ここから本文です

PHPで作られたサイトの拡張子みえてるのカッコ悪いですよね?

dam********さん

2019/3/1611:14:04

PHPで作られたサイトの拡張子みえてるのカッコ悪いですよね?

閲覧数:
67
回答数:
4

違反報告

ベストアンサーに選ばれた回答

プロフィール画像

カテゴリマスター

shi********さん

2019/3/1619:58:09

#個人的には別にカッコ悪いとは思いませんが・・・

どうしても消したければ拡張子を消して(あるいは他の拡張子に偽装して).htaccessで(Filesディレクティブでファイル名もしくは拡張子を指定して)php動作するように設定してしまえばいいでしょう。

そこまでやってhttpレスポンスヘッダにX-Powered-Byが残ったままだったら笑っちゃいますが



(蛇足)
なお、私も

>ソースコードが丸見えですから怖いなーと思っていました

の意味がわかりません。サーバが攻撃者の手に落ちれば(ソースコードが丸見えになるのはそういう状況しか考えられない)たとえスクリプト言語でなくてもセキュリティ的にはもうアウトです。コンパイル言語であってもRDBMSへの接続情報を抜かれたり逆コンパイルされたりというのは時間の問題です。

この回答は投票によってベストアンサーに選ばれました!

ベストアンサー以外の回答

1〜3件/3件中

並び替え:回答日時の
新しい順
|古い順

dr_********さん

2019/3/1615:14:39

カッコ悪いかどうかではなく
セキュリティ面でダメです。

そのサイトやアプリが
何のプログラミング言語で開発されているのかを
悪意のある第三者に教えることは余計なリスクを産みます。

故に、
確かにphpはHTML同様
Apacheの公開ディレクトリ上に配置するだけでプログラムが実行されブラウザで表示されますが
本来は、phpのwebサーバー上にアプリを展開し
それをApacheやnginxのリバースプロキシで公開してやるのが一番安全です。

その際アプリのデーモン化などの措置は必要ですが

返信を取り消しますが
よろしいですか?

  • 取り消す
  • キャンセル

プロフィール画像

カテゴリマスター

tez********さん

2019/3/1613:20:31

> カッコ悪いですよね?
そう?
個人的な好みのお話ですよね?
僕は全然問題無いと思っています。

攻撃者に対して、PHPが動作する環境である事を知らせる事にはなりますが、レンタルサーバ等では今時 PHPが動作しないのを探す方が難しい...

動作するスクリプトファイル名が分かってしまうのも、特徴的な名前から動作システムが判別される事はあるでしょうが、特徴があるのはファイル名だけではなく生成される HTML(クラス名などを含む)、CSS、JavaScript にも多く表れるので、ファイル名だけを隠してもあまり意味が無いと考えます。

アクセスされた URLからルーティングして...で処理すれば、そんな事を気にする事も無かろうと思います。

返信を取り消しますが
よろしいですか?

  • 取り消す
  • キャンセル

wan********さん

2019/3/1612:37:11

カッコ悪いし、セキュリティーとしても問題です。

返信を取り消しますが
よろしいですか?

  • 取り消す
  • キャンセル

みんなで作る知恵袋 悩みや疑問、なんでも気軽にきいちゃおう!

Q&Aをキーワードで検索:

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。
お客様自身の責任と判断で、ご利用ください。
本文はここまでです このページの先頭へ

「追加する」ボタンを押してください。

閉じる

※知恵コレクションに追加された質問は選択されたID/ニックネームのMy知恵袋で確認できます。

不適切な投稿でないことを報告しました。

閉じる