PHPでのWebシステム作成も佳境に入ってきました。
が、現在の問題点をいくつか上げておきます。
- PHPとPerlを共存しているため、PHPでは権限が「noboby」なのに対してPerlでは「userID」となり、ファイル権限が甘くなる。
- PHPで「セッション管理機能」を利用してPerlとの共存が出来た気がしたが、認証を強化したら働かないかも知れない。
- クッキーを使用していないのでセキュリティーに問題がある。(Perlとクッキーを共存出来るかも未知…)
- クッキーを利用しても、そのページに対してクッキーが作られるのでPHPとPerlがそれぞれ独立したクッキー利用となり意味が無い。
- CGIをPHP内でディレクトリ内にコピーして、パーミッションを変換してもCGIが稼動しない。
- サーバにPHPをインストールして設定を変更したにも関わらず、POSTエラーとなり動かない。
これらは大問題です。
セキュリティーは甘いは、PHPは動かないは…。
なんで?なんで?なんで?
何時間もかけて、PHPと日本語パッチをダウンロード。
FTPでサーバに転送して、SSHでroot権限で入って…
マニュアルも参照して、グイグイやったにも関わらず…
ぐぉ~!!動かないでは無いか~!!
セキュリティーも色々考えてはいるのだが、どうもパッとしない。
- クッキーを使用して、ユーザが否かを判別
- IPを取得して、外部からのアクセス拒否
- リファラーを取得して、逆アクセス禁止
- 時間を取得して、アドレス直アクセス禁止
- crypt関数の使用で、パスワード暗号化
- ワンタイムパスワードの使用(使い捨てパスワード)
- パーミッション強化
駄目だ駄目だ~!全て問題が生じる~!!
そもそもPerlとPHPの共存が間違っている!!
PHPのデフォルト権限が「nobody」で、外部アクセスと言うのも間違っている!!
リファラー取得が不可能なブラウザがあるというもの間違っている!!
IPアドレスが、串・ケーブルテレビなどは固定と言うのが間違っている!!
しかも、セキュリティー面については極秘情報のようで、
単純な暗号化やセキュリティー関係しか載っていない…。
このままではハッカーに破られるどころか、一般ユーザでさえ、偶然にセキュリティーホール
を見つける可能性があります。
時間は無いし、知識も無いし、技術も無い~!
しかし、時間はコツコツと過ぎていく…。
