CGIのいろは(CGI設置講座)&CGIのFAQ
CGIを手に入れよう!†
CGIはどこにある?†
雑誌などのCD-ROMでCGIを手に入れることもできますが、せっかくインターネットがあるので検索とかして手に入れると良いでしょう。
CGIスクリプトを配布しているところはたくさんあるので、探してみるのも楽しいと思います。
しかし、以下の点には気をつけましょう。
- サポートはしてくれるのか?
- 設置は簡単にできるのか?
- ちゃんと更新しているのか?
書いておいてなんですが、CGI-StaTionならびに、一部CGI配布サイトは更新がかなり止まってます…(涙)
更新が止まっていると言う事は、新しい技術に対応していないということなので、けっこう重要だったりするのですが…
CGIはとても危険なのです†
CGIは誰でも書き込むことができてしまいます。
これは、あなたのホームページ領域を、誰でも追加・修正・削除をできるようになるわけです。
あなたやあなたの友人なら良いのですが、悪意を持った人でも同じことができるわけです。
下手なCGIを設置すると痛い目にあってしまいます。
具体的に、主な危険なCGIや機能を説明していきます。
- タグが使えるCGIは要注意!
あなただけがタグを使えるのなら、かまわないのですが、誰でも使える場合は危険です。
タグには危険なものも,たくさん存在します。
被害の大きいところでは、直接ウェブサーバに悪戯できるSSIによる破壊行為や、間接的に攻撃する掲示板DOS攻撃などがあります。
簡単なところでは、フォントや画像のサイズを異常に大きく(<span style="font-size:9999pt">異常</span>など)して、掲示板を読めなくすることができます。
他にも,JavaScriptによるブラウザクラッシャーなどが良い例かもしれません。
- UNIX専用コマンドを利用したCGI
危険ではないのですが、ウェブサーバから警告される場合があります。
また、ウェブサーバがWindowsサーバである場合、誤動作することもあります。
これらのコマンドを初心者が見つけることは難しいので、安心できるサイトからCGIを手に入れてください。
- 本来禁止された動作を可能にする便利系ツール
CGIのなかには、本来ウェブサーバにない機能を提供してしまうCGIがあります。
例えば、[telnet]を可能にしてしまうCGIが存在しています。
[telnet]はウェブサーバ自体を自由に操作できてしまうツールで、多くのウェブサーバで禁止、もしくは制限されています。
設置はやめましょう。
あなただけじゃない†
CGIを選ぶときには、あなたの主観だけでなく、掲示板を利用する知り合いの意見や、サーバ側への配慮、そして、もっとも大事なのは…
CGIは悪意を持った人でも使える
このことをしっかり覚えておいてください。
関連ページ†