第2回 ディレクトリ非表示の意味をもう一度見つめ直す
http://www.atmarkit.co.jp/fsecurity/rensai/view02/view01.html
上記ページより、
====================================================
これは、静的なコンテンツを公開するときに便利な機能である。
例えば、写真などの画像ファイルやダウンロードファイルを多数格納しているディレクトリで索引となるページを作成しなくとも図2のようにファイル一覧を表示することができるのである。
外部から閲覧されても別段問題のないファイルばかり格納されているディレクトリの中身を公開するために使用する分にはまったく問題はないが、
=====================================================
と書かれていますけど・・・・・・・・・・・・
「外部から閲覧されても別段問題のないファイルばかり格納されているディレクトリ」を公開しているようなので、使い方を間違えなければ、問題ないのでは・・・・
回答2 (この回答は回答1に対する回答です)
- 投稿ID:A2009087287
- 投稿日時:2009/05/16 11:31
>使い方を間違えなければ、問題ないのでは・・・・
問題がなければよい、という評価であればそうなのでしょうが、
htmlファイルまで公開する必然的理由は考えられません。
早い話がサイトの管理状態がデタラメ・しろうとレベルなのではないでしょうか?
「管理する」しくみができていないことの証しであると想像します。
回答4 (この回答は回答2に対する回答です)
- 投稿ID:A2009087296
- 投稿日時:2009/05/16 11:44
こんなんで 「社団法人 日本防犯設備協会」を掲げて、
「インターネット利用ガイド」 を掲載・配布しているなんて、
何かおかしいなぁ。と感じます。
会員は名だたる企業ばかりなのに…。
回答3 (この回答は回答1に対する回答です)
- 投稿ID:A2009087292
- 投稿日時:2009/05/16 11:39
そのページには、表題に 「あなたの「便利」は攻撃者にも「便利」」 と記載されていますし、
> そのディレクトリに格納されているファイルの中に機密情報の含まれるデータファイルが
> 存在する場合はどうだろうか。すぐさま情報漏えい事件となってしまうことだろう。
> 現に、これが原因で情報漏えいが発生した事例も過去に存在している。
と記載されていますし、質問してる
> 手違いで個人情報が記載されたファイルをアップロードしてしまった時など、
も含まれますよね。
使い方を間違えない保証はないと思いますけど。
回答5 (この回答は回答3に対する回答です)
- 投稿ID:A2009087324
- 投稿日時:2009/05/16 12:46
>回答3 へ
>丸見えにしているメリットってあるんでしょうか?
>検索房の私でも見つける事ができませんでした。
という質問だったので、とても簡単に「メリット」が記されたサイトが見つかったので紹介しただけですけどね・・・・・
わたしの回答の、
「外部から閲覧されても別段問題のないファイルばかり格納されているディレクトリ」を公開しているようなので、使い方を間違えなければ、問題ないのでは・・・・
がとても気に入らなかったようですが、
1.ディレクトリ表示ができるからと言って、すぐに危険なわけではない。
2.ディレクトリ表示ができないからと言って、安全なわけでもない。
3.ディレクトリ表示ができない状態でも、個人情報等が含まれるファイルをアップすれば、たとえリンクがはられて無くてもアクセスは可能なので、危険なことには変わりない。
4.確かに、ディレクトリ表示ができないことに超したことはないが、ディレクトリ表示ができるからと言って、何でもかんでも問題視し、だめなレッテルをはる必要もない。
5.たとえば、FTPサイトにブラウザでアクセスした場合は、ディレクトリ表示がされるが、これがすぐに問題となるわけではない。
ftp://ftp.adobe.com/pub/
ということなんですけどね・・・・・
回答7 (この回答は回答5に対する回答です)
- 投稿ID:A2009087332
- 投稿日時:2009/05/16 13:14
> がとても気に入らなかったようですが
とは言っていませんけど…。
まぁ、いいや。
質問者が「だめ」レッテル貼られているし…。(笑)