[PHP-users 4351] Re: スクリプトが丸見え?

[Nakamura Kazuto]

中村です。

>こんにちは。重松です。
>ふと気づいたんですが、現在 /home/<user>/public_html に各人のページを置くよう
>になっていますが、設定が甘いので他人の public_html の中身が丸見えです。
>普通の HTML ならまあいいか (どうせ知り合いしかいないから) と思うのですが、
>PHP の場合は、中には、スクリプトの中にパスワードを書いてあるものがあったり
>するので、丸見えは困ります。
>そこで、質問なのですが、どのようにすれば、丸見えを防止できるのでしょうか?

前にも同じ様な話がありましたが、nobody が .htaccess を読める状態に
しなければいけない時点で防御策が基本的には無いはずです。suEXEC を
使える状態にし、cgi版のphpを使用するのならotherにReadを与える必要が
なくなりますが…。

あとはこれに頼るしか無いんでしょうか。
http://www.zend.co.jp/products/encoder/

>私が考えた解決方法としては、group に www を追加し、web page を公開する
>ユーザのホームディレクトリのグループを www にして、アクセス権を 710 に
>するとともに、group に nobody を追加、これで、丸見えを防げるのではないか、
>と推測しているのですが、もっとよい方法があるのではないかと思いました。

ファイル名がわかってしまうので悪意ある利用者がそのファイルを保存する
スクリプトを書けると思います。 open "http://読みたいファイル名" 

--
中村  和人  kazuto@sainet.or.jp