回答編集履歴
1
外部からの攻撃に加えて、内部犯への効果について追記しました
test
CHANGED
|
@@ -53,3 +53,15 @@
|
|
|
53
53
|
|
|
54
54
|
|
|
55
55
|
※ なので、私は引用したドキュメントについては、かなり不満を抱いています。権威ある文書だからといって、鵜呑みにしてはいけない例でしょう。
|
|
56
|
+
|
|
57
|
+
|
|
58
|
+
|
|
59
|
+
---
|
|
60
|
+
|
|
61
|
+
|
|
62
|
+
|
|
63
|
+
以上は外部からの攻撃を想定して書いたものであり、SEI CERTの文書も外部からの攻撃を想定して書かれているようですが、サーバーにログインする権限を持つエンジニアによる悪用というシナリオを想定すると、意味がなくはないですね。
|
|
64
|
+
|
|
65
|
+
つまり、サーバー管理者はサーバーに自分のアカウントでログインはできるが、アプリケーションが用いるデータベースアカウントは、その管理者が閲覧できないディレクトリに書いてあるという想定です。
|
|
66
|
+
|
|
67
|
+
しかし、これが意味をもつためには、たとえばサーバー管理者は root 権限では作業しないとか、データベースのアカウントは作業者毎に分けてある(本来そうすべきだがあまりできていない)等の運用管理ができて初めて意味を持つことになります。
|