back

[index.html]によるセキュリティ

某掲示板フラフラWatching中に面白いものを見つけました。

主に携帯電話で使う匿名メールのCGIを設置しているウェブページです。軽い悪戯目的だと思うんですが、送信元のメールアドレスを変更し、そこで使用しているSMTPサーバーを選んで使用することにより、匿名でメールを送れるというものでした。

そこまでは別に良かったんですが……馬鹿馬鹿しいことに、この送信メールが見えてしまうんです。方法は簡単で「~/cgi-bin/webmail.html」となっているURLを「~/cgi-bin/」とするだけ。で、送信されたメールを保管しているファイルを参照すれば丸見えです。

何故こんなことが起きてしまうのか。これは一重に管理人の怠慢から来ることなんですよね。

本来「/」を最後にするとそのディレクトリの「index.html」が自動的に参照されます。しかしこのディレクトリには「index.html」がありません。よってディレクトリ構造が見えてしまうわけです。

更に、「index,html」がない場合でもパーミッション(アクセス権みたいなものです)をしっかり設定してあればディレクトリのファイルやフォルダが丸見えになってしまうことはありません。

つまり、この管理人はそれらを知らないか、あるいは知っててもやるのを忘れていた、ということになります。

それで「送信ログは僕だけが把握してます」とはちゃんちゃらおかしいですね。

暴かれるのが自分のファイルだけなら兎も角、このような他人も使用するCGIを設置公開している以上、もう少し慎重になって欲しいものです。また使用者の皆さんも、こういうことがあるということをもう少し知る必要があるのではないかと思います(携帯だけのユーザーには酷ですが)。

さて、この笑わせてくれる管理人のことは置いておくとして、皆さんはどうでしょうか。上記のようなことになっていませんでしょうか。

私が借りている「@Nifty」のスペースでは(サーバの設定のため)こういったことは起こらないようですが、まだ起こるところもあるようです(そちらの方が便利な時もありますから、一概に設定を変えるのが良いとも思えませんし)。

何も書いていない真っ白な「index.html」を各ディレクトリに転送するだけでいいんです。小さなセキュリティでもやるとやらないとでは大きな差があると思います。