パスワードを忘れた? アカウント作成
1657 story

検索エンジンが開く社会の窓 28

ストーリー by Oliver
自業自得 部門より

takusi 曰く、 "ZDNETの記事よると、Googleがクレジットカード番号やパスワードを見つけてしまうとのこと。最近、GoogleはWebページ以外にも、MS-Word、Excelなどのファイルを検索範囲に加えています。そのため、誤って(あるいは知らずに)外部に公開されていたファイルに含まれていた貴重な情報が検索で発見されてしまうのです。
以前、パスワードのチェックしていなかったため、間違ったIDを入力して不正アクセスの法律に違反したという事件がありましたが、Googleの検査結果をクリックしただけで、不正アクセスというのは勘弁してほしいですね。"

誰もが見られる形で置かれているなら、不正アクセスにはならないと思うが、ちゃんとパスワードなりアクセス制限かけておけ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by torly (3670) on 2001年11月28日 0時26分 (#41831) ホームページ 日記
     パスワードやクレジットカード番号は見つけたことないですが、こんな検索遊び [google.com]はしょっちゅうやってます。
    • by nuno (2325) on 2001年11月28日 10時44分 (#41936)
      これやばいっすよ。某Webサーバに対して同じ検索をかけたら
      address.lzhとか置いてあって、その中身は(以下略)

      いや、そっこーで消しちゃいましたけどね。先方のアクセスログには残ってるだろうから、「見たでしょ?」といわれたら弁解のしようがないんだけども。

      つーわけで、家の塀に秘密を貼り付けたりするのはやめましょう。同様にそれを探し回る行為もあんま気持ちの良いものじゃないということも注意しましょう。あーびっくりした。
      親コメント
  • ZDNETでもハッカーと表現するのか。
    それにしても、どうやったら誤って(あるいは知らずに)外部に公開してしまうのだ?常に~/public_html以下で作業していたりするのだろうか。
    --
    char *A;
    モータースポーツ部 [slashdot.jp]
    • ~username(ホームディレクトリ)がhttp://~/~username/ってところはあるのかしらん?
      もしあったりしたら、自分の作業内容はほとんど全部ダダ漏れですな。
      親コメント
      • >~username(ホームディレクトリ)がhttp://~/~username/ってところはあるのかしらん?
        それは私の学校のサーバーです...
        ただ、学内専用なので少しはマシですが。

        対策として
         ホームディレクトリには最低限の設定ファイルとindex.htmlのみ。
         なおかつパスワードを含む設定ファイルを置かない。
         web公開用のディレクトリと作業用ディレクトリを分けてアクセス権を設定する。
        これくらいしか出来ない...(T_T

        管理人に文句を言うべきなのだろうか。
        親コメント
      • by At.N. (1718) <kkazhiroNO@SPAMtls.org> on 2001年11月28日 15時26分 (#42042)
        その昔、goo で検索をかけたら、とある商用アクセスプロバイダの個人 mailbox の中のテキストにヒットしたことがあります。
        いちおう webmaster にはその旨 mail だけして後は忘れましたが、さてどうなったことやら。

        で、この話を(さすがに検索内容やプロバイダの名前は伏せて)ネタにしてたら、「うちの学内じゃそれが普通」みたいな反応が返ってきたことがあってまたびっくり。
        自分で使う環境は自分で気をつけるべきなんでしょうね。基本ですが。
        親コメント
    • おおかた「STAFF ONLYバックドア」をJavascriptでクリック止めしていた、なんて程度のことではないのかな。
      #それじゃソース見られれば一発だって>ヲレ

      いくらgoogleががめついからって、Web Serverのexploitを突くわけではないんでしょうから。
      親コメント
  • by pasas (5776) on 2001年11月28日 0時11分 (#41827) 日記
    たまに見かけるのは、仕事で自分用に作ったプロジェクト毎のリンク集らしきモノです。
    そのリンク先のページ自体にはパスワードがかけられているのですが、リンク集に、

    http://user:password@www.xxx.xxx.ne.jp/secret/

    という形で書かれている場合があります。

    開発者だけでなく、保守する人や運用する人も高いセキュリティ意識を持ってほしいと思います。
  • by kita (5934) on 2001年11月28日 1時21分 (#41850) 日記
    • 古いファイルを放置している。
    • ディレクトリリスティングが可能な設定にしている(なっている)。
    • robots.txtを知らない。

    こういうのが大きいんじゃないでしょうか。

    # むう、zdnetの記事 [zdnet.co.jp] では、robot.txtになっているなあ。
    # おお、robot.txtで探すとこんなの [zdnet.co.jp]も見つかるぞ。。。
    # 最近の検索エンジンは、robot.txtというファイルも見てくれるのか?
  • by rti (659) on 2001年11月28日 3時47分 (#41879) ホームページ
    php の関数名で検索していたら、
    phpタグを無効にした(された?)サイトにヒットして、
    phpのソースコードが、どばっーと出て来たことがありました。

    #実際のソースが読めたおかげで大変勉強になりました :-)
    --
    by rti.
  • by znc (2768) on 2001年11月28日 8時34分 (#41902)
    そもそも,検索エンジンに見つかるということは
    重要情報が(その会社から見て)外部のネットワークから
    見える位置にあるということなのだから

    googleに文句を言う前にデータの置き場所を考えろ
    といいたいです.

    # Webで収拾したデータだってディレクトリ構造を
    # 工夫すれば外部ネットワークから見えない位置に
    # 格納できると思いますよ.
    --
    『今日の屈辱に耐え明日の為に生きるのが男だ』
    宇宙戦艦 ヤマト 艦長 沖田十三氏談
    2006/06/23 JPN 1 - 4 BRA
    • googleに文句を言う前にデータの置き場所を考えろ
      記事中の「Googleにも責任がある」に続くコメントも相当痛いですね。
      ただ、もしも本当にユーザーがセキュリティーをしっかりと考えてくれる人ばかりなら、いろんな意味で現状とは違うインターネット世界になっていた訳で。そういう観点に立つと、
      「Googleは、インターネットには莫迦はいないと思っているのではないか」
      という言い方なら成り立ちます。「莫迦ばっかりなんだから配慮してやれよ」ということで。
      親コメント
      • >「Googleは、インターネットには莫迦はいないと思っているのではないか」

        検索エンジンの本質からいって、「莫迦が居るからっていちいち配慮してあげるいわれなんか無い」
        という解釈のほうを支持「したい」です。

        これを否定したら検索エンジン自体を否定せんとならん。
        親コメント
        • 人気が出れば妙な社会的責任を問う相手が現れるもので、ZDNetで紹介されているコメンテーターは「莫迦に配慮していない」を「セキュリティーに配慮していない」と摺り替えていますね←前回の主旨。
          ただ莫迦が多い……というか圧倒的多数なのは確かだろうなぁ。
          「莫迦が居るからっていちいち配慮してあげるいわれなんか無い」
          だからGoogleはパスワードをデータベースに登録したのよ。
          こういうセキュリティー関連のおまぬ話が出る度に「インターネットを免許制に」って話題を思い出しますよ。とほほ。
          親コメント
          • >妙な社会的責任

            言いえて妙(ありゃりゃ?)ですね。
            社会責任とか言っても必ずしも「ただしい」ものとは限らないというか。

            >インターネットを免許制に

            免許にしても死亡事故が一向になくならない自動車って…

            だいたい「誰が」免許を出すのか?ってのが問題っすね。
            MSの息(?)かかった奴はGPL野郎に免許出すまい。逆も然りかも。

            交通事故はたぶん、「安全」という状態を議論の余地なく定義可能だから
            免許制も実現できるんでしょうね。
            一方のInternetは、どうなんだろう…
            親コメント
  • by nekopon (1483) on 2001年11月28日 9時11分 (#41911) 日記

    次の記事 [srad.jp]と併せて読むと「社会の窓」が違う意味に……(ばきっ

  • by WindKnight (1253) on 2001年11月28日 11時03分 (#41940) 日記
    google なんて、まだ、ましかもしれないねぇ。

    クラッカーの検索ロボットなら、本当に洗いざらいさらってしまうだろうから。

    とりあえず、管理者は google でセキュリティーチェックをするべきですな。
    • チェックして「マズい!」と思った瞬間既にgoogleのキャッシュに
      ためこまれているので、やはりチェックする以前に対策をきちんと
      考えておかないといけないような気がします。

      しかし見えてはいけないものが見えてしまう、
      というのがあくまで偶然的で人為的なミスによるものだとすると
      やはりある程度は検索エンジン側で対処すべきなのかな。
      どのみちムダなような気がするけど……

      zdnnの記事だとまるでHTML以外のものまで検索対象に含めたことが
      問題かのようだけど、実際のところどうなんでしょう。
      確かにHTML以外のものを検索できてうれしい場面ってあんまりない
      ので悪用されるのに使われるのがせいぜい、という見方はありそう。
      親コメント
  • by hiromasa (1041) on 2001年11月28日 12時16分 (#41964)
    公開コンテンツを準備する作業領域では
    以下のルールを Makefile に書いています。

    touchindex:
            @set -e; \
            for i in [ `find . -print` ]; \
            do \
            if [ -d $$i -a ! -e $$i/index.html ]; then \
                    echo "<HTML><BODY></BODY></HTML>" > $$i/index.html; \
            fi; \
            done

    まぁ、気休めですけどね。
  • by ping (5110) on 2001年11月28日 12時30分 (#41968)
    googleで[隠しページ]で検索すると
    そりゃもう面白いことになりますよ。
  • by Anonymous Coward on 2001年11月28日 14時00分 (#41996)
    重要なファイルなら置いた方が悪いだけですが、
    一度検索エンジンに自分のハンドルネームを放り込んでみませう。
    一人の人間の趣味趣向が洗いざらいに、、、。
    本名とか住所とかでもまれにひっかかることが。
    なんともおそろしい話だ
    おそろしい話なので、匿名で勘弁を。
    • by znc (2768) on 2001年11月28日 17時55分 (#42085)
      私はそれでとある秘密がばれました(T_T).
      # だれか親コメントに+スコアをあげてください.
      --
      『今日の屈辱に耐え明日の為に生きるのが男だ』
      宇宙戦艦 ヤマト 艦長 沖田十三氏談
      2006/06/23 JPN 1 - 4 BRA
      親コメント
    • by gy0 (3393) on 2001年11月28日 23時01分 (#42163) 日記
      オレのハンドル放り込むと出てくるのは

      ・昔のオレのどっかのBBSへの投稿
      ・自分のサイト(当然「プロフィール」も)

      は、ともかくとして、
      9割以上、ひたすら意味不明な羅列ばかり出てくるんですよねぇ。
      ハンドルの付け方のせいだろうけど。

      でもってgy0.jpの「ぎょうだ」さん [srad.jp]が引っ掛かってきたりとか(笑)

      ちなみに、自分の本名で検索して、
      自分と同名の地震学者がいることを知りました。はい。
      --
      gy0
      親コメント
    • Webで一時期名前を書いていたんですが、
      同姓同名(ただし異性、向こうはちょっと有名人)の方宛のメールを
      いただいたことがあります。
      応援ありがとう~(笑)
  • by Anonymous Coward on 2001年11月28日 0時07分 (#41824)
    ちょい前に「尻」とか「割れ」とかでgoogleを使ったら、あるWebサイトの"隠しページ"が直ヒットしちまったことがあったり。 まーその"隠し"っぷりがどの程度だったのかはわからんけど。
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...