Devaneos

Ayer decíamos que Dreamhost era una buena opción, a pesar de sus problemas puntuales pero tiene un gran inconveniente.
El hosting compartido no es seguro, ya que es muy fácil el poder acceder a información confidencial de otros clientes. Abre un shell remoto para acceder a tu account y ejecuta el comando “locate php” para que busque ficheros php, empezarán a salir miles de resultados, ya solo queda editar con la ruta completa cualquiera de los ficheros para ver su contenido, que incluyen passwords, cuentas corrientes, por el ejemplo wp_config.php de wordpress etc …. ¿sorprendido? El equipo de soporte de Dreamhost dice que esto es normal en hosting compartido y que si se ponen permisos a 700 se soluciona el problema, pero dejarán de ser accesibles via web. ¿Tú quieres que tus ficheros puedan ser editados por cualquier cliente de Dreamhost o bien puedan acceder indirectamente a tu base de datos con el usuario y contraseña sacado de un .php?
Menudo agujero de seguridad!

A pesar de eso hay gente que está contenta como éste o este otro o este otro

¿Conoces algun otro hack en otros proveedores de hosting para conseguir información confidencial?
comentalo !

ACTUALIZACION: El “exploit” anterior de Dreamhost funcionaba en Enero 2007, actualmente el comando locate ya no devuelve la ruta de los ficheros, parece ser que los ingenieros de Dreamhost se lo han currado un poco, sin embargo si consigues averiguar la ruta al fichero en cuestion, puedes ver su contenido sin inconveniente. El problema de seguridad sigue existiendo, pero al menos Dreamhost no lo pone a huevo.
Si eres cliente de Enero 2007 o antes tu información puede haber estado comprometida

Puedes seguir las respuestas de esta entrada desde RSS 2.0 feed. Puedes dejar un comentario, o un trackback desde tu propio sitio.