A_single_file_wiki_wifky2.png

セキュリティーガイド

FAQ

ウェブサーバにもよりますが、設定ファイルである

  • wifky.d/index.cgi (UTF-8 の時)
  • wifky.dat/index.cgi (EUC-JP の時)

が、素で見えてしまうという問題があります (たいていの場合、CGI と解釈されて、エラーになりますが)。 この中には crypt 後のパスワードも含まれているため、 時間をかければパスワードを推定することも可能です。

そのため、この設定ファイルの内容を隠すための対策の実施を推奨いたします。 (以下、ワークディレクトリを wifky.dat としますが、 各ユーザ環境のワークディレクトリ名に読み変えてください)

@nifty 利用の場合

CGI実行サーバ上のファイル自体が元々ウェブでは見えないようになっているため、 この問題はありません。対処不要です。

ウェブサーバソフト = Apache系の場合

「deny from all」という一文だけの、.htaccess を wifky.dat 直下に置くことで、設定ファイルを含む、 wifky.dat以下のファイルの直接アクセスを禁止することができます。

  • ファイル名の先頭にピリオドがついています。ご注意ください。
  • ウェブサーバの設定によっては、 .htaccess というファイル名でない場合もありますし、 使えない場合もあります。
    • isweb (ベーシック)では isweb_htaccess というファイル名だそうです。
  • ご参考: ミケネコの htaccess リファレンス

Linux/UNIX/*BSD 系のサーバで、CGI実行ユーザ≠ウェブサービス実行ユーザの場合

FTP ツールを使い、wifky.dat のパーミッションを 744 あるいは 700 にします。

ディレクトリの実行属性を落とすことにより、ウェブサービスの chdir を封じ、 結果的に直接閲覧を防ぐことができるようです。

IIS の場合(設定変更ができる環境・権限を持ったユーザにのみ)

「管理ツール」→「インターネットインフォメーションサービス」から wifky.dat のプロパティを開いて「ディレクトリ」タブの「読み取り」チェックを外します。

以上、NoGood 様・Scops 様 情報提供ありがとうございました。

|

Designed for @nifty.

Powered by nikky.pl 1.1.4_0 [RSS]
Generated by wifky 1.5.13_4 with Perl 5.032001

検索

タグ

CSS(12) FAQ(20) foo(3) hack(19) news(67) plugin(61) tool(2)

目次

最近のニュース

最近の更新

2025/03/20
(2012.09.29) wifky 1.5.11_1 を公開しました
(2012.10.08) wifky 1.5.11_2 を公開しました
2025/03/19
(2025.03.19) wifky.nyaos.org を Fancy-URL 化し、https 対応しました
(2025.03.19) sourceforge/OSDN → GitHub への移行に着手しました
(2025.03.19) wifky 1.5.13_4 を公開しました
インストールについて
[Q] Forbidden: The server refuse to browse the page となる
Footer
Sidebar
(2013.01.14) wifky 1.5.11_6 を公開しました
(2013.05.07) wifky 1.5.13_1 を公開しました
(2023.01.27) wifky.pl 1.5.13_3 を公開しました
2023/02/23
FrontPage
2020/04/11
(2020.04.11) hmarks.pl 1.14_3 を公開しました
(2020.04.11) expire.pl 0.3_1 を公開しました。
2015/10/03
(2015.10.03) markdowned_wifky を開発中です
2015/09/27
掲示板
2015/09/22
(2015.09.22) 移転しました