• ベストアンサー

ハッキングorセキュリティーに詳しい方お願いします。

ショッピングカートのデータフォルダ(顧客の個人情報とか購入記録が入ります)の置き場所について悩んでいます。手軽に出来るセキュリティー対策として (1)いわゆるpublic_htmlの上位ディレクトリに置く。 (2)public_html内の下位階層に設置したショッピングカートのフォルダ内のデータフォルダに.htaccessファイルを置いてベーシック認証で対応する。 ・・・の2つの方法があると思うのですが、 (1)は、ブラウザから絶対にアクセスできない。 (2)は、.htaccessファイルのIDとパスワードを空白にすれば、解読のされようが無いのでアクセス出来ない。 ・・・と一般に言われていますが、 ■私的には、(1)のpublic_htmlの上位ディレクトリに置いておく方が安心のような気がするのですが、実は今回使用するショッピングカートのCGIが(2)の方式を採用しています。(1)でも(2)でもセキュリティー的に同程度であれば、現状のまま使用しようと思っていますが、もし(2)ではセキュリティーに不安がある場合は、(1)に変更しようと思っています。 宜しく、ご教授の程お願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • Toshi0230
  • ベストアンサー率51% (836/1635)
回答No.2

CGIにセキュリティホールがあれば、(1)だろうが(2)だろうが関係なく情報は漏れてしまいますが(^^;、全体的に見て、どちらがクラックされにくいかと言えばもちろん(1)でしょうね。 (2)の場合、設定ミスやWWWサーバのバグがあれば、アクセス可能になる可能性があります。 判っているリスク(または可能性)は減らしていきましょう。

その他の回答 (3)

  • 2531kbps
  • ベストアンサー率13% (183/1333)
回答No.4

クラッキングされちゃうときはサーバーごと根こそぎなので、 やるなら個人情報を、ID(たいていはその人のメールアドレス)とパスワードの両方をキーに毎回暗号化/複合化させたらどうかなあ。 # 私は達人じゃないけど、達人はハッカーとクラッカーをしっかり区別していますね。 # 用語の正しい使いかたでプロだと感じさせます。

  • Bonjin
  • ベストアンサー率43% (418/971)
回答No.3

ハッカー対策と考えているならば、どちらも無意味です。たぶんFTPやWebアプリ経由でデータにアクセスできるでしょうし、普通はサーバ自体を攻撃するので、サーバが乗っ取られれば個別対策を取ったところで無意味です。 ハッカーやクラッカー以外への対策としてはどちらでも良いと思いますが、どちらか選べと言われたら(1)の方が良いでしょう。基本的にブラウザからアクセスできないはずなのでこちらの方が安全です。 また#2の方が書かれていますが、(2)の場合、設定ミスでアクセスできてしまう可能性も否めません。

  • TANTAN21
  • ベストアンサー率29% (31/105)
回答No.1

サーバ・セキュリティに関することは、こういった公の場で回答するとそれがクラッカーへのヒントを与えることになります。 ゆえに返答を期待しても難しいと思われます。 暗号化されたチャットなんかでメーリングリストのメンバーと相談するのがよろしいかと・・・

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ハードウェア・サーバー

関連するQ&A

  • ユーザーに絶対に見られたくないディレクトリのセキュリティ方法は?

    今借りているサーバーのディレクトリは以下のようになっています。 hogehoge.com ├home ├data └log このhomeにindex.htmlを置いていて、ユーザーから直接見られたくないcsvファイルやログファイルはdataフォルダやlogフォルダに置いています。これらのディレクトリはどんなことがあってもユーザーから絶対に見えない(直接アクセスできない)とのことで安心して使っています。 しかし次に借りようと思うサーバーには上記のようなhomeディレクトリと同じ階層に他のディレクトリがありません。ドメイン名/data/などと自分で作らないといけない仕様です。 こうしたディレクトリはユーザーから直接見られる可能性がありますが、絶対に見られたくないディレクトリは.htaccessを使えば確実にユーザーがアクセスできないようにできるのでしょうか? 何かこれについて説明されているサイトや、解説していただける方がいましたら対応方法をよろしくお願いします。 ※個人サイトで企業向けの高度なセキュリティを求めているわけではありません。

    • 締切済み
    • CGI
  • .htaccessのエラー表示について

    /public_htmlに.htaccessを設置し、 /public_htmlの下のサブディレクトリにも .htaccessを設置しました。 そこでpublic_htmlでのエラー表示と サブディレクトリのエラー表示を別々に設定し、 別々のエラー表示を表示したいのですが、 上位ディレクトリの.htaccessのエラー表示の設定が 下位にも及んでしまい、うまくいきません。 何か良い方法があったら教えていただけませんか?

    • 締切済み
    • CGI
  • .htaccessのbasic認証

    .htaccessのbasic認証で質問させて頂きます。 .htaccessのbasic認証のファイルを上位のフォルダと下位のフォルダに置いた場合、どうなるのでしょう? 下位のフォルダにアクセスした場合も上位に置いたbasic認証が優先されるのでしょうか?よろしくお願いします。

    • ベストアンサー
    • HTML
  • セキュリティの為のSUEXECについて

    ロリポップでSSIを使おうと思ったら次のような注釈がありました。 ------------------------------- セキュリティの為にSUEXECを導入しておりますので、SSIで実行ファイルを使用される際、以下の様な制限があります。 ・実行ファイルまでのパスを絶対パス(フルパス)で指定すると動作出来ません。 ・上位ディレクトリを参照すると動作出来ません。 実行ファイルは、SSIを記述するファイルと同じ階層か、下位のディレクトリに設置して頂きますようお願い申し上げます。 ------------------------------- このSUEXECというのもがよく分かりませんが、 「実行ファイルまでのパスを絶対パス(フルパス)で指定すると動作出来ない」というのは分かりますが、 「実行ファイルは、SSIを記述するファイルと同じ階層か、下位のディレクトリに設置して頂きますよう」ということがわかりません。 相対パスで指定するのですから、そんな必要があるのでしょうか? そういうルールですから仕方ないことですが、今考えているSSIの利用だと、実行ファイルを上の階層に置くと楽なので、そのあたり疑問に思ったので質問させていただきました。 よろしくお願い致します。

    • ベストアンサー
    • CGI
  • フォルダのアクセス権と画面表示について

    NTサーバのフォルダのアクセス権設定について2つ質問があります。 【状況】 まず、上位フォルダの中に下位フォルダがあります。 次に、上位フォルダのアクセス権を「プロパティ/共有」においてユーザー全員にフルコントロールで共有設定します。 そして、下位フォルダのアクセス権は「プロパティ/共有」において特定のユーザーに共有設定します。 すると、下位フォルダは上位フォルダの中にあると同時に、共有フォルダのため、上位フォルダと同じ階層でも見ることができます。 そして、上位フォルダの中の下位フォルダは上位フォルダと同じ全員にフルコントロールの状態であり、上位フォルダと同階層にある下位フォルダは特定のユーザーのみアクセス権があります。 【質問】 (1)上位フォルダと同階層で見える下位フォルダを表示させない方法はないでしょうか。つまり、上位フォルダのなかにしか見えないようにはできないでしょうか。 (2)下位フォルダを特定ユーザーのアクセス権に共有設定するにはどうしたらよいでしょうか。 以上、よろしくお願い致します。

  • WEBサイト.htaccess

    サイトのバックアップフォルダにアクセス制限を使おうと思っています。 それにあたってセキュリティの強度と安心度を知りたいと思っています。 サーバーはロリポップを使用してます。 .htaccessでアクセス制限をしようと思っています。 .htaccessでアクセス制限をかけるとどれぐらいセキュリティが強いのか。 .htaccessでアクセス制限をかけると弱い点はあるのか。 .htaccessで設定したパスワードはパスワードクラックツールなどで 解読されることはないのか。 .htaccessファイル自体へのアクセスを禁止しておくと 絶対絶対見ることはできないのか。 .htpasswdを見えないよう記述すると絶対見ることはできないのか。 .htacces使用でアクセス制限をかける際の メリットのデメリットも教えてください。 よろしくお願いします。

  • .htaccessのbasic認証

    .htaccessのbasic認証で質問させて頂きます。 .htaccessのbasic認証のファイルを上位のフォルダと下位のフォルダに置いた場合、どうなるのでしょう? 上位に置いたbasic認証が優先されるのでしょうか?

  • web上のファイル一覧を見えるようにする

    webアクセスの際、urlでフォルダ名を指定した ときに、ファイル一覧が見えるようにしたいのですが、 いくら.htaccessをいじっても 上手くいきません。どうしたらよいものでしょうか。 よろしくお願いいたします。 【表示されるエラー】 Internal Server Error 【.htaccessの中身】 (cameraのフォルダに入れてあります) <Directory /home/foobar/public_html/camera>   Options +Indexes </Directory> 【ファイル一覧を表示させたいフォルダ】 /home/foobar/public_html/camera 【環境】 Apache-1.3.27を使用しています。 httpd.cnfには、以下の記述を置いてあり、 Optionsに、Indexesがオーバーライドするように しています(しているつもりです)。 # <Directory /home/*/public_html> AllowOverride FileInfo AuthConfig Limit Indexes Options MultiViews SymLinksIfOwnerMatch IncludesNoExec <Limit GET POST OPTIONS PROPFIND> Order allow,deny Allow from all </Limit> # #

  • .htaccessについて教えて下さい。

    .htaccessについて教えて下さい。 [.htaccess] AuthUserFile /home/ユーザー名/public/www/aa_cgi/.htpasswd AuthGroupFile /dev/null AuthName ByPassword AuthType Basic require valid-user ハッスルサーバーを使っています。 上記でキチントaa_cgiのフォルダにアクセス制限がかかります。 動作は問題ありません。 しかし、アクセス制限していない htmlファイル(top.html)を開くと パスワード認証の画面が表示されるのです。 何故こんな事が起こるのか、どなたかおおしえ下さい。よろしくお願い申し上げます。 |-aa_cgi(制限したいディレクトリ) | |-.htaccess | |-.htpasswd | |-top.html |-link.html |-index.html |-pic.html aa_cgiのフォルダと同じ階層に top.html link.html index.html pic.html があります。.htaccessはaa_cgiのフォルダの中にあります。 なのになぜか、top.htmlだけパスワードを聞かれます。他のlink index pic ファイルは開いてもパスワードを聞かれません。

    • ベストアンサー
    • CGI
  • アクセスカウンターのセキュリティについて

    IISでWWWサーバーを立ち上げており、アクセスカウンターを設置したいと考えています。その際、cgiフォルダにcgiプログラムとカウンターのデータファイルを置く必要があります。その際、ディレクトリのアクセス権を読み取り権限と書き込み権限を与えるように指示されているのですが、この際のセキュリティはどのようになるのでしょうか?ディレクトリに書き込み権限を与えるというのは、外部からいたずらされそうで、怖いのですが。。セキュリティ上の危険性とその回避策について教えていただければと思います。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する