- ベストアンサー
リンクの張られていないhtmlはセキュリティ対策になる?
自社のwebサーバである特定の方しかアクセスのできないページを作ることになりました。 Windows2000Server IIS5.0です。 上司は、 「どこからもリンクされていないhtmlを作成し、その情報を閲覧する特定の人だけに教える」 これでそのURLがわからない人からのアクセスが防げるといっているのですがそうなのでしょうか? もともとそのページ自体それほど重要な内容では無いのと、 この上司の言った方法でそのURLを知らない人がアクセスできる方法もわからなかったため (ディレクトリ一覧表示も許可していませんし) ユーザ名・パスワードで管理する という案が却下されてしまいました。 何かリンクの張られていないその特定URLの存在を知る方法があるような気がするのですが...。 どうなのでしょうか?
- ネットワーク
- 回答数8
- ありがとう数11
- みんなの回答 (8)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (7)
- Largo_sp
- ベストアンサー率19% (105/538)
IISの穴ですか... ディレクトリの一覧とかは、バックドアが仕掛けられた時見ることが可能になりますね... まぁ暇な輩は、総当りのWeb検索もしたりしますので、 万全ではないでしょうけど、 極端な話、 「わざわざ公開するものでもないが、公開しても支障のない情報」 ならば、全く問題のない方法だと思います。 わざわざユーザー管理までして、守るだけの価値の無い データなのではないでしょうか...
お礼
アドバイスありがとうございます。 >ディレクトリの一覧とかは、バックドアが仕掛けられた時見ることが可能になりますね... > おぉ、盲点でした。 ただそうなるとたとえユーザ認証でも...という話になってしまうかもしれませんね。 ということで、IISの穴というのは別問題でした。すみません。 >わざわざユーザー管理までして、守るだけの価値の無いデータなのではないでしょうか... > そうなんです。 たいしたデータではないんです。 担当の方以外がみてもゴミのような情報です。 一応対象の人のみ閲覧する ということで作成していますので、 とある方法で簡単に見られてしまう となるとちょっとよろしくないです。 とりあえず回答者みなさんのおかげで「問題ない」という方向でかたまりました。 みなさん、ありがとうございました!
- na_nowar
- ベストアンサー率33% (1/3)
一連のやり取りを読んだ上でのアドバイスになります。 リンクされてない html を他(外部)の者が閲覧できるかという件に関しては大よそ *できる* という回答が得られていますね。 あなたは上司に対してセキュリティ強化を訴えたいのでしょうか? 仮に該当のデータが漏洩してもいいモノで、多少知らないやつが見ても問題ないよ!というなら特に今以上の対策は必要ないですね。 あなたがセキュリティ強化を訴えたいなら… そうはいってもデータが不特定多数の第三者に漏れた場合にウチ(貴社)が得る影響・被害とその時の責任の所在はどうなりますか? と上司に問い掛ければよいと思いますが。
お礼
アドバイスありがとうございます! 一通り落ち着いた感があったので、さらにアドバイスをいただけて感激です! >あなたは上司に対してセキュリティ強化を訴えたいのでしょうか? > 多少はありますが... >仮に該当のデータが漏洩してもいいモノで、多少知らないやつが見ても問題ないよ!というなら特に今以上の対策は必要ないですね。 > まさにそういった内容です。 なので、現状で総当たり以外に簡単にわかる方法がなければそれでいいと考えています。 実は何か方法があるのでは?と心配し質問いたしました。 ありがとうございました。
- h_hikita
- ベストアンサー率40% (104/257)
「部署単位で許可する」とあるので、社内のLANかなにか でしょうか? 構成によっては、パケットモニターで流れるデータを監視 すればURLなんか簡単にわかります。
お礼
アドバイスありがとうございました! >「部署単位で許可する」とあるので、社内のLANかなにかでしょうか? > その特定のページはほとんど社内から閲覧するのですが、 一部の部署がインターネットを経由して閲覧します。 (外出先とかから) そして社内部署間の漏洩はそれほど重要ではなく、 とりあえずインターネット上から関係者以外でそれらを見つけることができるか ということでした。 なので、(インターネット側からの)スニファー行為は基本的にできないと思い 他に何か見つけだす手段がないか質問いたしました。 例えば現状で埋められないIISの穴とか、IISの仕様とかに何かないかな...なんて。
- yeslets
- ベストアンサー率31% (47/151)
私の経験です。 つい先日、自前のサーバ構築の前段階として、WEBサーバ用のソフトをインストールし、使用してみました。もちろん、URLはまだありませんから、実験として、インターネットカフェから自分で自分のIPアドレスを入力して、作動するか(WEBサーバとCGI)確認したら、できました。 さて、ここからがアドバイスです。 ネットカフェから自宅に戻って、ログを調べたところ、私以外からのアクセスが数件ありました。このほんの数時間の間にクラッカーが進入してきたのです。 わかりますか?URLが判らなくてもIPアドレスでアクセスすることができます。適当なIPアドレスを入力して、そこのWEBサーバから管理者権限を得ようとするクラッカーも存在すると言うことです。そして、IPアドレスの組み合わせが約43億あるといっても、自分のアドレスにたどり着く可能性が低くないということは、私の体験から明らかです。 クラッキング対策ということではなくて、ただ「仲間以外には見せたくない」ということでも、URLを複雑にしただけでは、見られる可能性は低くありません。やはりIDとパスワードによる認証をした方がいいと思います。
お礼
ご回答ありがとうございます。 >URLが判らなくてもIPアドレスでアクセスすることができます。 > すみません。 今回の件は、ホスト名ではなくURL全体の話になります。 例えば http://www.example.com/tokutei/senyou/oshirase.html とした場合、 この /tokutei/...の部分がリンク張られていない状態で探し当てることができるか ということです。 サーバ自体は通常のホームページを公開してますので、それらのページは普通に見られます。
- selju
- ベストアンサー率57% (100/173)
その手のページを見つけるツールがあるにはあります。 「Webdisclosure」 情報まで。
お礼
情報ありがとうございます! このツール調べてみたら ブルートフォース&辞書アタックみたいですね。 逆に言えば、こういったツールがあるということは普通の操作では見つけられない ということなのでしょうか? 今回こちらで作成するページのURLはもともとブルートフォースや辞書アタックを想定して かなり複雑なURLになっています。 なので、これ以外の手法で見つける手段がないかと思い質問しました。 とりあえずやはりこういったツールがある ということで今回の方法は万全ではないということは言えると思います。 ありがとうございました。
- old98best
- ベストアンサー率36% (1050/2908)
デレクトリーの一覧表示を許可しないというのは、パーミッシヨンの設定ですか? 普通は、空白かダミーのindex.htmlを置くのが方法だと思いますが。 誰も知らないURLで、どこからもリンクされていない限り、そのURLが知られる事はまずあり得ません。 検索ロボットは、自動では探り当てる事ができません。 セキュリティやパーミッション設定が完全なら、ハッカーやクラッカーがURLを探り当てるのも無理でしょう。 ただ、人間からURLが漏れるという事はかならずあると思ってください。 そのページを見ているときに、ブラウザーの上のアドレスバーにそのページのURLが表示されます。 その部分をクリップして、自分のパソコンのどこかに書き込むという可能性はあるでしょう。 その書き込んだページが、どこかからリンクされているページでしたら、100%検索ロボットに発見されてしまいます。 まぁ、検索ロボットの場合には、ロボット検索禁止のタグを書いておけば問題ありません。 人間が探り当てる方は、相手の良心にたよるしかありませんので、ちょつと望み薄だと思います。 まぁ、そんな目的と熱意で探るようなページでは無いようなので、実際的にはロボット検索禁止のタグだけでOKだと思います。
お礼
ご回答ありがとうございます! >デレクトリーの一覧表示を許可しないというのは、パーミッシヨンの設定ですか? > IIS5.0で「ディレクトリの参照」を許可していないだけです。 これで大丈夫なのでしょうか? >検索ロボットは、自動では探り当てる事ができません。 > ロボットはまさに気にしていたものです。 「勝手にどこかの検索エンジンにひっかかるようにならないか」という感じです。 ありがとうございました。 あとは#2のお礼欄に書いた通りです。 特に問題がなければ、このまま運用になるのですが、何か裏技的なものがあるような気がして...。
- YUNTAKU
- ベストアンサー率25% (32/128)
リンクの貼っていないHTMLは、他のHTMLと同じサーバー上なのですよね。 見つけようと思えば、見つけられますね。 ID・パスワードでの認証をさせることをお勧めします
お礼
早速のご回答ありがとうございます! >見つけようと思えば、見つけられますね。 > 他の方からいただいている回答にあるように 「知っている人から情報がもれる」ではなく かつ「総当たりで調べる」以外であるのであれば、 是非ともその方法を教えて頂きたいです。 それがあれば上司を簡単に説得できるのですが...。
お礼
良きアドバイスありがとうございます! >例えば、第三者に、URLを知っていて、 >すでにそのURLにアクセスしたことがある人のPCを覗かれてしまえば、 >URLはばれてしまいます。 > 今回の特定のページはそれほど重要な情報でなく、 さらに部署単位で許可するものなので、ショルダーハッキングもあまり問題ないとのことです。 そしてユーザ認証もそのURLの扱いと同様で、同じように漏れるのでは? →その為に全ユーザ分のユーザ管理するほどの要件ではない ということらしいです。 なので、こうすれば簡単に隠したURLがわかる といった事があれば説明しようと思っていました。 無ければ無いでよいのですが...。