個人情報流出の事故に注意
新着情報/WEBインベンター

バージョンUP、最新情報、キャンペーン情報などを、月1回ほど配信 - WEBインベンター

新着情報/WEBインベンター 新着情報/WEBインベンター

管理プログラムがGoogleにインデックスされないようにする 2010年04月02日

管理プログラムがGoogleにインデックスされないようにする

WEBインベンターのご利用に心から感謝いたします。
さて、当社のカートを利用しているお店で個人情報流出の事故が発生しました。それは、管理プログラムがGoogleにインデックスされてしまったことによるものです。原因は調査中ですが、しかし、そのような場合でも検索エンジンに拾われないような対策を施してありますので、お知らせいたします。


対処方法:
1.パスワードの管理に気をつける
2.最新の管理プログラムを使う
3.検索エンジンにインデックスされてしまったときの対処
4.今後の対応

━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.パスワードの管理に気をつける
━━━━━━━━━━━━━━━━━━━━━━━━━━━
パスワード付きのURLが検索エンジンに拾われないようにするために気をつけてください。間違っても、パスワード付きのURLを一時的にもホームページで公開しないようにしてください。1日もしないうちにクローラが来て拾っていくからです。そして、時々パスワードを変更することはいつの場合でも役立ちます。

━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.最新の管理プログラムを使う
━━━━━━━━━━━━━━━━━━━━━━━━━━━
すでに最新のプログラムでは、検索エンジンにインデックスされないように対策を施してあります。

管理プログラムに下記の対策がなされています。
1.metaタグの挿入(noindex,nofollow,noarchive)
2.USER_AGENTよるSpiderの排除

対策がなされている管理プログラムは下記の通りです(ご利用のショッピングカートにより含まれてプログラムが異なります)。

setup.cgi
member.cgi
sale.cgi
goods.cgi
entry.cgi
histry.cgi
address.cgi
affiliate/aff_adm.cgi
     aff_main.cgi
fsetup.cgi
fsale.cgi

※メールフォームの場合は下記のファイルです。
admin.html、form.cgi、fsetup.cgi、fentry.cgi、member.cgi、fhistry.cgi、fsale.cgi、payment.cgi

可能なら、最新のプログラムに差し替えることをお勧めいたします。少なくとも管理用のプログラムに下記のMETAタグを挿入すると良いと思います。

print "<meta name='robots' content='noindex,nofollow,noarchive'>\n";

管理プログラムを下記のワードで検索すると挿入する場所を見つけることができます。
sub html_header

下記のように挿入してください。

 print "<meta content=\"text/html; charset=Shift_JIS\"
http-equiv=\"Content-Type\">\n";
 print "<meta name=\"robots\" content=\"noindex,nofollow,noarchive\">\n"; ←挿入
 print "<meta content=\"text/css\" http-equiv=\"Content-Style-Type\">\n";

上記の方法がすぐには難しい場合、対策が完了するまで、robots.txt ファイルを使用してカートフォルダごとブロックしておいた方が安全かもしれません。それから、1つ1つ対策を講じていきます。
robots.txt ファイルを使用してページをブロック
そして対策が済んでから、UPしたrobots.txt ファイルを削除します。

━━━━━━━━━━━━━━━━━━━━━━━━━━━
3.検索エンジンにインデックスされてしまったときの対処
━━━━━━━━━━━━━━━━━━━━━━━━━━━
まず、パスワードを変更してください。それから、管理プログラムの名称を変更して問題のURLが存在しないようにすることが大切です。

たとえば、
member.cgi を ******.cgi に変更して、
設定管理【2】で名前を合わせます。

すぐに検索エンジンに連絡して、インデックスとキャッシュの削除の依頼をしてください。
Google の検索結果からページやサイトを削除する

後は、インデックスとキャッシュが削除されるのを待つ以外にはありませんが、かなり早く削除されるようです。

━━━━━━━━━━━━━━━━━━━━━━━━━━━
3.今後の対応
━━━━━━━━━━━━━━━━━━━━━━━━━━━
なお、現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおりますので、しばらくの間お待ちいただきますようお願い申し上げます。⇒管理プログラムのセキュリティーの向上

現在調整が進んでいるプログラム:
http://wb-i.kir.jp/sample/PCtoMobile/setup.cgi
http://wb-i.kir.jp/sample/PCtoMobile2/setup.cgi
http://wb-i.kir.jp/sample/Multi_AFF/setup.cgi
http://wb-i.kir.jp/sample/epsilon_NPZ/setup.cgi
http://wb-i.kir.jp/sample/reserve/setup.cgi
http://wb-i.kir.jp/sample/contents_cart/setup.cgi
http://wb-i.kir.jp/sample/SPF910/setup.cgi
http://wb-i.kir.jp/sample/SPFne910/setup.cgi
http://wb-i.kir.jp/sample/PCtoMobile_Unicode/setup.cgi


※クッキーを使ったログイン機能と指定したIPアドレス(複数指定可能)からのみ管理プログラムにアクセスできる機能を搭載予定(上記のサンプルではIPアドレスを指定していません)。

皆様のご意見を取り入れながら、さらに優れたシステムを開発して行きたいと思います。ご指導の程、よろしくお願いいたします。


Copyright (C) 2010  WEBインベンター All rights reserved.