【ホスティング】サブドメインの秘匿性について

よろしくお願い申し上げます。

現在、レジストラで保有しております独自ドメインを、別のホスティング会社にて運用しております。

ドメインのルートにrobots.txtを置いており（www.mydomain.com/robots.txt）、User-agent: *　　Disallow: /　を書き、中身を検索エンジン非公開にしています。ですので、ドメインのルートに空のindex.htmlを置いている限り、そのドメイン以下のディレクトリ構成を知られることはなく、ディレクトリ名を複雑化すればパスワード保護と同程度の機密性があると考えています。

ところで、サブドメインの場合はどうなんでしょうか？　つまり、そのサーバー屋はサブドメイン（secret-site.mydomain.com）を追加できるのですが、検索エンジン以外でこのサブドメイン名が誰かに知られる可能性はあるのでしょうか？

ドメインには、そのサーバー屋のネームサーバーを指定しています。ここからドメイン一覧のような物が取り出せれば、このサブドメイン名が誰かに知られてしまう、なんてことはないですか？

本当に機密性の高い物はパスワード保護などの対策を取りますが、仲間内だけのBBSを作る場合など、パスワード保護するほどの機密性は必要ないけど、例え検索エンジンには登録されなくても、ドメイン名を知る人がその中身を知ろうとあれこれ詮索するのは困ります。

その際、サブドメインを使うと機密性が低下するのではないかと考え、質問させていただきました。

そのドメインはスパムも多く、whoisか何かでドメインを検索して、ありそうなアドレス（sales,info,admin,webmasterなど）に大量にスパムを送りつけてきます。こういった現状から、ドメイン名だけではなく、サブドメイン名も、検索エンジン以外に知られる手段があるのかどうか不安なのです。

よろしくお願い申し上げます。

No.3 ベストアンサー 回答者： DM9 回答日時： 2005/12/09 07:36

再びNo1です。

そういうことでしたか。さきほどはどうもとんちんかんな回答で申し訳ありませんでした。サブドメインに関してはそれを管理する公的な機関やDBなどは存在しない訳ですから、

> whois検索でドメイン名を人為的に検索することが出来るのと同じように、そのセカンドレベルドメインに所属する、サードレベルドメイン一覧を知る方法があるのか

という質問に対する答えはNOだと思います。yourdomain.com/sub/をつくるのと同様の手軽さで、sub.yourdomain.comも簡単につくれるわけですし、それをinternicに届け出るわけではありませんから。

ただ、ご承知かと思いますが、「機密性」ということにこだわっていらっしゃるようなのでいちおう書くのですが、「サブドメインのDBが存在しないこと」イコール「機密性／秘匿性がある」ということにはならないと思います。そのサブドメインのサイトの中にひとつでもa hrefリンクがあったとしましょう。そこからクリックして飛んだ先のサーバにはサブドメインのurlがReffererとしてログされることになります。それをきっかけにbotに拾われることになるでしょうし。

これで回答になりますでしょうか。

この回答へのお礼

ありがとうございます。まさにそういう質問内容でございました。回りくどくて申し訳ございませんでした。

サブドメインが公的に申請するわけではないため、データベースが存在しないことは承知しておりますが、サブドメインを管理しているのがサーバー屋のネームサーバーでして、このネームサーバーをハックして、サブドメイン一覧を取得するような危険性はないのか知りたかったと言うことでした。すみませんでした・・・・。

リファラの件に関しましては、承知いたしております。ありがとうございました！

お礼日時：2005/12/10 02:00

No.4 回答者： DM9 回答日時： 2005/12/10 02:17

再びNo.1です。

> このネームサーバーをハックして、サブドメイン一覧を取得するような危険性はないのか

んー。ないとはいえませんが、それよりもありがちなのはホスティングサーバ運営会社が名簿屋に売っているとか、もっといえば、ホスティング屋＝名簿屋＝スパマーだったりするのかもしれません。それならどうしようもないですね。そういう可能性もあるということです。

この回答へのお礼

たびたびご回答いただき、ありがとうございます！！　よくわかりました。大変お世話になり、ありがとうございました。

お礼日時：2005/12/12 19:52

No.2 回答者： DM9 回答日時： 2005/12/09 03:20

No1です。

あとから思いついたので補足します。botのアクセスを防ぐ目的であれば、bot、crawlerといったありがちなUser_Agentをハジく、あるいは、そのbotのアクセス元IPがわかばそれをハジく、あるいはサーバのログを見てそれらしきものをかたっぱしからハジくという方法があります。ハジくというのは、httpd.confまたはhtaccessでハジくという意味で、robots.txtを使うものではありません。これは一定の効果をあげるでしょうが、環境変数を詐称してくるアクセスもありますから完璧なものではないでしょう。これをやったとしてもセキュリティと呼べない程度のセキュリティしかありませんがいちおう。

この回答へのお礼

二度にも渡りご回答頂き、ありがとうございます。
書き方が悪かったでしょうか。真意が伝わっていなかったようです。

「検索エンジン以外でこのサブドメイン名が誰かに知られる可能性はあるのでしょうか？」「検索エンジン以外に知られる手段があるのかどうか不安なのです」と書きましたとおり、ボットのアクセスを防ぐ目的ではございません。whois検索でドメイン名を人為的に検索することが出来るのと同じように、そのセカンドレベルドメインに所属する、サードレベルドメイン一覧を知る方法があるのかという質問でございました。

わかりにくくて申し訳ございませんでした。二度にも渡りご回答頂きましたのに、このような返答しかできないことに関しまして、心よりお詫び申し上げますと共に、丁寧なご回答を下さったことに関し、心より感謝申し上げます。

お礼日時：2005/12/09 06:59

No.1 回答者： DM9 回答日時： 2005/12/08 23:03

robot.txtは、検索エンジンのbotに「ココは見ないでちょうだい」とお願いしているだけですから、セキュリティ性はありません。

さいきんのbotはコレを無視するものも多いです。やらんよりはましくらいのモノだと思います。サブドメインについては ... どうなのだろう。すみません。明確にはわかりません。基本的な考えとして、「公開してるモノは常にだれかに見られる可能性がある」と考えたほうがよいのではないでしょうか。