新城@筑波大学情報です。こんにちは。

In article <20031015003411.2f69f955.forest@ma.kcom.ne.jp>
        "K.Moriyama" <forest@ma.kcom.ne.jp> writes:
> 森山と申します。
>   前々から気になっていたのですが、時々ディレクトリが表示される
> サイト(公開する意志が無いのに設定ミスで表示されてしまうサイト)が
> 有りますが、あれってセキュリティ的にはどうなんでしょうか?

完全に「設定ミス」というわけでもなくて、意図的にそうしている
場合もあります。WWW サーバの機能です。Apache だと、設定ファ
イルに

Options Indexes

と書くと、その機能がオンになります。

>   置いてあるファイルが全部(公開していない物が)見られてしまう事の
> 他にも問題が有るのでしょうか? 詳しい方がおりましたら御教授願い
> ます。(この問題について詳しいWebの紹介でも結構です)

そうですね。私なら次の2点を強調したいです。

・そもそも公開したくない情報だったら、WWW サーバからアクセス
  できる場所におくな。
・Indexes オフに頼るな。

まあ、Indexes をオフにすることで攻撃側に与えるヒントを減らせ
られるので、オフにすることに意味がないということは言っていま
せん。

システムの設定によるのですが、個人の設定(Apache だと
.htaccess)ではオフにできない場合もあります。その時には、どう
すればいいかというと、空の index.html ファイルを作っておいて
おけばいいです。

一応、続きは、Followup-To: fj.net.www.servers としてみました。

\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報       \\