人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

専用サーバーを借りており、PHPのバージョンが 4.4.4、MySQLは4.0 です。
また、その中でお問い合わせフォームのあるホームページを運用しています。

これだけの情報で、セキュリティ上の問題の有無、もしくは懸念について、
判断できることはあるでしょうか?

●質問者: kazoo9
●カテゴリ:インターネット ウェブ制作
✍キーワード:MySQL PHP サーバー セキュリティ バージョン
○ 状態 :終了
└ 回答数 : 4/4件

▽最新の回答へ

1 ● きゃづみぃ
●23ポイント

http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html

SQLインジェクション

データベースを運用している場合、考慮する必要がある対策です。

データベースの中身が流出してしまう恐れがあります。

◎質問者からの返答

ご回答を有難うございます


2 ● Galapagos
●23ポイント
◎質問者からの返答

ご回答を有難うございます。

ところで

古いバージョンのサーバーを切り替えたくない場合、セキュリティ対策の方法はあるでしょうか?

或いは、サーバー会社が独自に対応しているようなことは無いでしょうか?


3 ● k-tan2
●22ポイント

>サーバー会社が独自に対応しているようなことは無いでしょうか?

99%ない

http://www.asahi-net.or.jp/~wv7y-kmr/memo/php_security.html

このあたりを地道につぶしていくしかありません。

バージョンを代えれないのでしたら、その環境でできる最善のことをするしかありません。

セキュリティ上の脆弱性があろうとなかろうと、どんなことが起こると損害になるかを考えて

対策を採るべきです。

たとえば顧客情報がもれたらだめだったらその対策をすればよいです。

>その中でお問い合わせフォームのあるホームページを運用しています

SSLで送信する

DBにデータを格納してるのなら、データは暗号化しておく

たとえばこれだったら、データがもれても暗号化されてますから少しましです。

◎質問者からの返答

はっきりとしたアドバイスでとても勉強になります。

ご回答を有難うございました。


4 ● fenstrial
●22ポイント ベストアンサー

>古いバージョンのサーバーを切り替えたくない場合、セキュリティ対策の方法はあるでしょうか?

通常、専用サーバーの場合はroot(Administrator)のアカウントが与えれれているのでは?その場合、自分でphpなりmysqlなりOSなりのバージョン管理を行うことができるはずです。(何も考えずにサーバー機のバージョンアップやパッチ適用をするべきではないのは当然ですが)


さて、セキュリティ上の懸念を。

SQLインジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリといったどこにでもある脆弱性。

ユーザーの追跡があると、危険な脆弱性になりやすいです。


データが秘密にされなければならない場合、SSLによる保護はなされているか。

パスワードが存在するサイトの場合、パスワードはハッシュにして保存しているか(漏洩時の被害軽減)。


ウェブサービス以外に脆弱性はないか。

anonymous ftpなどが設定されていないか。

FTP,SSHv1,telnetなどの脆弱性のあるサービスを使用していないか。

不要なポートが開いていないか。ポートはステルスになっているか。

passwordによるsshログインの場合、passwordが脆弱でないか。

◎質問者からの返答

ご回答を有難うございました。

とても詳しくご説明いただいて大変助かります。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ