URL変数はその存在を他人に知られますか？

perlやjavascriptでお世話になりまくってます、mahouです。素朴な疑問なのですが、ハッカーとかそういう人にお聞きしたい質問です（笑）。perlのURL変数で質問です。

data_input.cgi
data_input.cgi?admin=1

↑のように一つのcgiファイルをURL変数の有無により表示を変えて使ってます。data_input.cgiが一般の人に見せるページで、data_input.cgi?admin=1とURL変数を指定すると管理画面が現われるようになり、データの削除や変更が出来ます。

管理画面を見るにはadminと1という値が必要なのです。そこで質問なのですが、URL変数というものはサーチエンジンのロボットが探し当ててしまったり、ハッキングソフトなどで簡単に分かるものなのでしょうか？

個人的にはPERLのソースを見ない限りは分かるはず無いと思ってます。勿論、スゴイハッカーさんとかにはきっと何をしても分かってしまいそうですが、それ以外の防御には充分なりますよね？

もしURL変数は漏れるという事実があるなら、htaccessも追加したいと思います。分かる方、どうか教えてください。

ちなみに「オートコンプリートや履歴がURLを覚えるから」などは特に問題視してません。同パソコンでしかアクセスしませんし、パソコンをもって行かれたらそれまでですし（笑）。

ベストアンサー 回答No.1

　ロボットは純粋にＨＴＭＬをたどっているだけなので、＜a href="data_input.cgi?admin=1"＞と記載しているとひっかかってしまいます。

　アドレスを書くところに手で直接 "admin=1" と追記しなければならない場合、管理者モードへのログイン方法を盗むにはあなたのアクセス記録を監視する必要があります。
　あなたのパソコンを直接覗くと、もう一発でモロバレですが、外部から覗くにはかなり高い技術と特殊な設備が必要です。（この特殊設備は一般に販売されているものだけでは作成できません）

　ＯＳが古かったり、セキュリティーホールのパッチ当てが不充分だったりすると、ＩＰ経由でログインされてあっさり覗かれたりします。しかしマイクロソフトやアップルなどが発表しているセキュリティーホール関連のパッチを定期的に当てているなら、最近は外部から除かれる心配も少しずつなくなってきました。

　もっとも、どの方法でも「それなりの動機」がないとできない程度には面倒臭いですけど。

　ただ、個人的にはパスワードはやっぱ＜FORM＞の＜INPUT TYPE="PASSWORD"＞を使った方がいいと思うんですけどね……。

補足 2003/01/21 15:12

deagleさん、返信ありがとうございます。

＞＜a href="data_input.cgi?admin=1"＞と記載している＞とひっかかってしまいます。

ここ、ドキっとしました。今までやったことあるかもしれません…。あの頃は若かった。

今やっているのは、
$temp = $URL変数 と代入し、

＜input type=hidden name=pass value="$temp"＞とか
＜onClick="location.href='data_input.cgi?admin=$temp'"＞

のような感じの処理です。URL変数を受け取って初めて実数化するものですから大丈夫ですよね。分かる人にしか入力できないわけです。

CGIを実行して（掲示板とか）出力したHTMLからサーチしてくる賢いロボットも居ますが、それでも↑の場合は分かりようが無いと思ってます。ですよね？？（ドキドキ）

そうなんですよね、自分もformからの入力にしたいのですが、しない最大の理由としては、「FORM変数を渡しつづけられない（javascriptのlocation.hrefで飛ばす為）」なのです。全部submitで飛ばせば良いんでしょうけど…。

サーバー変数のようなものもあると聞いたのですがレンタルサーバーなので諦めました。