- ベストアンサー
リンクの張られていないhtmlはセキュリティ対策になる?
自社のwebサーバである特定の方しかアクセスのできないページを作ることになりました。 Windows2000Server IIS5.0です。 上司は、 「どこからもリンクされていないhtmlを作成し、その情報を閲覧する特定の人だけに教える」 これでそのURLがわからない人からのアクセスが防げるといっているのですがそうなのでしょうか? もともとそのページ自体それほど重要な内容では無いのと、 この上司の言った方法でそのURLを知らない人がアクセスできる方法もわからなかったため (ディレクトリ一覧表示も許可していませんし) ユーザ名・パスワードで管理する という案が却下されてしまいました。 何かリンクの張られていないその特定URLの存在を知る方法があるような気がするのですが...。 どうなのでしょうか?
- ネットワーク
- 回答数8
- ありがとう数11
- みんなの回答 (8)
- 専門家の回答
質問者が選んだベストアンサー
確かに、どこからもリンクが張られておらず、 推察が難しいファイルパスに存在するファイルにアクセスするのは難しいと思います。 が、絶対に出来ないわけではありません。 例えば、第三者に、URLを知っていて、 すでにそのURLにアクセスしたことがある人のPCを覗かれてしまえば、 URLはばれてしまいます。 他にも、「総当たりで文字列の組み合わせを片っ端から試す」や、 「クライアント-サーバ間のパケットを傍受し、内容を解析する」と、いった方法もありますが、 今回の場合は、やはり、履歴からのURL漏洩が一番心配です。 私としては、何らかの機密情報をWeb上で公開するのであれば、 最低でもBASIC認証ぐらいは掛けるべきだと思います。 もう少し、その上司の方とセキュリティ面について話し合ってみてはいかがでしょうか?
その他の回答 (7)
- Largo_sp
- ベストアンサー率19% (105/538)
IISの穴ですか... ディレクトリの一覧とかは、バックドアが仕掛けられた時見ることが可能になりますね... まぁ暇な輩は、総当りのWeb検索もしたりしますので、 万全ではないでしょうけど、 極端な話、 「わざわざ公開するものでもないが、公開しても支障のない情報」 ならば、全く問題のない方法だと思います。 わざわざユーザー管理までして、守るだけの価値の無い データなのではないでしょうか...
お礼
アドバイスありがとうございます。 >ディレクトリの一覧とかは、バックドアが仕掛けられた時見ることが可能になりますね... > おぉ、盲点でした。 ただそうなるとたとえユーザ認証でも...という話になってしまうかもしれませんね。 ということで、IISの穴というのは別問題でした。すみません。 >わざわざユーザー管理までして、守るだけの価値の無いデータなのではないでしょうか... > そうなんです。 たいしたデータではないんです。 担当の方以外がみてもゴミのような情報です。 一応対象の人のみ閲覧する ということで作成していますので、 とある方法で簡単に見られてしまう となるとちょっとよろしくないです。 とりあえず回答者みなさんのおかげで「問題ない」という方向でかたまりました。 みなさん、ありがとうございました!
- na_nowar
- ベストアンサー率33% (1/3)
一連のやり取りを読んだ上でのアドバイスになります。 リンクされてない html を他(外部)の者が閲覧できるかという件に関しては大よそ *できる* という回答が得られていますね。 あなたは上司に対してセキュリティ強化を訴えたいのでしょうか? 仮に該当のデータが漏洩してもいいモノで、多少知らないやつが見ても問題ないよ!というなら特に今以上の対策は必要ないですね。 あなたがセキュリティ強化を訴えたいなら… そうはいってもデータが不特定多数の第三者に漏れた場合にウチ(貴社)が得る影響・被害とその時の責任の所在はどうなりますか? と上司に問い掛ければよいと思いますが。
お礼
アドバイスありがとうございます! 一通り落ち着いた感があったので、さらにアドバイスをいただけて感激です! >あなたは上司に対してセキュリティ強化を訴えたいのでしょうか? > 多少はありますが... >仮に該当のデータが漏洩してもいいモノで、多少知らないやつが見ても問題ないよ!というなら特に今以上の対策は必要ないですね。 > まさにそういった内容です。 なので、現状で総当たり以外に簡単にわかる方法がなければそれでいいと考えています。 実は何か方法があるのでは?と心配し質問いたしました。 ありがとうございました。
- h_hikita
- ベストアンサー率40% (104/257)
「部署単位で許可する」とあるので、社内のLANかなにか でしょうか? 構成によっては、パケットモニターで流れるデータを監視 すればURLなんか簡単にわかります。
お礼
アドバイスありがとうございました! >「部署単位で許可する」とあるので、社内のLANかなにかでしょうか? > その特定のページはほとんど社内から閲覧するのですが、 一部の部署がインターネットを経由して閲覧します。 (外出先とかから) そして社内部署間の漏洩はそれほど重要ではなく、 とりあえずインターネット上から関係者以外でそれらを見つけることができるか ということでした。 なので、(インターネット側からの)スニファー行為は基本的にできないと思い 他に何か見つけだす手段がないか質問いたしました。 例えば現状で埋められないIISの穴とか、IISの仕様とかに何かないかな...なんて。
- yeslets
- ベストアンサー率31% (47/151)
私の経験です。 つい先日、自前のサーバ構築の前段階として、WEBサーバ用のソフトをインストールし、使用してみました。もちろん、URLはまだありませんから、実験として、インターネットカフェから自分で自分のIPアドレスを入力して、作動するか(WEBサーバとCGI)確認したら、できました。 さて、ここからがアドバイスです。 ネットカフェから自宅に戻って、ログを調べたところ、私以外からのアクセスが数件ありました。このほんの数時間の間にクラッカーが進入してきたのです。 わかりますか?URLが判らなくてもIPアドレスでアクセスすることができます。適当なIPアドレスを入力して、そこのWEBサーバから管理者権限を得ようとするクラッカーも存在すると言うことです。そして、IPアドレスの組み合わせが約43億あるといっても、自分のアドレスにたどり着く可能性が低くないということは、私の体験から明らかです。 クラッキング対策ということではなくて、ただ「仲間以外には見せたくない」ということでも、URLを複雑にしただけでは、見られる可能性は低くありません。やはりIDとパスワードによる認証をした方がいいと思います。
お礼
ご回答ありがとうございます。 >URLが判らなくてもIPアドレスでアクセスすることができます。 > すみません。 今回の件は、ホスト名ではなくURL全体の話になります。 例えば http://www.example.com/tokutei/senyou/oshirase.html とした場合、 この /tokutei/...の部分がリンク張られていない状態で探し当てることができるか ということです。 サーバ自体は通常のホームページを公開してますので、それらのページは普通に見られます。
- selju
- ベストアンサー率57% (100/173)
その手のページを見つけるツールがあるにはあります。 「Webdisclosure」 情報まで。
お礼
情報ありがとうございます! このツール調べてみたら ブルートフォース&辞書アタックみたいですね。 逆に言えば、こういったツールがあるということは普通の操作では見つけられない ということなのでしょうか? 今回こちらで作成するページのURLはもともとブルートフォースや辞書アタックを想定して かなり複雑なURLになっています。 なので、これ以外の手法で見つける手段がないかと思い質問しました。 とりあえずやはりこういったツールがある ということで今回の方法は万全ではないということは言えると思います。 ありがとうございました。
- old98best
- ベストアンサー率36% (1050/2908)
デレクトリーの一覧表示を許可しないというのは、パーミッシヨンの設定ですか? 普通は、空白かダミーのindex.htmlを置くのが方法だと思いますが。 誰も知らないURLで、どこからもリンクされていない限り、そのURLが知られる事はまずあり得ません。 検索ロボットは、自動では探り当てる事ができません。 セキュリティやパーミッション設定が完全なら、ハッカーやクラッカーがURLを探り当てるのも無理でしょう。 ただ、人間からURLが漏れるという事はかならずあると思ってください。 そのページを見ているときに、ブラウザーの上のアドレスバーにそのページのURLが表示されます。 その部分をクリップして、自分のパソコンのどこかに書き込むという可能性はあるでしょう。 その書き込んだページが、どこかからリンクされているページでしたら、100%検索ロボットに発見されてしまいます。 まぁ、検索ロボットの場合には、ロボット検索禁止のタグを書いておけば問題ありません。 人間が探り当てる方は、相手の良心にたよるしかありませんので、ちょつと望み薄だと思います。 まぁ、そんな目的と熱意で探るようなページでは無いようなので、実際的にはロボット検索禁止のタグだけでOKだと思います。
お礼
ご回答ありがとうございます! >デレクトリーの一覧表示を許可しないというのは、パーミッシヨンの設定ですか? > IIS5.0で「ディレクトリの参照」を許可していないだけです。 これで大丈夫なのでしょうか? >検索ロボットは、自動では探り当てる事ができません。 > ロボットはまさに気にしていたものです。 「勝手にどこかの検索エンジンにひっかかるようにならないか」という感じです。 ありがとうございました。 あとは#2のお礼欄に書いた通りです。 特に問題がなければ、このまま運用になるのですが、何か裏技的なものがあるような気がして...。
- YUNTAKU
- ベストアンサー率25% (32/128)
リンクの貼っていないHTMLは、他のHTMLと同じサーバー上なのですよね。 見つけようと思えば、見つけられますね。 ID・パスワードでの認証をさせることをお勧めします
お礼
早速のご回答ありがとうございます! >見つけようと思えば、見つけられますね。 > 他の方からいただいている回答にあるように 「知っている人から情報がもれる」ではなく かつ「総当たりで調べる」以外であるのであれば、 是非ともその方法を教えて頂きたいです。 それがあれば上司を簡単に説得できるのですが...。
関連するQ&A
- .htaccess リンクの拒否
さくらインターネットのレンタルサーバをつかっています。 .htaccessで特定のホストから、また特定のホストのある特定のディレクトリからのリンクを拒否したい(直前にいたページによってアクセスを制限したい)のですが、.htaccessでの記述の仕方がわかりません。教えてください。 たとえば、www.abc.com全体からや www.xyz.co.jp/pqr のディレクトリのファイルからのリンクを拒否したい(www.xyz.co.jp/のほかのディレクトリからはリンクでジャンプしてくるのはOKとする)として、どう記述するのでしょうか。
- 締切済み
- レンタルサーバ・ASP
- 特定のホームページからの相互リンクチェック。
ただ今、相互リンクを整理しているのですが、ちょっと困っています。 相互リンクをして頂いた相手先のホームページのどこのページに自社のサイトが リンクされているのかをチェックしたいのですが、相手先のサイトの「相互リンクコーナー」が 何十ページ(何百ということも)ということもあり、とてもひとつひとつ見ていられません。 そこで、特定のサイト(URL内)に自社のサイトがリンクされているかどうかをさっとチェックできる ツールをご存じであれば教えて頂きたいのです。 良くあるツールは、ページのURLまでを指定してリンクされているかチェックするものだと 思うのですが、それではちょっと時間がかかりすぎてしまいます。 自社サイトへのリンクがあるかどうかを「ページ単位」ではなく「サイト単位」でチェックできるツールを 御存知でしたら教えて下さい。 分かりづらい文章でスミマセン。
- ベストアンサー
- インターネットビジネス
- リンクしていないWebページのセキュリティ
どこにもリンクしていないWebページを作り、特定の人にだけ公開したいのですが、セキュリティ上いかがなものなのでしょうか? 検索され、不特定の人が閲覧することができてしまうのでしょうか? というのは、名刺にQRコードを入れて、Webページに名刺情報を入れようかと考えています。 たとえば、http://www.abcde.co.jp/meisi/a3oiuty48a8437yrfag/というような、ランダムなアドレスを作り、名刺情報をそこに載せようかと。 他からリンクしていなければこのアドレスを知っている人(名刺を渡した人)のみがアクセスできるかなと思っているんですが、無関係の人もこのページを見ることができてしまうと困ります。かといって、パスワードは相手に手間を取らせるし、見てもらえないでしょう。 詳しい方、ご教授をお願いします。
- ベストアンサー
- ホームページ作成ソフト
- ホームページビルダーでリンクの一括変更
ホームページビルダー7.0.1.0を使用しています。 サイト内の全てのページにコンテンツメニューのリンクを貼っています。 このメニューのリンクはURLをそのまま指定しています。 今リニュ作業中で、サーバー内にディレクトリを作って仮にソコにアップしているのですが コンテンツメニューのリンクのURLは現在、このディレクトリの中を指定しています。 このリニュ作業が終ると、このフォルダの中身を1階層上のディレクトリにアップするのですが その際、全ページのコンテンツメニューのURLを1階層上のURLに変更しなくてはいけません。 ビルダーでサイト内の全ページの同じリンクを一括で変更してくれる機能はありませんか? 宜しくお願いします。
- 締切済み
- ホームページ作成ソフト
- ウェブページでのユーザー名とパスワード設定方法
WindowsXPでIISを使ってサーバーを構築しています。そのサーバーにあるウェブサイトの1部のページにユーザー名とパスワードを設定したいのですが、設定の仕方がわからず困っています。 今、IISの「ディレクトリセキュリティ」の「匿名アクセスおよび認証コントロール」で、「匿名アクセス」にチェックをつけ、「IISによるパスワードの管理を許可する」のチェックを外し、「統合Windows認証」のチェックがついた状態になっています。 この状態で、設定したディレクトリにアクセスするページのリンクをクリックした時に、ユーザー名とパスワードを聞いてくるようにはなったのですが、私が設定したユーザー名とパスワードを入れても「このページを表示する権限がありません」と表示され、ページを開くことができません。 複数のページに、それぞれ違うユーザー名とパスワードを設定したいと思っています。 初心者ですみませんが、アドバイス、どうぞよろしくお願いします。
- ベストアンサー
- ネットワーク
- ActivePerlのセキュリティ向上について
Apacheを使って自宅サーバーを立ち上げつつあるのですが、 ActivePerlが、ある特定のディレクトリ以外アクセスできないようにする方法ってあるでしょうか?? これができないと、安易にApacheを立ち上げられなくて困っています。
- ベストアンサー
- ハードウェア・サーバー
- IISのログにはどのような情報が落ちるのですか?追加できますか?
Windows2000Server IIS5.0 Windows2003Server IIS6.0 を使っています。 特に設定しなくても、IISがログを落としているようなのですが、そのログをメモ帳で開いてみるとIPアドレスや開いたページが表示されているようでした。 これは、どこのIPアドレスの人がどこのページを判断できる情報といってよいのでしょうか? また、IISのログに落とされる内容を手動で 追加させることはできるでしょうか? どなたか教えてください。困ってます。 やりたいことは、アクセスしてきた人を 特定できる情報をIISのログに落としたいのです。
- ベストアンサー
- CSS
- 複数ページのアクセスログ
複数ページのアクセスログを取得したいのですが、各ページにCGIの記述をするしか方法はないのでしょうか。今までは自社サーバーでIISのログを取得していたのですが、今回レンタルサーバーへ移行した為取得できなくなりました。方法があれば教えて下さい。
- ベストアンサー
- CGI
- アクセスログ取得について
複数ページのアクセスログを取得したいのですが、各ページにCGIの記述をするしか方法はないのでしょうか。今までは自社サーバーでIISのログを取得していたのですが、今回レンタルサーバーへ移行した為取得できなくなりました。方法があれば教えて下さい。
- 締切済み
- JavaScript
お礼
良きアドバイスありがとうございます! >例えば、第三者に、URLを知っていて、 >すでにそのURLにアクセスしたことがある人のPCを覗かれてしまえば、 >URLはばれてしまいます。 > 今回の特定のページはそれほど重要な情報でなく、 さらに部署単位で許可するものなので、ショルダーハッキングもあまり問題ないとのことです。 そしてユーザ認証もそのURLの扱いと同様で、同じように漏れるのでは? →その為に全ユーザ分のユーザ管理するほどの要件ではない ということらしいです。 なので、こうすれば簡単に隠したURLがわかる といった事があれば説明しようと思っていました。 無ければ無いでよいのですが...。