apacheの個人情報漏洩対策基礎

sorry Japanese only
最終更新日 2004/10/15
page size = Mbyte

思いついたので書いておきますが、あちこちで何百万人もの個人情報が漏洩してしまい
大問題となっていますが、意図しない、情報漏れを起こしにくい httpサーバーの
設定方法です。(apacheの場合)
(何百万人分も hp上から漏れた例ってのはまだ無いような気もしますが、まあ予防策は
念には念をと言う事で)

(1) conf/httpd.confにて、必ずルートから -Indexesを実行しておく。
ディレクトリー一覧表示が必要ならば、必要なディレクトリーのみを、個別に +Indexesにする。
個人情報漏れを防ぐ、超基本事項です。
(顧客の情報を多量に扱っていながら、この文書を読んで Indexesってなーに？なんて思っているサーバー管理者のあなた、httpd.confをもう一度最初から最後まで、全部理解できるまで見直した方が良いです。)

例
DocumentRootが "c:/wwwroot" だったとしたら
<Directory "c:\wwwroot">
Options -Indexes
</Direcroty>

例題として、私のサイトは以下の設定を httpd.confへ書いてあります。

<Directory "/home/localhost/pc/apache/secret"> Options +Indexes </Directory>

個別に +Indexesしてあり、情報漏洩してしまう設定です。こんなページです => secretページ

検索サイトで、このような調査方法で自分のサイトが安全か？を探します。
google検索 index parent
(2004/11月現在、secretページが googleにうまく引っかかりません。重要なサイトでなく、クロール回数が少ないからなぁ。)

miya0.dyndns.orgを自分のサイト名に変えて検索すれば、自分の所で情報漏れしているか？が確認できます。

(2) CGIが出力するページで見られては困る情報は、メタタグを入れて検索エンジンへ登録されないようにする。
<META NAME="ROBOTS" CONTENT="NOINDEX, NOFOLLOW">
これを、CGIソースに入れ出力されるページへ必ず入るようにしておけば、検索エンジンの対象からは外れるはずです。

(3) robots.txtへ cgi-binなど、検索エンジンで検索引っかからなくて良い所は書き込んでおく。

User-agent: *
Disallow: /cgi-bin/

但し、robots.txtを見られると、見られては困る所が分かってしまうので、この設定は痛し痒しな所があります。

★注意★
嘘を書いているつもりはありませんが、私のこのページのような、趣味でやっているページと異なり、
企業などの場合は、間違えた場合失う信用は多大な物になる可能性があります。
このページを見て、この通りにやったら大失敗した！と言っても知りません。
この情報を信用したのはあなたです。
一応念のため。

10949

戻る