ディレクトリの表示されるWeb
K.Moriyama
前々から気になっていたのですが、時々ディレクトリが表示される
サイト(公開する意志が無いのに設定ミスで表示されてしまうサイト)が
有りますが、あれってセキュリティ的にはどうなんでしょうか?
# 一応検索してみたのですが...引っかからない
置いてあるファイルが全部(公開していない物が)見られてしまう事の
他にも問題が有るのでしょうか? 詳しい方がおりましたら御教授願い
ます。(この問題について詳しいWebの紹介でも結構です)
# 事がセキュリティに関する問題ですので、回答そのものが問題に
# なる場合は、回答してくれなくても結構です。
以上、よろしくお願いします。
K.Moriyama
JR K Yoshikawa
http://akanana.m78.com/made/a/mag/log/3.html
上記Siteが参考になるかと思います。
また
http://www.trusnet.com/
にて
Web アプリケーション セキュリティとは
http://www.trusnet.com/secinfo/docs/0304/web_app_sec.pdf
と言う文章が公開されていますが、
これなども参考になると思います。
"K.Moriyama" <for...@ma.kcom.ne.jp> wrote in message news:20031015003411....@ma.kcom.ne.jp...
K.Moriyama
Yoshikawa さん、早速の回答ありがとうございます。
On Tue, 14 Oct 2003 17:46:14 GMT
"JR K Yoshikawa" <yosh...@ameritech.net> wrote:
> http://www.atmarkit.co.jp/flinux/special/webdav02/webdav01b.html
> http://akanana.m78.com/made/a/mag/log/3.html
>
> 上記Siteが参考になるかと思います。
>
> また
> http://www.trusnet.com/
> にて
> Web アプリケーション セキュリティとは
> http://www.trusnet.com/secinfo/docs/0304/web_app_sec.pdf
> と言う文章が公開されていますが、
> これなども参考になると思います。
> > 前々から気になっていたのですが、時々ディレクトリが表示される
> > サイト(公開する意志が無いのに設定ミスで表示されてしまうサイト)が
> > 有りますが、あれってセキュリティ的にはどうなんでしょうか?
紹介されました、Webを読んで勉強したいと思います。
どうもありがとうございました。
K.Moriyama
Yasushi Shinjo
In article <20031015003411....@ma.kcom.ne.jp>
"K.Moriyama" <for...@ma.kcom.ne.jp> writes:
> 森山と申します。
> 前々から気になっていたのですが、時々ディレクトリが表示される
> サイト(公開する意志が無いのに設定ミスで表示されてしまうサイト)が
> 有りますが、あれってセキュリティ的にはどうなんでしょうか?
完全に「設定ミス」というわけでもなくて、意図的にそうしている
場合もあります。WWW サーバの機能です。Apache だと、設定ファ
イルに
Options Indexes
と書くと、その機能がオンになります。
> 置いてあるファイルが全部(公開していない物が)見られてしまう事の
> 他にも問題が有るのでしょうか? 詳しい方がおりましたら御教授願い
> ます。(この問題について詳しいWebの紹介でも結構です)
そうですね。私なら次の2点を強調したいです。
・そもそも公開したくない情報だったら、WWW サーバからアクセス
できる場所におくな。
・Indexes オフに頼るな。
まあ、Indexes をオフにすることで攻撃側に与えるヒントを減らせ
られるので、オフにすることに意味がないということは言っていま
せん。
システムの設定によるのですが、個人の設定(Apache だと
.htaccess)ではオフにできない場合もあります。その時には、どう
すればいいかというと、空の index.html ファイルを作っておいて
おけばいいです。
一応、続きは、Followup-To: fj.net.www.servers としてみました。
\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報 \\