WEBでのセキュリティについて質問です。

ベーシック認証は簡単に破られるということを以前聞きました。
配布されているCGIに「CGIに直接パスワードを書いておくのは危険なので」等の記述もあったりします。
「そもそもHTTPからアクセスできるファイルは見られても文句は言えない」というのも見かけます。
それでもレンタルサーバーの中には「ベーシック認証をかければ安全です」と書かれているところもあります。実際CGIファイルの中身というのは見れるものなのでしょうか?
「特定の条件が揃えばできる」のでしょうか。
または「やろうと思えばできるけど犯罪だからやらないだけ」なのでしょうか。
レンタルサーバを使っていてCGIに直接パスワードを記載することはなぜ危険なのか、どういう場合にどのようにして見らてしまうかお聞かせください。
分かりにくい表現でしたらすみませんが議論的な内容は要りません。
それとセキュリティ概要的な総括したものも結構です。
主旨をご理解頂けていないような場合はポイントを差し上げられないかもしれませんがよろしくお願いします。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2006/06/15 03:42:11
  • 終了:2006/06/22 03:45:03

回答(4件)

id:k12u No.1

k12u回答回数80ベストアンサー獲得回数72006/06/15 03:57:07

ポイント25pt

例えば同じサーバを利用する第3者がCGIをテキストファイルとして読み出して

表示するCGIを設置する可能性があります。

(これはごく簡単な一例でたくさんの例外や対策が含まれます)

細かい差異についてはレンタルサーバの構成・設定・保守状況等により様々でしょうが

一般論として「可能な限り危険性を減らす」というのはセキュリティ対策としては

妥当な選択だと思います。


http://q.hatena.ne.jp/answer

外部の情報をご希望でしたら申し訳ないのですがURLはダミーです。

id:kamikage

>例えば同じサーバを利用する第3者がCGIをテキストファイルとして読み出して・・・

なるほどですね。

そういった「例」を知りたかったので嬉しいです。

2006/06/15 19:55:14
id:k12u No.2

k12u回答回数80ベストアンサー獲得回数72006/06/15 04:09:33

ポイント25pt

もしくは何らかの原因(ハードウェア障害等も含む)でエラーが発生した場合に

エラーログや利用者のブラウザにパスワードが出力される可能性があります。

トリビアルな事例ばかりですみませんが先ほど質問のご意図に反して演説してしまいましたがセキュリティというのはそういうものだと思います(また演説しちゃった)。

http://blog.nomadscafe.jp/archives/000504.html

id:kamikage

ありがとうございます。

ちなみに「議論的な」というのは極端なものをイメージしていただけですので。(^^;

で、すみませんが・・・こんなところで何ですが、実は今一つハテナさんの操作がわかっていないところがありまして、ポイントが付けられないのですがどうしたものでしょうか・・・(汗

以前と操作が変わった、とかそういったことがあるんでしょうか・・・(汗×2

2006/06/15 20:05:08
id:NOV1975 No.3

novtan回答回数50ベストアンサー獲得回数22006/06/15 07:36:09

ポイント25pt

http://www.mytools.net/cgitools/begin.html#dir

通常、正常にCGIが動作する状況であれば、見えることはありません。しかし、サーバーの設定にもよりますが、アップロードする際のミスなどによってソースが丸見えになってしまう可能性はあります。

そのときにパスワードが直接書いてあるとばれてしまいますね。

なお、ベーシック認証はソースが見えるかどうかには全く関係ありません。httpでベーシック認証を使用すると、ID/PASSが暗号化されない状態でインターネットを飛び交うことになりますので、盗聴の危険性がありますし、http://www.hotfix.jp/archives/alert/2004/news04-0204.htmlというような問題もありました。

id:moonwolf No.4

MoonWolf回答回数30ベストアンサー獲得回数22006/06/15 09:08:29

ポイント25pt

http://www.example.com/

URLはダミーです。

ベーシック認証はパスワードが暗号化されないで、生のまま通信されるので、

途中で通信を傍受されたら一発でパスワードがわかってしまいます。

ダイジェスト認証であれば、だいぶセキュリティが強くなるのでそちらを推奨します。

レンタルサーバの場合ですが、おなじサーバーを共有しているのでFTPやTELNETなどHTTP以外の方法でアクセスされる可能性があるのでパーミッションに注意が必要です。

CGIに直接パスワードを書く危険性ですが、CGIソースが表示されるセキュリティホールがあった場合にパスワードが流出します。

パスワードはHTTPで見えないディレクトリに設定ファイルとして置くといいと思います。

設定ファイルの名前を.htで始まる名前にしておくと、すこし安全です。

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません