HPのメンテナンス簡素化のためにヘッダー/フッターを部品化し、“include virtual”で読み込んでいます。
ただ、ネットや本を読むと多くでは「セキュリティの関係でSSIは勧めない」とあり、不安になっています。そしてそのセキュリティの対応についての記述もあるのですが、言ってることがまちまちだったり真逆だったりで、何を信じればいいのか分からず困惑しております。
たとえば推奨パーミッションについてもまちまちで、しかも言われたとおりに設定すると作動しなくなったりします。
htaccess についても「設定すべき/逆にターゲットにされるので設定しないほうが」と2つありました。
この点に関し、「こうした方がいい」という確立したご意見のあるかたはアドバイスください。また、信頼できる本/サイトをご存知でしたら教えてください。xhtmlとcssしか分からない初心者なので、できれば簡素なものをお願いします。
いっそのこと JavaScript に切り替えたほうがいいのでしょうか?
No.2ベストアンサー
- 回答日時:
またもや失礼いたします。
SSIを導入する時の危険なものは、SSIとして動作しているプログラムそのものよりも、SSIを許可しているサイト内の他の部分であることが多いです。
具体例として資料請求やアンケートなど外部からのアクションが中心になる部分で、フォームへのタグ埋め込みを許可していたり見落としていたりするとSSIのシステムを操れるコマンドを仕込んだタグを入れることでページ改ざんやクロスサイトというサーバのっとりなど目的にしたクラッキングによって様々な方面に被害を及ぼすケースがあります。
SSIを許可する場合には、フォーム周りやCGIなどのサーバサイドプログラム関連を「素人」に任せたり、出来合いのものを流用するには注意するという事が重要になってきます。
コンテンツを制作している方は職業柄デザインやページ構成を優先されようとすることが多いのですが、その部分しか請け負っていないシステム製作者がその通りにシステムを構築すると仇になったりする場合がままあります。
海外にいらっしゃるということで日本の書籍入手が困難な状況であることは、わたくしも経験からよくわかります。
先進国ならまだしも途上国ならそれ以前という感じでしょうか。ただ、わたくしの頃と違ってネットが利用できる環境なら書籍に頼らずとも検索サイトを利用して調べるのが良いと思います。
検索サイトででてきたものを片っ端から読解してみるのが早道でしょう。 単語ならここやWikiで何とかなると思います。
また、現地人の職場に入っているのなら現地語での参考書を購入しても良いと思います。
再度のお返事ありがとうございます。
お話を聞くほど段々不安になってきました。おっしゃる通り、BBS等のCGIをいくつかのフリーサイトから引っ張ってきてます。問題なく作動していますが、仕組みがよく分からないものを使っている不安はあります。
隔離された地で、趣味の仲間との雑談の場が欲しかっただけなのですが、サイト運営を簡単に考えていたかもしれません。ちょっと今後のことは考えてみます。
お返事をここまでうつ間に、もう15回ほどネットが切断されています。短くて申し訳ないですが、これをもって感謝の意とさせてください。また切れる前に急いで送信します。ありがとうございました。
No.1
- 回答日時:
はじめまして。
わたしも昔、インターネット黎明期に、疑問を持ったもののひとりです。
SSIのセキュリティ云々というのは
「サーバ運用の点から見た場合に、利用者にこの機能を提供しちゃうと変なものを作られたて、導入されたら危険ですよ」
ということでのセキュリティです。これは「.htaccess」で利用者に便利な機能を追加できるようにしておくのも危ないよというのにも同じことが言えると思います。
サーバ運用とは関係ない部分でのお話しのようですので、利用できるサービスを提供されているなら(しかもinclude程度なら)、利用することには問題は無い(includeするファイルの内容にもよりますが)はずです。 ただし経験上この手のサイトは移設時や機能追加時などに苦労します。
どの分野でもそうなんですが、便利な機能を利用者に提供する場合、利用者が安全性に関する意識が欠如してるとそれに見合ったリスクを運用者は背負い込むことになるということなのです。
ガソリンスタンドでくわえタバコで給油したら危ないという認識があるのは「ガソリンは危ない」「燃えやすい」「爆発しやすい」という燃料に対する知識があるからで、便利機能を使う上で利用者として最低限必要な「SSIやCGIってなに」程度の知識をつけることはたいへん良いことと思います。
極端な例えと思われるかもしれませんが、サーバ管理者から見ると、理解や知識の無いものがCGIやSSIをむやみにサーバに突っ込むのは、ガソリンスタンドの店主がくわえタバコで給油しているアンポンタンを見かけたくらいのおどろきなのです。
セキュリティについての記述が「真逆」ということはまずないと思います。それは「状況」や「条件」が異なっているそれぞれでの立場での記述を理解されずに誤読してしまったのではないかと思われます。 たとえば運用者と利用者では立場や状況が異なるわけですので・・・。
昔と違って、セキュリティ及びCGIやSSIの参考書は古本屋でも入手可能なので、そういうものに目を通して理解を深められることをお勧めします。あとは場数を踏んで経験を積むことも大切なことですね。
ご丁寧なお返事をどうもありがとうございます。お返事が遅くなってすみません。
ご説明のおかげでセキュリティについて漠然とはイメージがつかめました。
そうですね、日本にいれば図書館もあるし古本屋もあるので、あまりお金をかけずに勉強することもできるのでしょうけれど…。いま海外に滞在中で日本語の本が簡単に入手できない状況にあります。資金があまりないので、手当たり次第に本を取り寄せることも出来ず、それで絞り込みのためにお薦めの参考書を教えて欲しくてここに質問した次第です。
サイトでも本でも、お薦めがありましたら教えて欲しいので引き続きアドバイスをお願いいたします。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- その他(メールソフト・メールサービス) Windows10付属のメール、なぜ設定が劇的に簡単になったのか? 1 2022/12/16 13:14
- Gmail gmailについて質問です。 Googleのアカウントを2つ持っていてそのうちの一つに「推奨される対 3 2022/09/23 15:35
- 車検・修理・メンテナンス 自動車車検は、自分で、ユーザー車検で、車検場に持ち込みすると、法定費用だけで、簡単に受かるよ。 7 2023/02/05 22:56
- docomo(ドコモ) ご契約内容 docomo 意味がわからない 2 2023/03/03 18:07
- HTML・CSS サイトをマルチデバイス対応にする為の準備や、CSSなどのおすすめサンプル集やアドバイスを頂きたいです 1 2022/07/13 22:15
- その他(開発・運用・管理) 【至急】.htaccessによるディレクトリ単位でのリダイレクト 2 2023/08/10 13:46
- テレビ テレビが映るまで3~5分かかります 8 2023/04/11 09:47
- CGI CGIが読み書きするデータファイルのパーミッションはさくらのインターネットでは何にするべき? 1 2023/05/02 16:44
- Gmail gmailで独自ドメインアドレスのメールが届かない件 1 2023/08/25 23:24
- Word(ワード) Word 見出しの設定が上手くいきません。 2 2023/06/18 10:05
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
楽しくて最高のプログラミング...
-
小学1年生の子です。塾に行かせ...
-
プログラミング
-
vba クリップボードクリアにつ...
-
ラズパイpico PIOモード
-
IT業界より楽に稼げる業界って...
-
pythonにてseleniumを使うも、...
-
プログラミング ソースコード
-
pythonで複数画像からgifを作る...
-
正規表現で複数マッチ条件で悩...
-
そのまま使っただけなのに・・...
-
Gitについて質問。 クローンし...
-
rpa化する言語としてら何があり...
-
httpリクエストの送り元の特定
-
プログラミングで例えばゲーム...
-
このURLで広告を出しているのは...
-
Pythonでgif画像が上手く作れない
-
windowsでテキストファイルの各...
-
Webサイト内に埋め込んだmp4動...
-
Pythonって何を意識した言語な...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
chatGPTで次々と質問をしていく...
-
昔のパソコン少年の武勇伝「店...
-
スカラーのベクトル微分
-
ハッシュテーブル(連想配列)が...
-
最新のプログラム言語を学ぶに...
-
pythonにてseleniumを使うも、...
-
Windowsのアプリ開発ってなんの...
-
vba クリップボードクリアにつ...
-
Google ColaboでGUI作成
-
sublimit textっていうエディタ...
-
フリーランスのエンジニアって...
-
ExcelVBAでFormulaR1C1を列範囲...
-
matplotlibで任意の角度の円弧...
-
そのまま使っただけなのに・・...
-
家庭のパソコンで Python の 環...
-
初心者powershellのPS1ファイル...
-
Webプログラムってネイティブア...
-
httpリクエストの送り元の特定
-
プログラミングで例えばゲーム...
-
rpa化する言語としてら何があり...
おすすめ情報