web-dev-qa-db-fra.com

Est-il normal que je vois les données Redis des autres sur l'hébergement partagé?

Le service Redis est disponible sur mon hébergement, et si je le connecte pour de l'argent, il n'est disponible que pour moi, puisque Redis monte dans un conteneur docker séparé.

Mais, si je l'éteint, Redis peut toujours être utilisé gratuitement, bien qu'à l'échelle du serveur. Et ici, je me connecte au Redis à l'échelle du serveur:

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

Et j'y vois environ 300 000 enregistrements de sites d'autres personnes.

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

Et je peux changer chaque enregistrement! Comme ça:

$redis->set($allKeys[10000], 0);

Autrement dit, quelqu'un utilise Redis à l'échelle du serveur et je pense que l'utilisateur n'est pas au courant de la disponibilité publique de ses données. Il vient d'activer la case à cocher "Utiliser Redis" quelque part dans WordPress.

Et la question est: le fournisseur d'hébergement est-il responsable de cela? Après tout, un utilisateur ordinaire estime que ses données sont stockées uniquement sur son serveur et ne sont disponibles que pour lui.

La réponse du support technique a été: tout va bien.

Mais je ne pense pas, alors je demande.

Je travaille dans l'hébergement Web. Ce n'est pas correct et signifie qu'ils ont un problème sérieux sur leurs mains! Demandez un directeur ou un superviseur. Si cela ne mène nulle part, MOVE.

D'après ce que vous avez décrit, ils ont des utilisateurs virtuels pour les utilisateurs de Redis qui paient pour cela. Plutôt que de le désactiver pour tout le monde, ils semblent autoriser tout le monde à accéder au même pool partagé, provoquant la faille de sécurité que vous avez décrite.

5
Ryan Flowers