便利で手軽に使えるCGIが充実してきた。このため「掲示板」や「チャット」などが設置されたWebサイトを多く見かけるようになった。CGIを使うことでWebサイトをより魅力的なものにすることができる。

しかし、セキュリティーは大丈夫だろうか?気をつけていないといたずらにあったり、Webサイトの管理者が知らないところで情報が漏れたりする可能性がある。ここでは、いろんなサイトを見て、気になったことを挙げておくので参考にして欲しい。

フリーのCGIをそのまま使用している

フリーのCGIは誰でもソースの内容を知ることができる。CGIのプログラムソースが公開されていると、その内部仕様を調べることは容易である。

例えば、「掲示板」などで発言の内容を記録しているファイルの名前がわかると、そのファイルの内容をすべて見ることも可能である。これらのファイルには発言内容以外に、削除用のパスワードやIPアドレス、メールアドレスなどが記録されていることがある。このため不用意に情報が漏れてしまう可能性がある。

また、「チャット」や「多機能アクセスカウンタ」でも、処理に使うファイルの名前が知られてしまうと、不特定多数に情報が漏れてしまう可能性がある。

フリーのCGIを使うときは、CGIを設置するときにファイル名を変えておくことが大切である。

ディレクトリの中身を知られないようにする

CGIに関連するファイルを一つのディレクトリにまとめることが多いだろう。サーバーによっては「index.htm、index.html」ファイルがないディレクトリのパスが指定されたときに、ディレクトリの内容を返してしまうものがある。CGIに限らずディレクトリの内容が知られてしまうことは、好ましいことではない。

空の「index.htm」ファイルを置いたり、ディレクトリーのアクセス権を適切に設定しておく必要がある。

タグが有効になっている

最近はあまり見かけなくなったが、「掲示板」などで「タグ」が使えるようになっているものがある。いたずらのターゲットにることも多いし、悪意のあるスクリプトを書かれるかもしれない。タグを無効にするか、タグが使えない掲示板を設置した方が無難である。

参考サイト