SSIのセキュリティ（パーミッション／htaccess）

HPのメンテナンス簡素化のためにヘッダー／フッターを部品化し、“include virtual”で読み込んでいます。

ただ、ネットや本を読むと多くでは「セキュリティの関係でSSIは勧めない」とあり、不安になっています。そしてそのセキュリティの対応についての記述もあるのですが、言ってることがまちまちだったり真逆だったりで、何を信じればいいのか分からず困惑しております。

たとえば推奨パーミッションについてもまちまちで、しかも言われたとおりに設定すると作動しなくなったりします。

htaccess についても「設定すべき／逆にターゲットにされるので設定しないほうが」と２つありました。

この点に関し、「こうした方がいい」という確立したご意見のあるかたはアドバイスください。また、信頼できる本／サイトをご存知でしたら教えてください。xhtmlとcssしか分からない初心者なので、できれば簡素なものをお願いします。

いっそのこと JavaScript に切り替えたほうがいいのでしょうか？

No.2 ベストアンサー 回答者： ralf124c 回答日時： 2008/12/10 13:40

またもや失礼いたします。

SSIを導入する時の危険なものは、SSIとして動作しているプログラムそのものよりも、SSIを許可しているサイト内の他の部分であることが多いです。
具体例として資料請求やアンケートなど外部からのアクションが中心になる部分で、フォームへのタグ埋め込みを許可していたり見落としていたりするとSSIのシステムを操れるコマンドを仕込んだタグを入れることでページ改ざんやクロスサイトというサーバのっとりなど目的にしたクラッキングによって様々な方面に被害を及ぼすケースがあります。
SSIを許可する場合には、フォーム周りやCGIなどのサーバサイドプログラム関連を「素人」に任せたり、出来合いのものを流用するには注意するという事が重要になってきます。
コンテンツを制作している方は職業柄デザインやページ構成を優先されようとすることが多いのですが、その部分しか請け負っていないシステム製作者がその通りにシステムを構築すると仇になったりする場合がままあります。

海外にいらっしゃるということで日本の書籍入手が困難な状況であることは、わたくしも経験からよくわかります。
先進国ならまだしも途上国ならそれ以前という感じでしょうか。ただ、わたくしの頃と違ってネットが利用できる環境なら書籍に頼らずとも検索サイトを利用して調べるのが良いと思います。
検索サイトででてきたものを片っ端から読解してみるのが早道でしょう。　単語ならここやWikiで何とかなると思います。
また、現地人の職場に入っているのなら現地語での参考書を購入しても良いと思います。

この回答へのお礼

再度のお返事ありがとうございます。
お話を聞くほど段々不安になってきました。おっしゃる通り、BBS等のCGIをいくつかのフリーサイトから引っ張ってきてます。問題なく作動していますが、仕組みがよく分からないものを使っている不安はあります。
隔離された地で、趣味の仲間との雑談の場が欲しかっただけなのですが、サイト運営を簡単に考えていたかもしれません。ちょっと今後のことは考えてみます。

お返事をここまでうつ間に、もう15回ほどネットが切断されています。短くて申し訳ないですが、これをもって感謝の意とさせてください。また切れる前に急いで送信します。ありがとうございました。

お礼日時：2009/01/20 00:57

No.1 回答者： ralf124c 回答日時： 2008/11/21 11:27

はじめまして。

わたしも昔、インターネット黎明期に、疑問を持ったもののひとりです。
SSIのセキュリティ云々というのは
「サーバ運用の点から見た場合に、利用者にこの機能を提供しちゃうと変なものを作られたて、導入されたら危険ですよ」
ということでのセキュリティです。これは「.htaccess」で利用者に便利な機能を追加できるようにしておくのも危ないよというのにも同じことが言えると思います。

サーバ運用とは関係ない部分でのお話しのようですので、利用できるサービスを提供されているなら(しかもinclude程度なら)、利用することには問題は無い(includeするファイルの内容にもよりますが)はずです。　ただし経験上この手のサイトは移設時や機能追加時などに苦労します。

どの分野でもそうなんですが、便利な機能を利用者に提供する場合、利用者が安全性に関する意識が欠如してるとそれに見合ったリスクを運用者は背負い込むことになるということなのです。
ガソリンスタンドでくわえタバコで給油したら危ないという認識があるのは「ガソリンは危ない」「燃えやすい」「爆発しやすい」という燃料に対する知識があるからで、便利機能を使う上で利用者として最低限必要な「SSIやCGIってなに」程度の知識をつけることはたいへん良いことと思います。
極端な例えと思われるかもしれませんが、サーバ管理者から見ると、理解や知識の無いものがCGIやSSIをむやみにサーバに突っ込むのは、ガソリンスタンドの店主がくわえタバコで給油しているアンポンタンを見かけたくらいのおどろきなのです。
セキュリティについての記述が「真逆」ということはまずないと思います。それは「状況」や「条件」が異なっているそれぞれでの立場での記述を理解されずに誤読してしまったのではないかと思われます。　たとえば運用者と利用者では立場や状況が異なるわけですので・・・。
昔と違って、セキュリティ及びCGIやSSIの参考書は古本屋でも入手可能なので、そういうものに目を通して理解を深められることをお勧めします。あとは場数を踏んで経験を積むことも大切なことですね。

この回答へのお礼

ご丁寧なお返事をどうもありがとうございます。お返事が遅くなってすみません。

ご説明のおかげでセキュリティについて漠然とはイメージがつかめました。

そうですね、日本にいれば図書館もあるし古本屋もあるので、あまりお金をかけずに勉強することもできるのでしょうけれど…。いま海外に滞在中で日本語の本が簡単に入手できない状況にあります。資金があまりないので、手当たり次第に本を取り寄せることも出来ず、それで絞り込みのためにお薦めの参考書を教えて欲しくてここに質問した次第です。

サイトでも本でも、お薦めがありましたら教えて欲しいので引き続きアドバイスをお願いいたします。

お礼日時：2008/12/09 19:11