【mixhost】運営サイトの一覧が丸見えだ!

その他

mixhostはセキュリティの考えが甘すぎて許せない。初期設定で行うチュートリアルに載せるべき内容です。

複数のサイトを運営している場合は設定を確認してください。デフォルト設定では自身の運営サイト一覧が表示される設定になっています。

申し訳無い程度に公式サイトのサポートページに記載されていますが、この内容は超重要です。

mixhostでは、初期状態でフォルダ内にindexファイルが存在しない場合、ファイルの一覧(index of)が表示される仕様となっております。表示されないようにする為には、cPanelより設定を行う必要があります。

ファイル一覧とは

mixhostで説明しているファイル一覧(Index of)は分かりやすくするための俗称です。一般名称はディレクトリリスティング(directory listing)です。

ディレクトリリスティング

ディレクトリリスティングというのは、Webサーバが持つ便利な機能の1つで、読んで字のごとく、サーバのディレクトリ内容をリスト表示するものです。アクセスされたディレクトリ内にindexファイルがなければディレクトリ内の一覧表示します。

あなたの「便利」は攻撃者も「便利」

外部から閲覧されても問題のないファイルばかり格納されているディレクトリのであれば全く問題はないですが、そんなディレクトリはありえません。

色々とメンテナンスを行っていると、ディレクトリ内にバックアップファイル機密情報のファイル公開前のファイルが存在することがよくあります。また、必ずと言っていいほど存在する設定ファイル(.htaccess など)も同様です。

この程度と思ったら大間違いです。情報が攻撃者の手に渡ったら、これを手掛かりにして重要な情報にアタックを試みます。これが原因で情報漏えいが発生した事例も過去に存在しています。

過去ニュース等で、顧客情報が流出した事を耳にしていませんか?セキュリティの観点から詳しい手口を言いませんがほぼコレが原因です。

mixhostは運営サイトが一覧になります

mxihostが提供している初期ドメインが自動で有効になっており、そのドキュメントルートがpublic_htmlになります。何も利用していなければ以下のような感じで「cgi-bin」だけが表示されています。

初期ドメインの初期設定
初期ドメインの初期設定

mixhostで独自ドメインを利用すると、独自ドメインのドキュメントルートがpublic_htmlの下に作成されます。初期ドメインに対して何も設定を行っていない場合に初期ドメインにアクセスすると、追加した独自ドメインが一覧表示されます。

初期ドメインに独自ドメイン一覧が作成される
初期ドメインに独自ドメイン一覧が作成される

mixhostの変更手順

ディレクトリリスティングを無効にする設定があるので変更します。

ファイルの一覧(Index of)を非表示にする方法
mixhostでは、初期状態でフォルダ内にindexファイルが存在しない場合、ファイルの一覧(index of)が表示される仕様となっております。 表示されないようにする為には、cPanelより設定を行う必要があります。 1)cPanelにログインします。 2)詳細>インデックスをクリックします。 3)フォルダの一覧...

cPanelにログイン

cPanelにログインします。
詳細>インデックスをクリックします。

cPanelの設定画面
cPanelの設定画面

ディレクトリを選択

public_htmlディレクトリを選択します。
フォルダの一覧が表示されたら、public_htmlディレクトリの左側のフォルダアイコンをクリックします。

public_htmlのインデックス設定を変更
public_htmlのインデックス設定を変更

設定を変更

インデックス設定を変更します。
インデックスなしを選択し、保存をクリックします。

「インデックスなし」を選択
「インデックスなし」を選択

設定完了

設定完了画面が表示されましたら、設定完了です。

設定完了画面
設定完了画面

設定後に初期ドメインにブラウザでアクセスすると一覧が表示されなくなります。これで完了です。

ブラウザで閲覧した画面
ブラウザで閲覧した画面

mixhostの初期設定を変更しよう

mixhostは、ほぼ何もしなくても使えます。しかし、ファイル一覧(Index of)だけは設定変更を行ってください。

コメント