Q&A
メールということは、cron か何かで mysql のコマンドを実行しているのでしょうか?
先日mysqlを5.5から5.6へアップデートしたところ、以下のようなエラーがメールに届くようになりました。
``
Using a password on the command line interface can be insecure
調べてみると、パスワードが直打ちされていてセキュアじゃないということらしいです。 エラーを出さなくする方法は調査済みですが、mysqlは触ったことがなく、wpで作られたサイトが動かなくなりそうで改善作業しておりません。 質問は、このエラーは無視できるものか?ということです。 エラー無視のデメリットは万が一ファイルを覗かれた際にパスワードがわかってしまうというものだと思いますが、現状の少ないPV数などを鑑みるに、エラー対応の優先順位は下の方にあります。 こちら現状無視しても良いのか、ダメな場合上記以外で起こりうるデメリットは何があるのかを教えていただけませんでしょうか。 ゆくゆくはエラー対応するつもりですが、優先順位づけに困っております。
cron…というタイトルでエラーの通知が来ていますので、そうかと思います。
この辺り私は設定しておらず(作業者不明)でして。
cronを実行しているサーバにMySQLのパスワードがハードコーディングされているという事だと思いますので、そのサーバがセキュアな状態かどうかにもよる気がします。
もし不特定多数のアクセスを許可しているサーバであれば、処理の修正以外にもパスワード変更などの対処を検討した方がいいのではないかと思います。
その調査済みの対処方法を質問に含めることは出来ないのですか?
エラーメッセージ提示は
``
ではなく
```
メッセージ
```
または
`メッセージ`
ですね。
https://teratail.com/help#about-markdown
あと、このタイトルだと何を聞きたいのか分からないので、質問内容に寄せたタイトルにし、補足は削ってください(要件に関係ありません)
・パスワードが漏れて悪用された時の損害をリストアップする。
・パスワードが漏れて悪用される確率を算出する。
・システム改修のコストを見積もる。
それを持って決済できる責任者に相談してください。
回答3件
0
ベストアンサー
コマンドラインでパスワードを指定しているということなので、ちょうどそのコマンド実行中に、他のユーザーがps axとかのコマンドを打つと、パスワードが見えます。
瞬間で終わるコマンドであれば、実害はないと思いますが。
投稿2019/02/20 02:29
総合スコア84499
0
パスワードを含めたスクリプト・プログラムで、mysqlに接続していると思います。それだと、安全じゃないよ・・と、言っていますね。
全くの私の感覚ですが、小規模・万が一の時に問題がなければ、許容していいかと思います。
投稿2019/02/20 01:37
総合スコア58
0
詳しい実行環境がわからないのでベストな方法かは保証できませんが、オプションファイル(.cnf)にパスワードを書いておくという方法があります。
mysqlコマンドを実行するときは、 --defaults-extra-file引数でオプションファイルを指定すれば、内容を読み取らせることができます。
https://dev.mysql.com/doc/refman/5.6/ja/option-files.html
投稿2019/02/20 00:28
総合スコア1524
あなたの回答
tips
プレビュー
