人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

WEBでのセキュリティについて質問です。
ベーシック認証は簡単に破られるということを以前聞きました。
配布されているCGIに「CGIに直接パスワードを書いておくのは危険なので」等の記述もあったりします。
「そもそもHTTPからアクセスできるファイルは見られても文句は言えない」というのも見かけます。
それでもレンタルサーバーの中には「ベーシック認証をかければ安全です」と書かれているところもあります。実際CGIファイルの中身というのは見れるものなのでしょうか?
「特定の条件が揃えばできる」のでしょうか。
または「やろうと思えばできるけど犯罪だからやらないだけ」なのでしょうか。
レンタルサーバを使っていてCGIに直接パスワードを記載することはなぜ危険なのか、どういう場合にどのようにして見らてしまうかお聞かせください。
分かりにくい表現でしたらすみませんが議論的な内容は要りません。
それとセキュリティ概要的な総括したものも結構です。
主旨をご理解頂けていないような場合はポイントを差し上げられないかもしれませんがよろしくお願いします。

●質問者: kamikage
●カテゴリ:コンピュータ
✍キーワード:CGI HTTP Web すみません アクセス
○ 状態 :終了
└ 回答数 : 4/4件

▽最新の回答へ

1 ● k12u
●25ポイント

例えば同じサーバを利用する第3者がCGIをテキストファイルとして読み出して

表示するCGIを設置する可能性があります。

(これはごく簡単な一例でたくさんの例外や対策が含まれます)

細かい差異についてはレンタルサーバの構成・設定・保守状況等により様々でしょうが

一般論として「可能な限り危険性を減らす」というのはセキュリティ対策としては

妥当な選択だと思います。


http://q.hatena.ne.jp/answer

外部の情報をご希望でしたら申し訳ないのですがURLはダミーです。

◎質問者からの返答

>例えば同じサーバを利用する第3者がCGIをテキストファイルとして読み出して・・・

なるほどですね。

そういった「例」を知りたかったので嬉しいです。


2 ● k12u
●25ポイント

もしくは何らかの原因(ハードウェア障害等も含む)でエラーが発生した場合に

エラーログや利用者のブラウザにパスワードが出力される可能性があります。

トリビアルな事例ばかりですみませんが先ほど質問のご意図に反して演説してしまいましたがセキュリティというのはそういうものだと思います(また演説しちゃった)。

http://blog.nomadscafe.jp/archives/000504.html

◎質問者からの返答

ありがとうございます。

ちなみに「議論的な」というのは極端なものをイメージしていただけですので。(^^;

で、すみませんが・・・こんなところで何ですが、実は今一つハテナさんの操作がわかっていないところがありまして、ポイントが付けられないのですがどうしたものでしょうか・・・(汗

以前と操作が変わった、とかそういったことがあるんでしょうか・・・(汗×2


3 ● novtan
●25ポイント

http://www.mytools.net/cgitools/begin.html#dir

通常、正常にCGIが動作する状況であれば、見えることはありません。しかし、サーバーの設定にもよりますが、アップロードする際のミスなどによってソースが丸見えになってしまう可能性はあります。

そのときにパスワードが直接書いてあるとばれてしまいますね。

なお、ベーシック認証はソースが見えるかどうかには全く関係ありません。httpでベーシック認証を使用すると、ID/PASSが暗号化されない状態でインターネットを飛び交うことになりますので、盗聴の危険性がありますし、http://www.hotfix.jp/archives/alert/2004/news04-0204.htmlというような問題もありました。


4 ● MoonWolf
●25ポイント

http://www.example.com/

URLはダミーです。

ベーシック認証はパスワードが暗号化されないで、生のまま通信されるので、

途中で通信を傍受されたら一発でパスワードがわかってしまいます。

ダイジェスト認証であれば、だいぶセキュリティが強くなるのでそちらを推奨します。

レンタルサーバの場合ですが、おなじサーバーを共有しているのでFTPやTELNETなどHTTP以外の方法でアクセスされる可能性があるのでパーミッションに注意が必要です。

CGIに直接パスワードを書く危険性ですが、CGIソースが表示されるセキュリティホールがあった場合にパスワードが流出します。

パスワードはHTTPで見えないディレクトリに設定ファイルとして置くといいと思います。

設定ファイルの名前を.htで始まる名前にしておくと、すこし安全です。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ