個人ホームページを作る際のリスク

子供が生まれたのを機に、個人で家族のホームページを作り、親戚やごく近しい人にだけ直リンクを教えて公開しました。遠くにいる親戚も多く、多くの親戚には喜ばれています。

ところが、遠戚の一人からこういうこと（子供の写真と名前をウェブ上で公開するようなこと）は大変危険で、誘拐につながる恐れもあるから、問答無用でただちにやめなさい、と言われてしまいました。私自身はその方よりはwebに関する知識はあると思っているのですが、以下のような生半可な対策では思わぬ抜け穴があるでしょうか？もしあるとしたら、どのような抜け穴が存在するでしょうか？

・サーバーは業者のレンタルサーバーを借りている。

・HPからはよそへのリンクは一切張らず、またどこのサイトからのリンクも受け付けない。

・トップページ（index.html）は存在するがダミーで、index.htmlからはどこへも行けない。直リンクを知らないと写真つきのページは見られない。直リンクのページの名前は結構長い。（はじめはJAVA appretでパスワードをかけましたが、やはりリンクの存在自体が危険と思いindex.htmlからのつながりそのものを断つことにしました）

・全ページにロボット検索noneのMETAタグを挿入している

・アクセスログは逐一チェックし、ほとんどの親戚のアクセス元は把握している（プロバイダ、地域名）。もし、他サイトや検索エンジンからのリンクで来た人が現れたら、直ちにページを停止する予定。

もちろん、どんなことをしてもネット空間では必ず抜け道があって、リスクをゼロに出来ないことは承知の上です。しかしながら、上記のようにすることでリスクをごく小さなレベル（交通事故に合うレベル以下）に出来るならば、ホームページを作って親戚に公開する利便性のほうが上回ると考え、継続するつもりです。

もし、このカテゴリの皆様で、上記のようなページが看破されるようなケースや、その確率について思い当たる事例がありましたら、ご意見をいただけると幸いです。

それらへの対策も踏まえて、その遠戚の方へは納得していただけるように丁寧に説明をしたいと思っています

No.2 ベストアンサー 回答者： Seravy 回答日時： 2010/03/16 23:55

まあ、確かに、どこかの赤ちゃんみたいに「まさに外道！」なんて画像になってあちこちに使いまわされるのは怖いですね。

ｗ

現状では、ほぼ防御策にはなっていないと思って間違いないでしょう。データが一旦転送された時点で負けです。誰にもURLを教えず、どこからもリンクされなければクローラーが拾っていくことはありませんが、ご親戚の方に教えたりする以上、どこからかURLが漏れたりなんなりで拾われてしまう可能性は0ではありません。
これから挙げる2つの方法のどちらかを行えば、大体安心して公開ができると思います。

ひとつは写真共有型の会員制SNSに入会、アップロードし許可されたユーザー（フレンドリストのユーザーなど）のみ表示できるようにしておき、親戚の方にもそのSNSに入ってもらい写真を共有することです。
難易度は低いですが、親戚の方に負担をかけることにはなります。

もうひとつは、レンタルしているサーバーによって出来るか出来ないかは変わりますが、htaccessファイルを設置し、Basic認証（またはDigest認証）を敷くことです。
別に突破されないことはないでしょうが、そこまで頑張るほど見たくなるような情報でもないでしょうし、危険性はほぼ0に近くなると思います。
親戚など一家族単位にアカウントを発行し、ログインIDとパスワードを配っておけばおｋです。環境変数のREMOTE_USERをログとして保存しておけば、妙なアクセスがあれば一旦そのアカウントだけ停止し、そのアカウントのご親族の方に事情を聞くこともできるでしょう。

まずは、借りたレンタルサーバーで.htaccessを設置し、アクセス制限を敷けるかどうか確認して下さい。使えるのなら下へ▼
やることは以下：
・まず、「.htpasswd」ファイルを作成します。
http://www.htaccesseditor.com/#a_basic を利用すればすぐ作れると思います。
ユーザー名とパスワードを作成してメモ帳にコピペ、改行して列挙して行きます。
e.g.
user1:mzzotnKVUqTlI
user2:Y5Hrl73LuxqFU
... のように入力。

保存後、FTPでアップロードし、「.htaccess」にリネームします。

・次に「.htaccess」ファイルの作成。
先程のhtaccess Editorの画面のSTEP 2に、.htpasswdファイルへのパスを入力します。（ルートなら「/.htpasswd」、public_htmlフォルダ内なら「/public_html/.htpasswd」、設置場所は普通にアクセスできないpublic_htmlより上が好ましいです）
打ち込むと、下部の大きいテキストエリアにすでにhtaccessに書きこむべき内容が表示されているので、すべてコピーし、メモ帳などで新規テキストを作成して、貼付け、保存。
そのファイルをトップフォルダにアップロードして、「.htaccess」とリネームします。

最後にテストとして、ページにアクセスして下さい。IDとパスワードの入力を求めてきて、作ったIDとパスワードでログインできればOK。
他に、適当なID、適当なパスでログイン出来ないこと、URL直下に「/.htpasswd」と打ち込んでパスワードリストが表示されないかを確認して下さい。

他にはCGIによるアクセス制限とかも出来ますが、すべてがすべてにアクセス制限をするのでサーバー機能で制限するhtaccessが手っ取り早いかなと。
ともあれ、アクセス制限と言うのはサーバーサイドでしか行えず、htaccessが設置出来なかったりCGIが設置出来ないとなると、現状のように「工夫」で防御することになります。しかも危険性は高いです。　ですので、設置が出来なければもう一度サーバー選びからしなおすか、既存の共有SNSへ引越しするのがオススメです。

この回答へのお礼

>現状では、ほぼ防御策にはなっていないと思って間違いないでしょう。
生半可な対策で満足していたことを自覚、自省したいと思います。いまのところ、不明なところからのアクセスが（アクセス解析では）無いだけほっとしていますが、seravy様の仰るとおり、一旦破られたらコピーされておわりですね。

因みに、.htaccessによるアクセス制限のかけ方は職場のHPを扱っているので知っています。（apache2.0です。)しかし、今回用いているレンタルサーバーではそれはさすがに出来ないようです。cgiくらいなら設置可能かもしれませんので勉強してみたいと思います。
java appretなどによる簡易パスワード等は、とにかくリンクの入り口に関門を設けるだけに過ぎず、URL直打ちで見られてしまうような状態では全然防御になっていない、ということなのですね．．．。
一般人、参考意見とのことですが、やはり技術者向けPCのカテゴリに書いてよかったです。（デジタルライフのカテゴリでは根拠の無い不安論だけが飛び交うような気がしたのでこちらにしました）
丁寧なご説明を誠にありがとうございました。

お礼日時：2010/03/17 08:56

No.1 回答者： Mechirun 回答日時： 2010/03/16 19:06

検索エンジンのクローラに対してのMETAタグは紳士協定であり、それを無視するクローラも存在します。

直ちにサーバーからデータを削除しても、Web魚拓や検索エンジンのキャッシュと言うのも残ったりします。

アップしてる情報に寄っては個人が特定される可能性はありますが、すべて責任を持つというのであれば書く情報に関しても注意するでしょうからいいのではないでしょうか？

この回答へのお礼

ご回答をありがとうございます。
METAタグは紳士協定に過ぎないとのこと、参考になります。「立ち入り禁止」の札を立ててあるようなもので、それを守るかどうかは分からない、ということですね。
また、一旦そのような検索エンジンに見つかってしまったら、キャッシュで残るとのご指摘もごもっともです。

index.htmlから他の部分へはリンクが張っておらず、浮いた状態にはなっているのですが、それでも検索エンジンのロボットは探しに来るでしょうか...？

全て責任を持つという意識はあり、リスクをゼロにできないことは承知の上です。しかし、できればその遠戚の方に理路整然と「この程度安全だ」ということを説明したいのです。ありがとうございました。

お礼日時：2010/03/16 22:50