人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

秘密のファイルを、単純に複雑で長いディレクトリ名でサーバーのドキュメントルートに設置するというのは有効でしょうか?(セキュリティ的に)

●質問者: mihon6633
●カテゴリ:インターネット ウェブ制作
○ 状態 :終了
└ 回答数 : 5/5件

▽最新の回答へ

質問者から

条件としては…
LINUXサーバーで、特定のURLを知っている人のみが
アクセスできるファイルを設置したいと思っています。
複雑ランダムなディレクトリ名は数十文字程度。
(経路盗聴の危険は除外してください…それも考えるならSSLって感じなので)


1 ● 潮澤 昴
●20ポイント

「Index of」が表示されないようにしてるなら有効でしょう。


mihon6633さんのコメント
Index ofはオフっております。 ありがとうございます。

2 ● morethanjustase
●50ポイント ベストアンサー

クライアントPCのブラウザにはどのURLにアクセスしたかの履歴が残ります。物理的にPCに触れるのであれば、このアクセス履歴を見る方法はありますので、秘密のURLが漏れる可能性をゼロにはできません。
ファイル配布先に対しては、ブラウザの設定でアクセス履歴が残らないように設定するようお願いした方が良さそうです。

また、ダウンロードしたファイルがそのままのファイル名で保存された場合、そこからURLが推測される可能性もあります。このあたりの運用も徹底した方が良いと思います。


mihon6633さんのコメント
アクセスしたPCから漏れる可能性を除外すればOKってことですね。 ありがとうございます。

3 ● pigmon88
●0ポイント

有効ではないですね。2chがありますから。


mihon6633さんのコメント
2chがどう影響するのか、ちょっとわかりません。

4 ● oil999
●30ポイント

ディレクトリ名を長くするだけではセキュリティ的には大した効果はありません。
「特定のURL」が漏洩したら、誰でもアクセスできるのと同意になるからです。
そのディレクトリにBasic認証などのアクセス権を設定するのが定石です。

Apacheでユーザー認証を行うには(Basic認証編)

http://www.atmarkit.co.jp/flinux/rensai/linuxtips/698apachebasic.html


mihon6633さんのコメント
“「特定のURL」が漏洩” と “「特定のパスワード」が漏洩”、って そんなに変わらなくないですか? 上の回答にもある、アクセスしたPCからは漏洩しやすいってのはあるかもしれませんが…。 また、URLとパスワードの扱いにも意識の違いはあるかもですが。

oil999さんのコメント
セキュリティは技術面だけでなく、運用面も考える必要があります。 URLは公知のものですから漏洩しても罪に問われませんが、漏洩したパスワードを利用することは不正アクセス禁止法に抵触するので一定の歯止めが掛かっているとみるべきです。

1-5件表示/6件
4.前の5件|次5件6.
関連質問

●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ