質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.98%

  • サーバ

    709questions

    サーバは、 クライアントサーバモデルにおいてクライアントからの要求に対し 何らかのサービスを提供するプログラムを指す言葉です。 また、サーバーソフトウェアを稼動させているコンピュータ機器そのもののことも、 サーバーと呼ぶ場合もあります。

chmodによる権限について

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 186

HiruLow

score 33

初歩的な質問で申し訳ないですが、調べても権限について具体的な情報しか無いので教えていただきたいです。

権限を付ける際書き込み禁止の項目がありますが、クライアントが書き込み可能なファイルを書き換える時はどのような状況でしょうか?(セキュリティ的な観点からの質問です、書き換えるメソッドをサーバー側で用意していない場合の書き換えと、とらえていただきたいです)

また
クライアント側のjavascriptからサーバーのphpを実行する際、見られたくないphpファイルはinclude等を利用してファイル内容を別にわけることで隠す事が出来ると聞いたのですが、このようなphpをまたぐ実行がローカルホストによる実行として動作してしまう状況は無いと思ってよろしいでしょうか?

回答お願い致します

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+1

どのようなサーバを前提とするのかによって結果は変わりますので、以下ではHTTPサーバとして考えます(FTPやSSHなどでは、全く違ってきます)。

クライアントが書き込み可能なファイルを書き換える時はどのような状況でしょうか?

「脆弱性があってサーバに侵入された」という状況でもない限り、クライアントからのアクセスはすべてサーバ上のプログラムを経由して処理されますので、それぞれのサーバプログラムの実行権限に従って処理されます。「書き換えるメソッドをサーバー側で用意していない場合の書き換え」なんてことは、通常は起きません。

このようなphpをまたぐ実行がローカルホストによる実行として動作してしまう状況は無いと思ってよろしいでしょうか?

「ローカルホストによる実行」がどういう意味なのか、補足をお願いします。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/30 10:19

    解りやすい回答ありがとうございます。

    ローカルホストによる実行について、説明不足でした。言いたかった事ですが、スクリプトの最初の実行者がクライアントだったとしてもサーバー内のスクリプトを通過もしくはサーバー間でのメソッドの呼び出しによって実行者が第三者からrootもしくはグループに移行してしまう可能性、危険性はあるかとゆう意味となります

    キャンセル

  • 2017/10/30 10:22

    権限を切り替えて実行するようなプログラムを自分で意図して用意していた場合は別として、そうでない場合は「権限昇格」といって、サーバプログラムの脆弱性になります(保守が続いていれば、きちんと修正されるはずです)。

    キャンセル

  • 2017/10/30 10:25

    大変勉強になりました、後はネットで調べます
    ありがとうございました。

    キャンセル

+1

書き換えるメソッドをサーバー側で用意していない場合

とありますが、どうやろうとしていますか?
何にしてもサーバのファイルを書き換える以上はサーバプロセスで動くのでそこに権限が関わって来るかと思います。

後半部分は

ローカルホストによる実行として動作してしまう

という意味が分からないのですが、こちらも権限を気にしているのですかね?

結局はどのサーバプロセスで動くかということなので
そこを確認しつつ適した所有者と権限を与えるのがセオリーかと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/30 10:12

    回答ありがとうございます

    書き換えるメソッドを用意していない場合とゆうのは、セキュリティ関連の記事によくサイトの書き換えとゆう脅威項目が有る事から、単なる不安要素として出てきたまでです。

    yukiさんの意見を読んでいて気づけたのですが、こういったサイトの書き換えはサーバーへの侵入(権限の書き換えを行える行為)が可能になった場合に限るようですね

    ローカルホストとして実行してしまう、とゆうのはサーバー側から見た意見でして、要は、http階層以下のオープンなファイルを通過する事によりスクリプトの最初の実行者がクライアントだったとしても、ファイル単位での実行と見受けられ、そのファイルを定義しているグループもしくはrootとしての実行として受け取られることは無いのか、とゆう意味です


    要は途中経過で実行者が変わることはあるのかとゆう質問です。わかりにくくてすいません

    キャンセル

  • 2017/10/30 10:22

    そうですね。基本的には攻撃になるかと思います。

    後半部分はやはりそういうような意味だったのですね。
    先程の回答の通り、基本的には誰が実行しているか?ということになります。
    PHPからincludeするだけならば同じプロセス内なので急に別のユーザになることはないです。

    ちなみに、「実行者がクライアント」というのは少し違うかと思います。
    クライアントはあくまでキックするだけなので、受け取っているのはサーバプロセスです。(Apacheなど。)
    ですので、サーバ側はそのプロセスでの実行となり、そこから別プロセスに実行を移さない限りは問題ありません。
    includeでは実行は移らないので大丈夫です。

    キャンセル

  • 2017/10/30 10:29

    大変勉強になりました。ありがとうございます。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.98%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • サーバ

    709questions

    サーバは、 クライアントサーバモデルにおいてクライアントからの要求に対し 何らかのサービスを提供するプログラムを指す言葉です。 また、サーバーソフトウェアを稼動させているコンピュータ機器そのもののことも、 サーバーと呼ぶ場合もあります。