エンドユーザーによるパーミッション制限に意味はあるか先日ロリポップレンタルサーバーでの改竄事件についてのエントリを書いた http://causeless.seesaa.net/article/373409482.html この事件の後、 ・パーミッションはエンドユーザーが"必ず" xxxに制限しないといけない ・シンボリックリンク脆弱性はFollowSymlinksを無効にすればいい というような事がまことしやかに?言われている様に思われたので書いておく。 エンドユーザーによるファイルのパーミッション制限は、 1. 複数ユーザーが共用するサーバーにおいて、 2. サーバーの非特権プロセスにトラバーサルやそれに類する脆弱性にあったとき、 3. 自分の管理下のスクリプトやパスワード管理手法には全く脆弱性がない 場合には意味がある。 実際、ロリポップレンタルサーバーの件ではroot権限が奪われたわけではなさそうなので、パーミッションを厳しくして
