[PHP-users 3732] Re: ソースの非表示について

[まつなみ]

こんにちは竹内さん。まつなみです。

matunami> これってindex.jsをブラウザのアドレス欄に入れて開いちゃえば，
matunami> index.jsがファイルとしてダウンロードできちゃいませんか？

webmaster> 　ブラウザでアクセスできない階層のディレクトリに入れることにより
webmaster> ブラウザアクセスは不能になります。

これだと，そもそもindex.jsがブラウザに送られないので，
ページそのものが表示されなくなっちゃうと思います。
ですよね！？間違ってたら指摘してください。

webmaster> > あと，PHPのように動的にページを生成する場合，
webmaster> > 毎回index.jsファイルをつくるんでしょうか？
webmaster> > 複数のブラウザに同時アクセスされると困りますよね。
webmaster> 
webmaster> 　ファイル名を連番で割り振るなどすれば、対応は可能です。
webmaster> 非常に面倒ですが・・・

やっぱし。
ってことは，HTMLソースを隠したいというお客様には，
通常の数倍の開発費を要求したくなりますね :-<

我々にとっては，HTMLソースを隠すなんて作業は不毛としか言いようが
ありませんよね。Etherealとかのフリーのネットワークアナライザ
を使えば，パケット全部丸見えですしね。

webmaster> 　私もHTMLソース隠蔽というのは好きじゃないです。正々堂々と
webmaster> 見せてしまえば良いものだと思っています。HTMLソースを隠して
webmaster> WEBサイトだけを見せたいというのはなんか違うような気がしますし。

何か隠したいことがあるのかと勘ぐってしまいますよね。
逆に良くないですよね。

webmaster> 　ちなみに私自体はHTMLソースどころかスクリプトまでオープンに
webmaster> してしまう方でして・・・周りにはAPCで中間コンパイルしたものを

それはちょっとやりすぎだと思いますよ(^_^;)
サーバサイドスクリプトはHTTPでは見えないサーバ内部の情報を扱いますよね。
例えばcsvファイルのフルパスやデータベースのテーブル名など。
できるクラッカーならばソース取得できちゃうと，セキュリティホール探し
しますよ♪

でもスクリプトのソースは（サーバの運用過程で人的ミス等により発生する）
サーバ設定の失敗により見えてしまうことが，やっぱりあります。
ですのでAPCによる中間コンパイルは非常にありがたいものだと思っております。
※でもAPC使ったことないっすけどね。

個人的には竹内さんと同様，自分の書いたスクリプトソースを他人に見てもらい，
変なところを指摘してもらったり，別のよい方法を教えてもらったりするのが
好きなのですが，セキュリティを考慮するとスクリプトをオープンにできないん
ですよね。残念なことです。
とか言いながら自分のサーバ設定はミスってることあります♪

-- 
まつなみ <mat@abelia.ocn.ne.jp>