• ベストアンサー

Webサーバ上の*.cgiファイルは漏洩するのか?

某社の安いレンタルサーバサービスを利用しています。 Webサーバのフォルダ内に、次のようにファイルとデータを格納しています。 /public_html/index.htm ---PHPスクリプトを呼び出す。 /public_html/program/*.php --- PHPスクリプト /public_html/program/data/meibo.cgi --- テキストファイル meibo.cgi は、通常、拡張子 txt とするテキストファイルですが、外部から読み取られる恐れが高いので、cgiにしてます。 PHPスクリプトは、meibo.cgi のデータをWebページに表示します。 こういう構成で、不正侵入者により meibo.cgi を読み取られる可能性があるんでしょうか。 ハッカーさんが、いろんなツールを使って、ファイル名を調べたり、ファイルを読み取ったりするものなのでしょうか。 よろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
noname#7734
noname#7734
回答No.2

 PHPから見るのには、public_htmlではなくてもいいと思いますので、public_html 以下に置かないことを強くおすすめします。  public_html 以下になければ、WEBで直接URIを指定して見ることはできなくなります。  また、拡張子がcgiのファイルは基本的には見えないと思いますが、設定によっては直接見えてしまう可能性があります。設定が何らかの原因で変わってしまうことも無いとは言えません(メンテナンス時に.htaccessを書き換えたりとか)。一応、自分で見えるかどうか確認してみると良いと思います。  以下は、補足です。  扱う情報が、顧客名簿ということですので、あまり楽観的に考えないほうがよろしいかと思います。  不正に情報を得ても大した利益にはなりませんが、あなたが被る被害は甚大なものになります。信用を失いますし、場合によっては顧客に訴えられることもあります。  また、世の中には、スクリプト等の穴を探すのを楽しみにしている困った人もいます。しかも、プログラムで自動で探し回ったりするので、無差別攻撃です。規模の大小は関係ありません。

orion2003
質問者

お礼

ご答え、ありがとうございました。 >public_html 以下に置かないことを強くおすすめします。 レンタルサーバ会社の説明書の中の"フォルダ使用例"で、何もかもpublic_html 以下にファイルを置いていたので、そうしないと使えないのかと思ってました。 いま、別フォルダー作って実験したら、そのフォルダー内にもアクセスできました。 これでいくらか安心ですが・・・ >あまり楽観的に考えないほうがよろしいかと そうなんですね。やはり住所や電話などの詳細はアップなしいことにします。

その他の回答 (1)

回答No.1

Webサービスに関連付けされていないファイルであるなら、拡張子を変えたところで対処できることではなく そのファイルをURLから直接リクエストされると部外者に閲覧可能になると思われます。 CGIにスクリプトだと関連付けしているのでしたら スクリプトエラーになるとは思いますが スクリプトエラーでアクセスエラーをおこすより 手前のパーミッション処理でアクセス禁止にするのが一般的かと・・・・ また、安いレンタルサービスはそれなりなので Webサービス自体の貧弱を豆に更新する事がすくないので、脆弱性を狙われて情報が漏洩するパターンがありえます<そもそも安いレンタル業者自身が故意にやる可能性もありえます

orion2003
質問者

補足

さっそくありがとうございます。 >パーミッション処理でアクセス禁止にするのが 「644」とかいう3桁で設定するやつですね。 でも「600」にしてしまうと、PHPスクリプトがそのファイルを読み取ることができません。 >脆弱性を狙われて情報が漏洩するパターンがありえます 普通WEBサーバ上には盗んで価値のある情報はあまりないと思いますが、それでも情報収集する物好きがいるもんでしょうか。 私が置きたい情報は、お客さんの名簿です。 2回目から住所の入力を不要にするために。 そんな名簿盗んでも、名簿屋さんに流しでもしないと価値ないと思うんですが・・・。 >レンタル業者自身が故意に それは、ここでは別問題にしましょう。

関連するQ&A

専門家に質問してみよう