[hackers-jp: 226] Re: COPYの権限
Hiroki Kataoka
kataoka @ interwiz.jp
2007年 4月 6日 (金) 01:41:43 JST
片岡です。
Yasuo Ohgaki wrote:
> COPY文はSTDINからの入力も可能であるためWeb環境などで実行すると永遠
> に待ち続けることになります。Webサーバを共有している環境では簡単に
> DoSを行うことができます。
共有サーバでの問題を心配するのでしたら、石田さんの言うようにconnection
limitで対応するのがよさそうです。
> # わざとSQLインジェクションに脆弱にしておくなど。
> # わざとでなくてもSQLインジェクションに脆弱であれば
> # 攻撃可能ですが...
>
> GRANT/REVOKEでCOPY文へのアクセス制限ができればこのような単純なDoSを
> 防ぐ事が可能になります。
開発者が脆弱なシステムを作った場合にのみ発生するDoS攻撃への対策として
では、すんなり受け入れられない予感がします。COPY文にACLを導入しても、設
定していなけれDoS攻撃は可能なわけで…。
強いてやるなら、idol_timeoutのようなGUCパラメータを追加して、一定時間
以上ステートメントの実行がないセッションを強制切断するというのなら、汎用
的で受け入れられるような気がしますが、どうでしょう?
--
Hiroki Kataoka <kataoka @ interwiz.jp>
hackers-jp メーリングリストの案内