セキュリティの基礎
社内専用サイトを構築する場合を例にとって注意点を列挙したいと思います
・サイト構築中はその内側から外部サイト参照を行ってはいけません
→閲覧された側はサイト訪問者の団体種別・業種などに興味があり、ホームページを見てみたいと思っている場合が多い
→構築が終了しても、公式ホームページドメインのサブドメインから外部へ出る仕組みを作ってからです
→サイト提供サーバのいる場所からは外部へリクエストをするのは危険です。DMZを作ったとしても危険です。
→どうしても構築中に他のサイトを閲覧したい場合は別のプロバイダ経由で見ましょう
・ドメイン名だけの時index.htmlなど存在するファイルが開くようにします
→理由はサイトが上がっていて、ファイルがあたっていない場合は構築中と判断されターゲットにされやすい
・index.htmlには会社案内などを入れておく
→理由は簡単です、社内専用サイトである事をカモフラージュ
・社外ipからのアクセスを止める。
→社員向けダイアルアップのアクセスポイントを作り、発信者電話番号でログイン制限をする
→または個人認証を使う
・全htmlファイルにパスワード認証を付ける
・スタッフ専用の入り口は別に設ける。長い名前のhtmlファイル名など
・試験運用時はインターネットと接続時間を短くする。または接続をしない。
・サービスの入り口には/サブディレクトリ/index.htmlのような名前は使わない。予想が可能であるため
・他社BtoB用idとpassword一覧を置かない、置くなら認証を別途設ける
どのような行為がどのような結果になるのかを、その行為を実行する前に検討をする事が必要です
通常のWindowsクライアントを使っている状況と同じ方法を使うのは大変危険です
サーバからブラウザ・メーラーをアンインストールしてから作業開始するのがベストです