人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

セキュリティに詳しい方に質問です。
ファイルへの直接アクセスをできないようにする下記の方法は安全ですか?
公開ディレクトリの外に置くことができないテキストファイルがあります。
PHPプログラムからはアクセス可でWEBからはアクセス不可とする為に
テキストファイルが置かれているディレクトリに「.htaccess」を下記のように記述しました。

order deny,allow
deny from all
allow from localhost

この方法は全てのWEBアクセス(検索ロボットなど含む)から安全であると考えて問題ないでしょうか?

●質問者: clab_yasu
●カテゴリ:ウェブ制作
✍キーワード:.htaccess ALL localhost PHP Web
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● hanako393
●27ポイント

>この方法は全てのWEBアクセス(検索ロボットなど含む)から安全であ

安全です。

PHPプログラムでHTTPでファイルを読まないで

直接読むのなら、localhostも許可する必要はありません。

できるのなら、WEBアクセスできるディレクトリ以外に

ファイルを置くことをお勧めします。PHPからは読めますから。

◎質問者からの返答

早速のご回答ありがとうございました。

レンタルサーバの関係上、webアクセスできるディレクトリでないと

FTP接続できないものですので今回質問させていただきました。

外部サーバーからの「file_get_contents()」 もしっかりガードしているようですね。

「localhost」の1行も削除させていただきました。

ありがとうございました。


2 ● gday
●55ポイント

そのサイトが入っているレンタルサーバーの他のユーザーがサーバーにログインしてwgetとかlynxとかでwebアクセスしたらアウトですね。

あるいはそのサーバーでプロキシが運用されていた場合もプロキシ経由のアクセスはlocalhostからのwebアクセスになるのでアウトです。

◎質問者からの返答

ご回答ありがとうございます。

「サーバーにログインしてwgetとかlynxとかでwebアクセスしたらアウト」

このような恐ろしい回答を期待しておりました。

例えばさくらインターネットさんのようなメジャーなサーバ会社さんであれば

「このようなことは想定してブロックしてくれている」と考えるのは甘いでしょうか?

hanako393様のご指摘により「localhost」もアクセス不可とさせていただきました。


3 ● gday
●55ポイント ベストアンサー

コメント欄が開いていないのでこちらで。(2回目になります)


>例えばさくらインターネットさんのようなメジャーなサーバ会社さんであれば

>「このようなことは想定してブロックしてくれている」と考えるのは甘いでしょうか?


甘いと思います。

webサーバーはインターネットに情報を公開するために提供されているので基本的にはデータは全部公開される、公開したくないデータはサーバー利用者の責任で対策するというのが普通の考え方です。

またもし、webサーバーでプロキシも運用しているならば、localhostへのアクセスをブロックすることは同じサーバー内部の全てのwebサイトへのアクセスを否定することになるので通常は考えられないことです。

もっとも、普通のレンタルサーバーでwebサイトとプロキシを同じサーバーで運用しているようなところはまず無いと思います。

◎質問者からの返答

早速のご回答ありがとうございます。

「コメント欄」を開かせていただきました。

>webサーバーはインターネットに情報を公開するために提供されているので基本的にはデータは全部公開される、

>公開したくないデータはサーバー利用者の責任で対策するというのが普通の考え方です。

ごもっともですね。

>またもし、webサーバーでプロキシも運用しているならば、localhostへのアクセスをブロックすることは

>同じサーバー内部の全てのwebサイトへのアクセスを否定することになるので通常は考えられないことです。

http://ja.wikipedia.org/wiki/プロキシ

ここも見てみました。

>もっとも、普通のレンタルサーバーでwebサイトとプロキシを同じサーバーで運用しているようなところは

>まず無いと思います。

可能性はゼロではないけど、限りなくゼロと解釈して良いということでしょうか?

>サーバー利用者の責任で対策するというのが普通の考え方です。

例えばgday様ならどのような対策を施しますか?

サーバの難しい設定は分かりませんので「.htaccess」レベルで・・・。

コメントまたは新規回答(3回目)にてご回答いただければ幸いです。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ