[connect24h:8376] Re: Google ハッキングって・・・？

[HIRAMOTO Kouji <hiramoto@xxxxxxxxxxx>]

平本です。


In subject: [connect24h:8370] Google ハッキングって・・・？
	kouno@xxxxxxxxx (Vientoこうの) said:

> 先ほどitmediaで『秘密を掘り出すGoogleハッキング』という
> 記事を読んでいた。
> http://www.itmedia.co.jp/enterprise/articles/0502/14/news036.html
> 
> どうもこのたぐいの話しに疎くて、読んでいてもいろいろな危
> 険の香りが漂ってくるのは感じるのですが、何がどうして危険
> なのか。それを防ぐ為の勘所はどこなのかが判然としないので、
> 関係しそうな内容をググってみることも出来ずにいます。
> 
> よかったら何がどのように危険なのか教えていただけませんで
> しょうか？。

  樋口さんが紹介されてる PPT ファイル(いやしかしこれに出てる例スゴ
いですね)の 26p

「機密情報をWeb上に置かない!!」

に尽きると思いますが、「こうしてれば無関係の人にアクセスされないだ
ろう」というのが案外とそうではなかったりします。思い付く例を 2つほど。


(1) URLは公開してないし、トップページからリンクしてないので辿れな
い。だから関係者以外はアクセスできない。

→ロボットはちゃんと見付けちゃいます。

  ・関係者がブックマークとしてリンク集作ってて、それが Network
    Reachable だったり、既にサーチエンジンに見付かってたりとか。

  ・出来の悪い Webブラウザが Referer を関係のないサイトに漏らして、
    そのサイトがアクセスログを公開してたりとか。以前調べた所、IE
    5.5 あたりまではそういう症状があったらしいです。IE 6 で治った
    とか何とか。

  他にも色々原因はあるかもしれません。

  個人的にも、関係者以外非公開の BBS (URL非公開、パスワードなし)を
  運営してたら、いつの間にか Google に載ってしまい、慌てて引越し & 
  パスワード設定をした経験があります。(その BBS は別に機密情報って
  わけじゃなかったですが…)

(2) パスワード設定してますよ。だから大丈夫。

→これも一概にはいえない。

  ・最近は Webブラウザがパスワード覚えてくれたりしますが、個人でス
    タートページ作る人とかが

	http://USER@PASS:www.example.com/foo/bar/

    とか書いちゃって、WebブラウザがReferer 漏らしちゃったりすると…


  他にも色々と考えられるでしょう。

  以前はそういう防御の甘いページが存在してても、それを探すこと自体
が大変だったので結果として何とか大丈夫だったのが、サーチエンジンと
ロボットが強力になったおかげでそういうページを簡単に見付けることが
できるようになってしまった、というのが主旨でしょう。

  なので、とにかく見られて困るものは Web上に置かない。Web上に置い
たが最後、いつかは発見されてしまうと考えた方がいいです。

-- 
 平本 光二 (HIRAMOTO Kouji) / hiramoto @ flatray.com / http://flatray.com/

--[PR]------------------------------------------------------------------
■━　一円で会社設立しませんか？━━━━━━━━━━━━━━━━━━■
■　　　　　　　　　　　　　　　　　　今だからできる起業のチャンス！■
■━　ピッタリの税理士お探し隊！━━━━━━━━━━━━━━━━━━■
■　　　　　　　　　　　　　　もっと近く・安く・年齢で無料で探せる！■
■詳細は→ http://ad.freeml.com/cgi-bin/ad.cgi?id=dekWp
------------------------------------------------------------------[PR]--
■GMO GROUP■ Global Media Online  www.gmo.jp