条件としては…
LINUXサーバーで、特定のURLを知っている人のみが
アクセスできるファイルを設置したいと思っています。
複雑ランダムなディレクトリ名は数十文字程度。
(経路盗聴の危険は除外してください…それも考えるならSSLって感じなので)
クライアントPCのブラウザにはどのURLにアクセスしたかの履歴が残ります。物理的にPCに触れるのであれば、このアクセス履歴を見る方法はありますので、秘密のURLが漏れる可能性をゼロにはできません。
ファイル配布先に対しては、ブラウザの設定でアクセス履歴が残らないように設定するようお願いした方が良さそうです。
また、ダウンロードしたファイルがそのままのファイル名で保存された場合、そこからURLが推測される可能性もあります。このあたりの運用も徹底した方が良いと思います。
クライアントPCのブラウザにはどのURLにアクセスしたかの履歴が残ります。物理的にPCに触れるのであれば、このアクセス履歴を見る方法はありますので、秘密のURLが漏れる可能性をゼロにはできません。
ファイル配布先に対しては、ブラウザの設定でアクセス履歴が残らないように設定するようお願いした方が良さそうです。
また、ダウンロードしたファイルがそのままのファイル名で保存された場合、そこからURLが推測される可能性もあります。このあたりの運用も徹底した方が良いと思います。
アクセスしたPCから漏れる可能性を除外すればOKってことですね。
ありがとうございます。
ディレクトリ名を長くするだけではセキュリティ的には大した効果はありません。
「特定のURL」が漏洩したら、誰でもアクセスできるのと同意になるからです。
そのディレクトリにBasic認証などのアクセス権を設定するのが定石です。
http://www.atmarkit.co.jp/flinux/rensai/linuxtips/698apachebasic.html
“「特定のURL」が漏洩” と “「特定のパスワード」が漏洩”、って
そんなに変わらなくないですか?
上の回答にもある、アクセスしたPCからは漏洩しやすいってのはあるかもしれませんが…。
また、URLとパスワードの扱いにも意識の違いはあるかもですが。
セキュリティは技術面だけでなく、運用面も考える必要があります。
URLは公知のものですから漏洩しても罪に問われませんが、漏洩したパスワードを利用することは不正アクセス禁止法に抵触するので一定の歯止めが掛かっているとみるべきです。
アクセスしたPCから漏れる可能性を除外すればOKってことですね。
2012/12/18 13:11:14ありがとうございます。