[hackers-jp: 226] Re: COPYの権限

[Hiroki Kataoka]

片岡です。

Yasuo Ohgaki wrote:
> COPY文はSTDINからの入力も可能であるためWeb環境などで実行すると永遠
> に待ち続けることになります。Webサーバを共有している環境では簡単に
> DoSを行うことができます。

　共有サーバでの問題を心配するのでしたら、石田さんの言うようにconnection
limitで対応するのがよさそうです。

> # わざとSQLインジェクションに脆弱にしておくなど。
> # わざとでなくてもSQLインジェクションに脆弱であれば
> # 攻撃可能ですが...
> 
> GRANT/REVOKEでCOPY文へのアクセス制限ができればこのような単純なDoSを
> 防ぐ事が可能になります。

　開発者が脆弱なシステムを作った場合にのみ発生するDoS攻撃への対策として
では、すんなり受け入れられない予感がします。COPY文にACLを導入しても、設
定していなけれDoS攻撃は可能なわけで…。
　強いてやるなら、idol_timeoutのようなGUCパラメータを追加して、一定時間
以上ステートメントの実行がないセッションを強制切断するというのなら、汎用
的で受け入れられるような気がしますが、どうでしょう？

-- 
Hiroki Kataoka <kataoka ＠ interwiz.jp>