Il mio webhost dovrebbe mostrare il filesystem di root tramite FTP?

Naviga le tue risposte
3

Uso un host web commerciale, quando accedo tramite FTP regolare questo è come appaiono le directory:

Sembrastranocheiopossaaccedereaifiledisistema,hopensatochesareilimitatoadaccedereaifilesottolamiacartellautenteocartellawebroot(cheèall'internodi"clienti"). Il mio webhost ha un problema di sicurezza o è normale?

    
posta oivind 20.11.2016 - 09:34
fonte

3 risposte

1

Chiamare questo un problema di sicurezza è probabilmente troppo rumoroso. Nascondere i file di sistema è solo offuscamento e tutti sappiamo che l'offuscamento non è una delle migliori pratiche di sicurezza.

D'altra parte, la regola del minimo privilegio è . Ciò significa che un utente o un account dovrebbero avere consentito solo gli accessi per ciò che è richiesto per il suo lavoro o per il contratto . Qui chiaramente, non avresti motivi per essere in grado di navigare nella cartella principale.

Ancora non lo chiamerei un problema di sicurezza, a meno che tu non sia in grado di guardare i dati di altri clienti (perché ciò significa che puoi accedere anche ai tuoi), ma è probabilmente un suggerimento che l'amministratore non è veramente attento a le migliori norme di sicurezza . In quanto tale questo è un suggerimento che altri problemi di sicurezza più gravi potrebbero esistere su questo webhost.

Ma comunque, è solo un suggerimento, non una prova.

    
risposta data 20.11.2016 - 17:33
fonte
0

È un problema di sicurezza? Se è possibile divulgare informazioni di altri client o file di sistema, potrebbe essere considerato come una potenziale perdita di riservatezza. È una buona pratica imprigionare un utente all'interno della propria cartella e non consentirgli di navigare.

Uno degli argomenti è che diventa meno facile scoprire le informazioni sulla macchina su cui è in esecuzione il sistema, rendendo così più difficile per qualcuno che vuole trovare un potenziale exploit.

    
risposta data 20.11.2016 - 12:32
fonte
0

Suggerirei che questo è un problema di sicurezza per una serie di motivi. Presumo qui che il tuo account sia un account di webhosting condiviso (ad esempio, non paghi per l'intera macchina virtuale)

  1. Non si specifica se dopo aver effettuato l'accesso tramite FTP è possibile scaricare / caricare su directory al di fuori del proprio webroot. Se è possibile che sia un attacco malintenzionato, quell'accesso potrebbe essere in grado di utilizzarlo per recuperare altri dati o modificare la configurazione del sistema. FWIW, non ti suggerirei di provarlo perché potrebbe essere descritto in modo inequivocabile come accesso non autorizzato al sistema.
  2. Anche supponendo che al momento non sia possibile ottenere l'accesso non autorizzato ad altri dati sull'host, offrendoti visibilità su di esso aumenta il rischio che un errore di configurazione successivo possa avere conseguenze gravi. Ad esempio, qualcuno esegue chmod 777 * in una directory per risolvere un problema e poi si dimentica di modificare le autorizzazioni in un secondo momento. Esponendo i file di sistema inutilmente, l'hoster sta riducendo la sicurezza complessiva fornita.

Idealmente, ciò che dovrebbero fare è usare una qualche forma di prigione chroot per limitarti a vedere solo i file che fanno parte del tuo sito web.

    
risposta data 21.11.2016 - 20:42
fonte

Leggi altre domande sui tag

Il cloud storage è sicuro da usare se utilizzo gpg e il mio metodo è sicuro? ID gancio manzo non valido: il browser collegato non può essere trovato nel database?