Redis服务在我的主机上可用,如果我连接了它,则它仅对我可用,因为Redis出现在单独的Docker容器中。
但是,如果您将其关闭,则尽管在服务器范围内,Redis仍可以使用。在这里,我正在连接到服务器范围的Redis:
$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);
并且我看到那里大约有30万条其他人的记录。
也就是说,有人使用服务器范围的Redis,我相信用户并不了解其数据的公开可用性。他只是在WordPress的某个地方打开了“使用Redis”复选框。
问题是:托管服务提供商对此负责吗?毕竟,普通用户认为他的数据仅存储在服务器上,并且仅对他可用。
TP的回应是:一切正常。
但是我不这么认为,所以我问。
该托管服务提供商应对安全漏洞负责。考虑到OWASP的十大Web应用程序安全风险,这是一个安全风险很小的问题:身份验证中断,敏感数据公开和访问控制中断。
您的下一步取决于您。您应通知托管服务提供商,托管服务提供商应将可能的数据泄露通知用户。这是非常严重的安全和法律问题,因为其他用户可以访问某人可能的私有数据。