カテゴリ | |
---|---|
サマリ | 情報漏洩を防止するには(RSS、trackbackについて) |
バージョン | 1.4.3 |
投稿者 | sn5 |
状態 | 完了 |
投稿日 | 2004-07-10 (SAT) 11:31:44 |
仕事場の連絡板にWIKIを利用しています。大変重宝しています。CGIでアクセス制限して、部外者の立ち入りを制限しているつもりですが、「RSS、trackbackで情報が外に漏れているのでは」という指摘を受けました。RSS、trackbackの説明を読んで見ましたが理解できません。とりあえず、これらの機能をOFFにする方法を教えていただけませんか?
RSSはplugin/rss.inc.phpとplugin/rss10.inc.phpを削除すればOKです。trackbackはpukiwiki.ini.phpで設定できます。
もう少し厳密にやるならば、リファラからページ名が漏れる事がない様にもした方が良いでしょう。単純な転送をするPHPファイルを go.php などという名前に設置し、まずそこに転送するとよろしいかと思います。(どこを改造すべきかは思い出せない・・・)
henohenoさんの指摘は理解できませんが、Ratbetaさんの指摘は実行しました。ありがとうございました
ところで今までにサイトの存在を第3者に知られた可能性がありますか?
デフォルトの設定のブラウザをお使いの方が、「ttp://www.<secret-site>.localdomain/pukiwiki?<知られたくないキーワードを含むページ名>」というページにある外部へのリンクをクリックした場合、外部のリンク先に移動するその際に「私はこのURLから来ました」という情報(リファラ)をそのサイトに渡そうとします。これはブラウザの機能です。プロクシを通して外部とアクセスしている場合は、プロクシがリファラの情報を削ることもあるかもしれませんが、それはプロクシの機能および設定に依存します。
このような情報を隠したい場合、URLをリンクとして表示する部分を改造し、別のphpファイルを一旦経由させることで、ページ名を隠すことができるでしょう。また、一旦経由させるサーバーを変えることで、リファラ全てを隠すことができるでしょう。
アクセス解析でどこから来たかわかる、あのことですね。わかりました。丁寧にありがとうございました。
PukiWikiで閲覧制限を行って対応した場合、どこかで漏れるのではないか?という心配から、rss や trackbackを無効にしたいというのであれば、これら対応だけでは不十分です。例えば、文書ファイルを保存しているディレクトリがデフォルトで、制限を何もかけていなければ、そこに直接アクセスすれば全部見えてしまいます。ですから、Webサーバ側で適切な対応を行わないと意味がないと思います。
hehenoさん、upkさん情報漏洩防止のレベルに関わってくるようですね。、詳しくありがとうございました。