投稿日:2003年08月11日 作成鷹の巣

No.11664 AN HTTPDでdatファイルにアクセスできないようにするには、どうすればいいのでしょうか?



AN HTTPDでdatファイルにアクセスできないようにするには、どうすればいいのでしょうか?

No.11664 投稿時間:2003年08月11日(Mon) 02:58 投稿者名:聞疑始 URL:http://intercept.dynsite.net/

今は、ブラウザ(IE)でアドレスに・・・.datと入れると表示しちゃうんです。
普通?見れませんよね。どこで設定したらいいのか、いろいろとやってみたり鷹の巣内を探し回っているのですが・・・

どこかに、書いていたような・・・でも、探しても見つからない。

ここに載ってるよ、とご存知の方お教えください。
こうしたらいいよ、なら最高です。


アクセスしたときにHTTP Error 500を吐くようにしてしまうとか。

No.11666 投稿時間:2003年08月11日(Mon) 06:34 投稿者名:APACHE URL:http://kemuri-net.dip.jp/~server/

> 今は、ブラウザ(IE)でアドレスに・・・.datと入れると表示しちゃうんです。
> 普通?見れませんよね。どこで設定したらいいのか、いろいろとやってみたり鷹の巣内を探し回っているのですが・・・
普通見れますよ...
>
Apacheとかも設定しないと何でも表示されますからね。
よくやるのがCGIのConfファイルが*.plだった場合とかで
外部からDL可能な状態になってて設定や管理者パスワードが丸見えになること...

こういうときはCGIとして処理するように設定して
アクセスしたときにHTTP Error 500を吐くようにしてしまうとか
Apacheの場合
<FILE *.pl>
Deny ALL
</FILE>
で*.plへのアクセスを全拒否してしまうとかありますね。


データを外から見れない位置に置く

No.11667 投稿時間:2003年08月11日(Mon) 07:10 投稿者名:OAK URL:


apacheと違って設定ではだめなようで。
運用でカバーする。
その1.
データを外から見れない位置に置く。
ケントさんの掲示板などではこれを推奨しているようです
私もこれを勧めたい。
その2.
データの拡張子を .dat などを使わず .cgi にする
あまりかっこ良い方法ではありませんが簡単です。


Winサバさん、是非見直しを!

No.11668 投稿時間:2003年08月11日(Mon) 08:27 投稿者名:さお URL:http://homeserver-streaming.com/sao/

APACHEさん、OAKさんのおっしゃる通りですね。
Winサバの構築サイトでcgiのセキュリティを紹介している所は少ないですね。
しかし、これ重要です。
Winサバ構築サイトさんは必ず紹介して下さいね。
当サイトも書いてあります。
http://homeserver-streaming.com/sao/cgi.html
★TXT系のファイルを別フォルダに移し、かつ拡張子を.cgiや.plに変更するのが良いでしょう。
★私は自サバマップを公開していますがWinサバさんの半数はログ丸見えですよ。


<解決>APACHEさん、OAKさん、さおさん他ROMのみなさん、ありがとうございました。

No.11671 投稿時間:2003年08月11日(Mon) 11:24 投稿者名:聞疑始 URL:http://intercept.dynsite.net/

見れるんですよね・・・今までサーバーを立ててないので気にしてなかったから分からなかったバキッ!!☆/(x_x)

で、私はAPACHEさんのを採用させていただきました。
↓こちらにまとめておきました。
http://intercept.dynsite.net/Trouble/

ありがとうございました。

追伸
さおさんのおっしゃるように、なんとか手を打たないと(x_x)ですね。


私のWebページよりもSAOさんの解説の方が分かり易いですね。

No.11673 投稿時間:2003年08月11日(Mon) 12:53 投稿者名:鷹の巣@松阪 URL:http://sakaguch.com/

> で、私はAPACHEさんのを採用させていただきました。
> ↓こちらにまとめておきました。
> http://intercept.dynsite.net/Trouble/

以下のURL
http://sakaguch.com/SetAnhttpdSec.html#General
の「項3.一般タブの設定」の「項4.拡張子に「.log」を追加。(セキュリティ上)」に
書いていたのですが、わかりにくかったでしょうか?

> さおさんのおっしゃるように、なんとか手を打たないと(x_x)ですね。
私のWebページよりもSAOさんの解説の方が分かり易いですね。


画像での説明があるサイトに惹かれます。

No.11675 投稿時間:2003年08月11日(Mon) 13:27 投稿者名:聞疑始 URL:http://intercept.dynsite.net/

>私のWebページよりもSAOさんの解説の方が分かり易いですね。
いえいえ、恐れ多いことで・・・

> 以下のURL
> http://sakaguch.com/SetAnhttpdSec.html#General
> の「項3.一般タブの設定」の「項4.拡張子に「.log」を追加。(セキュリティ上)」に
> 書いていたのですが、わかりにくかったでしょうか?
~どこかに、書いていたような・・・~というのは、それだったと思います。
画像での説明があるとインパクトもあって分かりやすいですが・・・

ほとんどの解説で他所のご紹介を掲載されていますが、そこを巡回し自分が理解しやすいサイトの情報を参考にさせて頂いてます。


恐れ入ります。

No.11677 投稿時間:2003年08月11日(Mon) 13:42 投稿者名:さお URL:

> 私のWebページよりもSAOさんの解説の方が分かり易いですね。

恐れ入ります。
私のサイトは動いた事実の紹介だけで理屈は判っておりません(ToT)

個人的には「エラー500」は何かがそこにあるのが判明するわけで、フォルダを移動させて「エラー404」がいいかなって思います。
(エラーの解釈違いかな?ま、どちらにしても見えなければいいわけです)

聞疑始さんのサイトを拝見しましたが「public_htmlより上位」でなく「public_htmlと同列以上」が誤解が少ないかなって思います。
またAN HTTPDの実行プログラムにdatやlog拡張子を登録すると逆に管理者として見たいファイル(例えば実害のないカウンタなどのログ)が見えないのでここら辺は使い方(設定法)が分かれそうですね。


「エラー404」が良いのは、同感です。

No.11707 投稿時間:2003年08月12日(Tue) 21:53 投稿者名:聞疑始 URL:http://intercept.dynsite.net/

> 個人的には「エラー500」は何かがそこにあるのが判明するわけで、フォルダを移動させて「エラー404」がいいかなって思います。
> (エラーの解釈違いかな?ま、どちらにしても見えなければいいわけです)

私も同感です。

> 聞疑始さんのサイトを拝見しましたが「public_htmlより上位」でなく「public_htmlと同列以上」が誤解が少ないかなって思います。

そうですね、修正しておきました===>http://intercept.dynsite.net/Trouble/
ありがとうございました。

> またAN HTTPDの実行プログラムにdatやlog拡張子を登録すると逆に管理者として見たいファイル(例えば実害のないカウンタなどのログ)が見えないのでここら辺は使い方(設定法)が分かれそうですね。

はい、そうです。間違って公開して後悔するよりはいいかな?と私は割り切りました。


ヘッダーの偽装でHTTP Error 404にしてしまう等。

No.11708 投稿時間:2003年08月12日(Tue) 22:36 投稿者名:APACHE URL:http://kemuri-net.dip.jp/~server/

> > 個人的には「エラー500」は何かがそこにあるのが判明するわけで、フォルダを移動させて「エラー404」がいいかなって思います。
> > (エラーの解釈違いかな?ま、どちらにしても見えなければいいわけです)
>
> 私も同感です。
リダイレクトしてしまうか
エラーメッセージやヘッダーの偽装でHTTP Error 404にしてしまう等

> > またAN HTTPDの実行プログラムにdatやlog拡張子を登録すると逆に管理者として見たいファイル(例えば実害のないカウンタなどのログ)が見えないのでここら辺は使い方(設定法)が分かれそうですね。
>
これは単にログの内容を表示するだけのスクリプトを書けば解決。


.htaccessでの制御

No.11710 投稿時間:2003年08月12日(Tue) 22:44 投稿者名:カイ URL:http://yaguma.com

cgiのセキュリティについてこのスレッドを読みいろいろ試してみました.
はずかしながら,非公開なのですが私のBBSのlogは思いっきりアクセスできました.(笑)
もちろん一番良いのはログデータを見れないところに移すことなんですが,
APACHEさんの発言をもとにapacheを使っていれば
.htaccess
<FILES *.log (or dat)>
Order deny,allow
Deny from All
# Allow from 192.168.1.
</FILES>
ErrorDocument 403 /move403.html
ErrorDocument 404 /move404.html
ErrorDocument 500 /move500.html
というのも良いと思いました.(ErrorDocumentはおまけです!)
*.datのデータを見に来た相手に対して「こりゃ~」なんていうhtmlを作れたりします.


HTTP Error 403を404に偽装(要PHP or Perl)

No.11712 投稿時間:2003年08月12日(Tue) 23:58 投稿者名:APACHE URL:http://kemuri-net.dip.jp/~server/

普通にエラーメッセージの内容を404に書き換えても
HTTP ヘッダーにはプロトコルエラーの種類が添付されているので無意味だったりします。
試しにwebsitepuls.comやIrvine等で
アクセスできなくしたログ等にアクセスしてみれば分かります。
この場合ヘッダーを偽装してしまう事で解決します。

■ファイル単位でのアクセスコントロール(ステータスの偽装)
http://kemuri-net.dip.jp/~server/php/bbs/read.php?FID=12&TID=30
※厳密調査はしてないのであしからず


勉強になりました。

No.11722 投稿時間:2003年08月13日(Wed) 13:30 投稿者名:カイ URL:http://yaguma.com

なるほどそういうこともできるんですね.
勉強になりました.


|目次|掲示板|過去ログ目次|▲頁先頭|