専用サーバーを借りており、PHPのバージョンが 4.4.4、MySQLは4.0 です。

また、その中でお問い合わせフォームのあるホームページを運用しています。

これだけの情報で、セキュリティ上の問題の有無、もしくは懸念について、
判断できることはあるでしょうか?

回答の条件
  • 1人2回まで
  • 13歳以上
  • 登録:2010/10/18 10:25:47
  • 終了:2010/10/25 10:30:03

ベストアンサー

id:fenstrial No.4

fenstrial回答回数57ベストアンサー獲得回数142010/10/18 22:00:38

ポイント22pt

>古いバージョンのサーバーを切り替えたくない場合、セキュリティ対策の方法はあるでしょうか?

通常、専用サーバーの場合はroot(Administrator)のアカウントが与えれれているのでは?その場合、自分でphpなりmysqlなりOSなりのバージョン管理を行うことができるはずです。(何も考えずにサーバー機のバージョンアップやパッチ適用をするべきではないのは当然ですが)


さて、セキュリティ上の懸念を。

SQLインジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリといったどこにでもある脆弱性。

ユーザーの追跡があると、危険な脆弱性になりやすいです。


データが秘密にされなければならない場合、SSLによる保護はなされているか。

パスワードが存在するサイトの場合、パスワードはハッシュにして保存しているか(漏洩時の被害軽減)。


ウェブサービス以外に脆弱性はないか。

anonymous ftpなどが設定されていないか。

FTP,SSHv1,telnetなどの脆弱性のあるサービスを使用していないか。

不要なポートが開いていないか。ポートはステルスになっているか。

passwordによるsshログインの場合、passwordが脆弱でないか。

id:kazoo9

ご回答を有難うございました。

とても詳しくご説明いただいて大変助かります。

2010/10/20 22:06:28

その他の回答(3件)

id:taknt No.1

きゃづみぃ回答回数13537ベストアンサー獲得回数11982010/10/18 10:32:21

ポイント23pt

http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html

SQLインジェクション

データベースを運用している場合、考慮する必要がある対策です。

データベースの中身が流出してしまう恐れがあります。

id:kazoo9

ご回答を有難うございます

2010/10/18 18:08:44
id:Galapagos No.2

Galapagos回答回数963ベストアンサー獲得回数892010/10/18 16:19:57

ポイント23pt
  • PHPのバージョンが 4.x系の最終バージョンは4.4.9です。4.4.4にはセキュリティ上の脆弱性が存在します。(PHP: PHP 4 ChangeLog
  • MySQL 4.0といっても複数のバージョンが存在します。古いバージョンのものほどバグがあります。→MySQL 4.0.23の変更点
id:kazoo9

ご回答を有難うございます。

ところで

古いバージョンのサーバーを切り替えたくない場合、セキュリティ対策の方法はあるでしょうか?

或いは、サーバー会社が独自に対応しているようなことは無いでしょうか?

2010/10/18 17:55:24
id:k-tan2 No.3

k-tan2回答回数401ベストアンサー獲得回数482010/10/18 18:03:40

ポイント22pt

>サーバー会社が独自に対応しているようなことは無いでしょうか?

99%ない

http://www.asahi-net.or.jp/~wv7y-kmr/memo/php_security.html

このあたりを地道につぶしていくしかありません。

バージョンを代えれないのでしたら、その環境でできる最善のことをするしかありません。

セキュリティ上の脆弱性があろうとなかろうと、どんなことが起こると損害になるかを考えて

対策を採るべきです。

たとえば顧客情報がもれたらだめだったらその対策をすればよいです。

>その中でお問い合わせフォームのあるホームページを運用しています

SSLで送信する

DBにデータを格納してるのなら、データは暗号化しておく

たとえばこれだったら、データがもれても暗号化されてますから少しましです。

id:kazoo9

はっきりとしたアドバイスでとても勉強になります。

ご回答を有難うございました。

2010/10/18 18:10:39
id:fenstrial No.4

fenstrial回答回数57ベストアンサー獲得回数142010/10/18 22:00:38ここでベストアンサー

ポイント22pt

>古いバージョンのサーバーを切り替えたくない場合、セキュリティ対策の方法はあるでしょうか?

通常、専用サーバーの場合はroot(Administrator)のアカウントが与えれれているのでは?その場合、自分でphpなりmysqlなりOSなりのバージョン管理を行うことができるはずです。(何も考えずにサーバー機のバージョンアップやパッチ適用をするべきではないのは当然ですが)


さて、セキュリティ上の懸念を。

SQLインジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリといったどこにでもある脆弱性。

ユーザーの追跡があると、危険な脆弱性になりやすいです。


データが秘密にされなければならない場合、SSLによる保護はなされているか。

パスワードが存在するサイトの場合、パスワードはハッシュにして保存しているか(漏洩時の被害軽減)。


ウェブサービス以外に脆弱性はないか。

anonymous ftpなどが設定されていないか。

FTP,SSHv1,telnetなどの脆弱性のあるサービスを使用していないか。

不要なポートが開いていないか。ポートはステルスになっているか。

passwordによるsshログインの場合、passwordが脆弱でないか。

id:kazoo9

ご回答を有難うございました。

とても詳しくご説明いただいて大変助かります。

2010/10/20 22:06:28

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません