Redisのサービスは、私のホスティングで提供されています、と私はお金のためにそれを接続した場合のRedisは別のドッキングウィンドウコンテナに上昇するので、それは、私だけのために利用可能です。
私はそれをオフにした場合でも、その後のRedisはまだかかわらず、サーバ全体、無料で使用することができます。そして、ここで私は、サーバー全体のRedisに接続しています:
$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);
そして、私は他の人のサイト30万のレコードに関するそちらを参照してください。
$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site
そして、私はすべてのレコードを変更することができます!このような:
$redis->set($allKeys[10000], 0);
それは、誰かがサーバ全体のRedisを使用しています、と私は、ユーザーが自分のデータの公開可用性を認識していないと信じています。彼はただのWordPressで「使用Redisの」チェックボックスのどこかになりました。
そして質問は:ホスティングプロバイダは、このために責任がありますか?結局、普通のユーザーは、自分のデータを自分のサーバにのみ保存され、彼だけに利用可能であると考えています。
技術サポートの応答があった。すべてがOKです。
私が尋ねるので、しかし、私は、そうは思いません。
このホスティングプロバイダは、セキュリティ侵害の責任です。壊れた認証、機密データの露出、そして壊れたアクセス制御:OWASPのトップ10のWebアプリケーションのセキュリティ上のリスクを考えると、これはいくつかのセキュリティリスクの問題です。
あなたの次のステップは、あなた次第です何です。あなたは、ユーザーが可能なデータ侵害のためのホスティングプロバイダで通知しなければならない、ホスティングプロバイダに通知する必要があります。誰かの可能性がプライベートデータを他のユーザーがアクセスできるので、これは非常に深刻なセキュリティ・法的問題です。