yasuo Ohgaki
yohgaki @ ohgaki.net
2007年 4月 7日 (土) 18:20:40 JST
大垣です。
石田さん、片岡さん、コメントありがとうございます。
Hiroki Kataoka wrote:
> 片岡です。
>
> Yasuo Ohgaki wrote:
>> COPY文はSTDINからの入力も可能であるためWeb環境などで実行すると永遠
>> に待ち続けることになります。Webサーバを共有している環境では簡単に
>> DoSを行うことができます。
>
> 共有サーバでの問題を心配するのでしたら、石田さんの言うようにconnection
> limitで対応するのがよさそうです。
確かにconnection limitでDoSの危険性は随分軽減するので、これでも良いかなと
思います。
# 接続が取得できない場合に対処していないアプリが多い、という
# 課題もありますが...
>
>> # わざとSQLインジェクションに脆弱にしておくなど。
>> # わざとでなくてもSQLインジェクションに脆弱であれば
>> # 攻撃可能ですが...
>>
>> GRANT/REVOKEでCOPY文へのアクセス制限ができればこのような単純なDoSを
>> 防ぐ事が可能になります。
>
> 開発者が脆弱なシステムを作った場合にのみ発生するDoS攻撃への対策として
> では、すんなり受け入れられない予感がします。COPY文にACLを導入しても、設
> 定していなけれDoS攻撃は可能なわけで…。
そうなんですよね...
> 強いてやるなら、idol_timeoutのようなGUCパラメータを追加して、一定時間
> 以上ステートメントの実行がないセッションを強制切断するというのなら、汎用
> 的で受け入れられるような気がしますが、どうでしょう?
>
確かにこちらの方が良いですね。もう少し考えをまとめてからhackersにメール
してみます。
ありがとうございました。
--
Yasuo Ohgaki : yohgaki @ ohgaki.net : http://www.ohgaki.net/
hackers-jp メーリングリストの案内