人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

社内向けイントラネットのサイトを作成しています。
コンピューターの管理者から「アドレスを公開しなければパスワードをかける必要はない」といわれましたがそうでしょうか?
ちなみに設定されたアドレスはhttps://www.xxxxとなっていてSSLはついています。
しかしグーグルのデスクトップ・サーチの設定項目には”https://も検索する”というものがあり、不安になっています。
(WWWというのも変な気がするのですが...)

●質問者: Bie
●カテゴリ:コンピュータ
✍キーワード:HTTPS SSL WWW はと アドレス
○ 状態 :終了
└ 回答数 : 11/11件

▽最新の回答へ

1 ● sight
●13ポイント

http://www.hatena.ne.jp/1109106306#

人力検索はてな - 社内向けイントラネットのサイトを作成しています。 コンピューターの管理者から「アドレスを公開しなければパスワードをかける必要はない」といわれましたがそうでしょう..

「アドレスを公開しなければ」というのは違うと思いますが・・・

そもそも、アドレスはさておき、社内ネットワークからのみ参照できるようにネットワークで制御されてる(F/W等で)のであれば、当然問題ないですね。

あと、SSLも、サーバ側認証や単なる通信経路の暗号化のためではなく、クライアントに証明書配ってクライアント認証目的で使っているのでしたら、(それこそパスワードみたいなものなので)証明書を持たないクライアントからアクセスされることはないです。

◎質問者からの返答

サイトはアクセス制御されておらず、自宅からでも見ることができるのです。

また、クライアントには証明書を配っていません。誰でも証明書をインストールできる状態です!


2 ● bebowrock
●13ポイント

http://www.hatena.ne.jp/dummy

イントラネット内の情報が漏れたとして、パスワードをかけていなかったのならば、管理者が責任を問われることになります。

サイボウズなどの代表的なグループウェアは全部パスワード付きですよね? やはりパスワードはつけるべきだと思います。

◎質問者からの返答

私もそのように思うのですが、管理者へ反論する論拠があればありがたいのですが。


3 ● uemuri
●13ポイント

http://www.yahoo.co.jp/

Yahoo! JAPAN

パスワードは絶対必要だと思います。

外部からアクセス可能である以上、

部外者がイントラにアクセスされる危険性は

かなり高いと思います。

また、社内の人が、外部のPCからイントラにアクセスし、

アドレスがキャッシュに残ってしまうとかすると、第3者がサーチエンジンからではなく、

たまたま、イントラのアドレスにアクセスしてしまうことも

十分考えられると思います。

◎質問者からの返答

仰せのとおりだとおもうのです。


4 ● くまっぷす
●13ポイント

http://www.atmarkit.co.jp/fnetwork/rensai/dns01/dns01.html

DNSの仕組みの基本を理解しよう

FWがないということはイントラネットじゃないと思いますよ。単に外に置いたサーバを社内の人が使うというだけでは…。

まず、社外からwww.xxxxでアクセス可能ということはドメイン名前を取得しており、さらにDNSに登録していることになりますね。つまりこの時点で少なくともDNSサーバには名前が公開されています(もしそうでなければGlobalなIPが衝突してしまう恐れがあり社会の迷惑になります)。それに、社員の誰かがアクセスしてるところを第三者に見られないという保証もないですしね。

http://akademeia.info/main/lecture2/kiso_ping_sui-pu.htm

http://www.infonet.co.jp/ueyama/ip/glossary/ipaddress.html

IP アドレス

たとえ名前がわからなくても、所詮IPアドレスというのは限りがあるので、総当りで反応があればサーバの存在がわかってしまいます。

http://akademeia.info/main/lecture2/kiso_portscan.htm

その後はじっくり開いているポートを調べていって、いろいろ攻撃が可能です。

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040720/147480/

Webサーバー「Apache」のSSLモジュールにセキュリティ・ホール - ニュース:ITpro

ちなみにSSLにもたまにこのようにホールが見つかるので、安心できません(もっともこの場合はパスワードがあってもダメですけど(笑))。

◎質問者からの返答

あ・ありがとうございます(^^;


5 ● sight
●13ポイント

http://www.hatena.ne.jp/1109106306

人力検索はてな - 社内向けイントラネットのサイトを作成しています。 コンピューターの管理者から「アドレスを公開しなければパスワードをかける必要はない」といわれましたがそうでしょう..

うーん。そうですか。

そもそも、社内ネットワークからアクセスできなくて良い(業務上の自宅や出先からのアクセスの必要性がセキュリティリスクよりも低い)のでしたら、Internet経由でアクセスさせるべきではないですし、必要がある場合でもやっぱりInternet経由ではなく、ダイヤルアップのRAS経由にするべきじゃないでしょうか。

どうしてもInternet経由からのアクセスが必要な場合でも、できるならパスワードで済ませてしまうのではなく、SSLやIPSECでVPN化した方がいいですね。

予算諸々の都合から外部公開用のWebサーバにイントラネット用のWebアプリも載せちゃった、みたいな形なのでしょうか。

もちろん、「イントラネット」で扱っている情報の質にもよるのですが、セキュリティは、ただ強くすればいいものでもないですから、予算、手間、リスク、利便性などのバランスを取る必要があります。

今回のご質問の場合、そのイントラネット、パスワードをかけてないことが問題なのではなく、ちゃんとした設計がされていないのが問題なのではないでしょうか。パスワード云々というのは、その一端でしかないような気がします。

何れにせよ、「アドレスを公開しなければパスワードをかける必要はない」と言っているということは、不特定の第三者にアドレスが知られるとマズイような内容を扱っているわけですよね?

で、あれば、管理者さんの主張はまったく意味をなしていないと思います。

そもそも、Internetから参照できるパブリックなIP持っているのならば、IPにしろURLにしろ不特定の第三者からみつけられて当然ですから。

埒があかないのでしたら、直接管理者さんに掛け合うのではなく、上の人に世間話ついでに連日のようにニュースになる他社のセキュリティ事故の話をして、「そういえばうちのは大丈夫ですかね・・・」みたいに持っていったら如何でしょう。

◎質問者からの返答

対象は純粋な社内だけではなく、関連会社である営業支店の営業マンも対象にした販売促進内容を含んでいるので、確かにパスワードをかけない方が営業効果はあがるのですが。

しかしながら、ドメインをこのイントラネットのために新たに取得してきたとき、wwwがついているのを知って、オドロキました。

管理者は頭が整理されていないように思います(^^;


1-5件表示/11件
4.前の5件|次5件6.
関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ