cgiの設置について

1:レンタルサーバーでcgiファイルはcgi-binフォルダ、
htmlファイルや画像はhttpdocsに設置するように指定されています。
セキュリティ上の理由とのことですが、
具体的にどういうセキュリティ上の危険があるのでしょうか?

2:httpdocsに設定を変更すればhtmlファイルとともにcgiファイルも置けるようです。
ただし、セキュリティ上の危険があるようです。
httpdocsフォルダにhtmlファイルや画像とcgiファイルを一緒に置くことによる
セキュリティ上の危険とは具体的にどのようなものですか?

3:cgi-binフォルダにcgiファイル、httpdocsフォルダにcssや画像ファイルをおいています。
SSL通信を行うとcgi部分しか表示されません。
通常のhttpだとcssも含め表示されます。
このような場合はhttpdocsフォルダにcgiファイル、cssファイル、画像等を一緒に置かないといけないのでしょうか?どうしたらお問い合わせフォームcgiをSSL通信できるようになりますか?

よろしくお願い致します。

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2012/08/15 15:15:45
  • 終了:2012/08/22 15:20:03
id:dy201

質問者から

dy2012012/08/16 17:09:09

1と2だけでいいので回答をしていただけたら幸いです。

ベストアンサー

id:kibitaki No.1

kibitaki回答回数53ベストアンサー獲得回数42012/08/20 22:26:38

環境によるため一概に言えないのでアバウトにですが。
httpdocs配下にユーザーがcgiを自由に設置できる場合、そのcgiにセキュリティホールがあると、攻撃コマンドをフォーム内に書くなどの方法で、状況が最悪なら

  1. httpdocs配下のディレクトリ・ファイル構成を全て読み出すことができる
  2. 攻撃プログラムやマルウェアを公開状態の任意の位置にアップロードして閲覧者を攻撃できる
  3. データベースを利用している場合、その中身も閲覧や操作ができる
  4. サイト全体や権限の書き換え、ログや閲覧者情報の盗聴なども容易になる

などなど、何でもござれの状態になり得ます。
こうなるとパーミッションなどは役に立ちません。
サーバー全体に被害が及ぶこともあります。

cgiが実行・操作できる範囲を限定するのは、

  • cgi-binの外に攻撃範囲が及ばないようにするための一策となる(万全ではないけど)
  • Apacheのデフォルト設定も同様のポリシー(動作範囲に明示的な許可を必要とする)で、アップデートの際にユーザー単位でのカスタマイズをせずに設置・更新ができる(今どきはカスタマイズは当然自動化できるでしょうが)
  • サーバー管理者としては万一問題が発生した時に、cgi-bin配下だけを切り離しや停止する方が容易

といった利点があります。全てのユーザーが攻撃・対策の知識やプログラム実装に精通していない前提で、「一番レベルの低いユーザーに合わせて提供ルールを作る」会社もあります。
画像などが表示されない場合は、SSLのページ内で、imgタグやcss呼び出し部だけhttp://~~からURL指定で書くと単純に解決できます。

その他の回答(0件)

id:kibitaki No.1

kibitaki回答回数53ベストアンサー獲得回数42012/08/20 22:26:38ここでベストアンサー

環境によるため一概に言えないのでアバウトにですが。
httpdocs配下にユーザーがcgiを自由に設置できる場合、そのcgiにセキュリティホールがあると、攻撃コマンドをフォーム内に書くなどの方法で、状況が最悪なら

  1. httpdocs配下のディレクトリ・ファイル構成を全て読み出すことができる
  2. 攻撃プログラムやマルウェアを公開状態の任意の位置にアップロードして閲覧者を攻撃できる
  3. データベースを利用している場合、その中身も閲覧や操作ができる
  4. サイト全体や権限の書き換え、ログや閲覧者情報の盗聴なども容易になる

などなど、何でもござれの状態になり得ます。
こうなるとパーミッションなどは役に立ちません。
サーバー全体に被害が及ぶこともあります。

cgiが実行・操作できる範囲を限定するのは、

  • cgi-binの外に攻撃範囲が及ばないようにするための一策となる(万全ではないけど)
  • Apacheのデフォルト設定も同様のポリシー(動作範囲に明示的な許可を必要とする)で、アップデートの際にユーザー単位でのカスタマイズをせずに設置・更新ができる(今どきはカスタマイズは当然自動化できるでしょうが)
  • サーバー管理者としては万一問題が発生した時に、cgi-bin配下だけを切り離しや停止する方が容易

といった利点があります。全てのユーザーが攻撃・対策の知識やプログラム実装に精通していない前提で、「一番レベルの低いユーザーに合わせて提供ルールを作る」会社もあります。
画像などが表示されない場合は、SSLのページ内で、imgタグやcss呼び出し部だけhttp://~~からURL指定で書くと単純に解決できます。

id:dy201

質問者から

dy2012012/08/23 00:52:40

cgiファイル自体は購入したものにcssでレイアウト等を整えただけなので
セキュリティーホールはないと思います。
あとcssは

  • id:rouge_2008
    サーバーの構築方法は一つではありませんので、そのサーバーの詳細な仕様が分からないと回答するのは難しいのではないかと思います。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません