カレッヂ |
質問者 チキチータ
投稿日 2005/2/17(木) 23:54:45
登録制のCGIを作っています。 住所やメールアドレスも扱うCGIなので、 セキュリティ関係に頭を悩ませています。 現在 ・パーミッションは適切に指定 ・メイン動作するcgiのフォルダにindex.htmlファイルの作成 ・個人情報などが入っているデータフォルダには変な名前をつける ・個人情報が入っているデータファイルの拡張子を.cgiにする ・パスワードはすべてcrypt関数で暗号化 などの処置をしています。 これでは甘いでしょうか? セキュリティについてどのような点で注意したらよいでしょうか 詳しい方、ご指導願いますm(_ _)m
【習熟度】中程度の改造ができる |
回答者 しあわせのツボ
[削除]
投稿日 2005/2/18(金) 15:44:44
・データファイルはWebから絶対に見られないディレクトリに置く アクセス制限は「設定を間違える」ことがあります。 はじめから「絶対アクセスできない」所に置いておくべきでしょう。 ・フォームはSSLで暗号化する 多少お金がかかると思いますが、出せないほど高額にはならないはずです。 本気で取り組むなら、システムはもちろんですが 運用マニュアルや人員教育の方が重要になりますね。 「CGIは安全だけど、データを受け取る社員がザル」ではダメですから。 |
回答者 LR
[削除]
投稿日 2005/8/5(金) 09:38:15
十分だと思いますがあえていえば、暗号化するならperl-lib.pl使うと意外と 楽です。 http://www.tryhp.net/perllib.htm あと、CGIのソースを見れなくする。 JAVAで右クリック無効またはツールバーを表示しない。 それでも、ソースみる方法がありますが、仮にソースをみられても HTMLソースを暗号化することもできます。 こうすれば、hiddenの値もみれません。 .htaccessを設置。 参考 http://www.broadband-xp.com/hidesource/windowopen.html http://www.broadband-xp.com/hidesource/soft.html |
返信(回答)する
Web裏技 |