- - PR -
IISのセキュリティについて
1
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2004-12-24 12:13
こんにちは
現在WindowsServer2003上のIISにて.NETでB2Bサイトを構築しています。 この中で、「顧客に関わる情報」をテキストファイル化し、 Webサーバーに保管し、ユーザーよりダウンロードするという仕組みも 提供することになっています。 しかしながら客先では現在、プライバシーマーク取得も奨められており このようなDMZ領域に「顧客に関わる情報」を置いてもいいのか? という質問を受けました。 当方ではWebサイトはSSLにてセキュリティもかけており、 上記データはディレクトリでの参照の権限を無くしており、 現在の仕組みにおいては 1.アプリケーションからログオンされたアプリケーションの仕組みで ダウンロードする 2.ファイル名を直接URL指定しダウンロードする の二つの方法しかなく問題ないと考えておりますが、 実際のところどうなのでしょうか? _________________ | ||||
|
投稿日時: 2004-12-24 12:29
こんにちは、msoです。
1.については別にいいかなぁ?って思いますが、 2.についてはだめだと思います。 だって、知らない人が適当にURLをたたくと見つけることが 出来るってことでしょ? 実際にはできないのかもしれませんが、その程度のことで 出来ちゃうのであれば許可されないと思います。 #1.についても認証方法や、パスワードは期間限定など #細かいことに気をつければOKかと思います。 | ||||
|
投稿日時: 2004-12-24 13:49
のような状態だとしても、 「URLさえわかれば誰でも入手可能」な状態であり、 「そのURLは誰でも見つけられる可能性がある」ことを考えると、 世間一般では十分な管理をしてなかったと判断されるんじゃないですかね。 許可されたユーザのみが利用可能にする、という意味で、普通はID/パスワードを 使いますよね。そのかわりに許可されたユーザ(が使うアプリ)のみが知ってるURLを、 っていうのが、ID/パスワードと同様な認証情報として理解してもらえるか、 っていわれると、多分無理じゃないかと思ってます。 | ||||
|
投稿日時: 2004-12-24 15:39
ありがとうございます。
では、例えば DMZ領域内のサーバーで、 @IISのパスをきっていないところにテキストファイル保存 勿論このパスはFtp等の他のサービスからも見えない (このファイルは外部からはIISやOSのセキュリティホールのない限り 見ることは出来ません) AASP.NETのアプリケーションの仕掛けの中で、 上記テキストファイルをメモリー上にロードしクライアント側に返却する という方法であれば問題ありませんかね? | ||||
|
投稿日時: 2004-12-25 00:20
すなわちWEBサーバと同じPC内に、データも保存しておくと言うことですよね。それは「DMZにおいてIISとSQLServerを同じPCで動作させて構わないか?」と聞くのに等しいです。何のためにDMZを設置しているのかを考えれば、IIS内にデータファイルを置くことは推奨される事柄ではないです。 後は、そのファイルに保存されるデータの種類や内容と相談するしかないでしょ。 _________________ 甕星 <mikahosi@abox9.so-net.ne.jp> http://blogs.msmvp.jp/mikahosi/ [ メッセージ編集済み 編集者: 甕星 編集日時 2004-12-25 00:25 ] | ||||
|
投稿日時: 2004-12-25 01:08
うーん。そうですね。確かに考えてみたらそうなります。 実は作りこみをしちゃっているのであんまり手直しを加えたくないというのが 本音なんです。 でも、後でもめるのはもっとまずいので、再考します。 |
1