teratail
回答率
85.47%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.47%
トップサーバに関する質問
サーバ

サーバは、 クライアントサーバモデルにおいてクライアントからの要求に対し 何らかのサービスを提供するプログラムを指す言葉です。 また、サーバーソフトウェアを稼動させているコンピュータ機器そのもののことも、 サーバーと呼ぶ場合もあります。

Q&A

解決済

2回答

851閲覧

chmodによる権限について

HiruLow
HiruLow

総合スコア55

サーバ

サーバは、 クライアントサーバモデルにおいてクライアントからの要求に対し 何らかのサービスを提供するプログラムを指す言葉です。 また、サーバーソフトウェアを稼動させているコンピュータ機器そのもののことも、 サーバーと呼ぶ場合もあります。

0グッド

1クリップ

投稿2017/10/29 20:34

編集2017/10/29 20:40

0

1

初歩的な質問で申し訳ないですが、調べても権限について具体的な情報しか無いので教えていただきたいです。

権限を付ける際書き込み禁止の項目がありますが、クライアントが書き込み可能なファイルを書き換える時はどのような状況でしょうか?(セキュリティ的な観点からの質問です、書き換えるメソッドをサーバー側で用意していない場合の書き換えと、とらえていただきたいです)

また
クライアント側のjavascriptからサーバーのphpを実行する際、見られたくないphpファイルはinclude等を利用してファイル内容を別にわけることで隠す事が出来ると聞いたのですが、このようなphpをまたぐ実行がローカルホストによる実行として動作してしまう状況は無いと思ってよろしいでしょうか?

回答お願い致します

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

どのようなサーバを前提とするのかによって結果は変わりますので、以下ではHTTPサーバとして考えます(FTPやSSHなどでは、全く違ってきます)。

クライアントが書き込み可能なファイルを書き換える時はどのような状況でしょうか?

「脆弱性があってサーバに侵入された」という状況でもない限り、クライアントからのアクセスはすべてサーバ上のプログラムを経由して処理されますので、それぞれのサーバプログラムの実行権限に従って処理されます。「書き換えるメソッドをサーバー側で用意していない場合の書き換え」なんてことは、通常は起きません。

このようなphpをまたぐ実行がローカルホストによる実行として動作してしまう状況は無いと思ってよろしいでしょうか?

「ローカルホストによる実行」がどういう意味なのか、補足をお願いします。

投稿2017/10/30 00:40

maisumakun
maisumakun

総合スコア145201

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

HiruLow
HiruLow

2017/10/30 01:19

解りやすい回答ありがとうございます。 ローカルホストによる実行について、説明不足でした。言いたかった事ですが、スクリプトの最初の実行者がクライアントだったとしてもサーバー内のスクリプトを通過もしくはサーバー間でのメソッドの呼び出しによって実行者が第三者からrootもしくはグループに移行してしまう可能性、危険性はあるかとゆう意味となります
maisumakun
maisumakun

2017/10/30 01:22

権限を切り替えて実行するようなプログラムを自分で意図して用意していた場合は別として、そうでない場合は「権限昇格」といって、サーバプログラムの脆弱性になります(保守が続いていれば、きちんと修正されるはずです)。
HiruLow
HiruLow

2017/10/30 01:25

大変勉強になりました、後はネットで調べます ありがとうございました。
guest

0

書き換えるメソッドをサーバー側で用意していない場合

とありますが、どうやろうとしていますか?
何にしてもサーバのファイルを書き換える以上はサーバプロセスで動くのでそこに権限が関わって来るかと思います。

後半部分は

ローカルホストによる実行として動作してしまう

という意味が分からないのですが、こちらも権限を気にしているのですかね?

結局はどのサーバプロセスで動くかということなので
そこを確認しつつ適した所有者と権限を与えるのがセオリーかと思います。

投稿2017/10/30 00:40

yuki-saito
yuki-saito

総合スコア928

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

HiruLow
HiruLow

2017/10/30 01:12

回答ありがとうございます 書き換えるメソッドを用意していない場合とゆうのは、セキュリティ関連の記事によくサイトの書き換えとゆう脅威項目が有る事から、単なる不安要素として出てきたまでです。 yukiさんの意見を読んでいて気づけたのですが、こういったサイトの書き換えはサーバーへの侵入(権限の書き換えを行える行為)が可能になった場合に限るようですね ローカルホストとして実行してしまう、とゆうのはサーバー側から見た意見でして、要は、http階層以下のオープンなファイルを通過する事によりスクリプトの最初の実行者がクライアントだったとしても、ファイル単位での実行と見受けられ、そのファイルを定義しているグループもしくはrootとしての実行として受け取られることは無いのか、とゆう意味です 要は途中経過で実行者が変わることはあるのかとゆう質問です。わかりにくくてすいません
yuki-saito
yuki-saito

2017/10/30 01:22

そうですね。基本的には攻撃になるかと思います。 後半部分はやはりそういうような意味だったのですね。 先程の回答の通り、基本的には誰が実行しているか?ということになります。 PHPからincludeするだけならば同じプロセス内なので急に別のユーザになることはないです。 ちなみに、「実行者がクライアント」というのは少し違うかと思います。 クライアントはあくまでキックするだけなので、受け取っているのはサーバプロセスです。(Apacheなど。) ですので、サーバ側はそのプロセスでの実行となり、そこから別プロセスに実行を移さない限りは問題ありません。 includeでは実行は移らないので大丈夫です。
HiruLow
HiruLow

2017/10/30 01:29

大変勉強になりました。ありがとうございます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.47%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップサーバに関する質問

chmodによる権限について