日記Selection  ↑目次へ ↓麻弥へのメール
【掲示板のソース】 99/11/16

実は今まで知らなかったんですけど…掲示板によっては、リモートホストやIPを表示してなくても、ソースをみるとコメントアウトされてのってる場合があるそうで。レンタル掲示板として大メジャーな「Tea-cup」もそういうシステムなんですね。そんないい加減なシステムになってる掲示板があるとは思わなくて、びっくりしました。慌てて、仕事中に書込みしたことのある掲示板にいって、念のためソースを確認。…大丈夫でした。ほっ。その後、自分が持ってるレンタル掲示板も確認。こちらもクリアでした。
ちなみに、リモートホストとIPアドレスとは何か?という話は、ここに書いてあるんで、知らない方は一度読んでみてください。ネットサーフィンをしている以上、絶対に知っておかなければいけないことなので。
私の場合は、もうホームページ持ってるから使っているプロバイダも公開してるようなものだし、住んでるところも日記でバラしてるし、ダイヤルアップだからリモートホストやIPがバレても別にかまわないですよ。でも会社はね…もっとも会社から書込みすることはまずないんですが。ちょっと前に一度だけお昼休みに書込みしたことがありまして。そこの管理人の方は信用できるんですが、会社名が不特定の人にバレたら嫌ですもの。
会社や学校から掲示板に書込みしている人や、リモートホストやIPが晒されたら困る人は、自分の出入りしてる掲示板のソースを一度確認した方がいいですよ。あちこちの掲示板でソースの確認をしてたら、友達の掲示板でもソースにIPが記述されてました…うーん。

このことはぜひとも「安全講座」のネタにしなければ!!と思って色々と調べてみたら、普通のCGIでも設定の仕方によってはログファイルを直接見られる恐れがあるようなんですが…一応、パーミッションとか、.htaccessとか色々と調べてはみたんですが、自分がCGIをやらない人なんでもうひとつ実体験としてわかんないんです。
とりあえずメモ帳がわりに検索サイトでみつけたページを列記。
 ・ドメインによるアクセスコントロールの設定
 ・.htaccess を見えなくするには?
 ・初心者による初心者のためのセキュリティ対策
で、疑問。「パーミッションを正しく設定していても、生データのファイル名と場所がわかっていれば、urlの直接指定によって部外者が中身をみることはできるのか?それを防ぐには、.htaccessで外部からディレクトリを見えないような設定にすればいいのか?」ご存知の方、メールで教えていただけるとありがたいです。
リモートホストやIPが部外者にバレる可能性があるのは、HTML有効の掲示板や、画像埋め込みが可能な掲示板に悪意で解析用のCGIをリンクする……以外にもあるんでしょうか?それも知ってたら教えていただけると嬉しいです。

今まで使ったことのあるのは、DTIのお仕着せCGIだけなんですよ。この場合は、生データはxxx.datという拡張子で表示されるんですが、このファイルは初期設定で外部からは見えないようになっているので。だからこれが普通だと思い込んじゃってたんです。様々な体験がないと、自分が知ってることが全てだと思ってしまう危険があるから。

あと問題となりそうなことは、http://www123.abc.or.jp/~user/bbs.cgi/のように、最後に「/」をつけてディレクトリ指定すると、CGIファイルそのものが見えてしまう可能性があるということです。これも.htaccessファイルでディレクトリの中が見えないように指定した方がよいとか。
CGIじゃなくても、普通のホームページでも最後に「/」をつけたときに、index.htmlがないとディレクトリが見えてしまう場合があるんですよ。そうしたら、隠しファイルも全部見えちゃうことがあるわけで。ホームページをお持ちの方は、一度チェックしておいた方がいいです。


HOMEへ