もしかすると明太子がもらえるかもしれないGoogle検索+とその対策   no comments

Posted at 2:51 pm in computer,internet,Security

ノートPCのキーボードを打つだけで、手が熱くなる季節になってきました。もう7月ですね。

cats_2011-07-02_9

暑くてグッタリ

さて、基本ぼっちの私なので誰からもGoogle+に誘われることもなく、孤独な週末を過ごしています。Google+のことを夢想しながら、想像の中のGoogle+を使うのもいいのですが、そんなことをしてても虚しいだけです。

そして、想像と現実が違ったときに、それを自分の中で修正するのが大変なのと、もししばらく誰にも招待されなかったとき、誰かに想像の中のGoogle+を話してしまって、人としてのレベルが疑われるのではないかと思いますので、俺の中の最強のGoogle+を考えることはやらないことにします。

●Google+に招待されないから検索してみる

で、何をするのかと思うと誰も使わなかったLively(僕は1時間もLivelyを触ってわかった!Livelyはgoogleが作ったからサイコーだといわれたイヤな思い出がありますがここでは全く関係ないですね)やgoogle wave(難しくて2回でギブアップ)のことを思い出しながら、普通にgoogle検索して個人情報でも落ちてないかと地見屋稼業に励むことにいたします。
これは自動販売機の残されたお釣りや競馬場に捨てられた馬券の中から払い戻しのある馬券を拾い出すようなもので、特に技術は必要なく、必要なものは根気だけですので暇つぶしにはちょうどいいですね。
特に他人の個人情報が知りたいならハローページでも見とけよ、ってかんじですが、まあ、他に捜してうれしいものもないので、ゴールは個人情報にしておきます。

●何の気なしに探していたら

で、テレビを見ながら拾い屋バイトにちょっとだけ勤しんでいたら、なんかメールアドレスがあるじゃないですか。ディレクトリを掘ってみると、なんだかキャンペーンに応募した人のアドレスじゃないですか。ぎょぎょぎょぎょーっ。

こんな感じでダダ漏れしてました(イメージです)

なんか見つけてしまって悪いので、なんかデータ見えているよ、ダミーだったらいいんだけどね、とお節介メールをお客様相談室に投げておいたら、明太子頂きました。本番データだったようです(゚д゚)

明太子もらった

明太子もらった

●Googleって何でも漁ってんのね

ということで、うまくいけば明太子がもらえるかもしれない、Google検索によって個人情報を探す方法です。Googleハックとか言われてますね。
個人情報と言ってもGoogleを使った検索なので、見つけられるものは、基本的に担当者が世界に向けて公開している(彼らの本来のポリシーは知りませんが)というか、Googleのロボットが辿れるところにあるものです。
厳密にいえば違うのですが、基本的にGoogleのロボットが辿れるなら世界のみんなが平等に見られるはずの個人情報です。情報公開バンザイ。

このように世界にみんなに公開されている情報ですが、googleにはあまりにもたくさんの情報があるので、むやみに検索しただけでは目的の情報(があるわけではないのですが)にはたどり着けません。まあ、メールアドレスと住所が書かれたりしたものを見つけたいって感じですかね。

●filetype:って素敵やん

で、とりあえず、海の中から真珠を探すの大変なので、もうちょっとファイルの種類で絞り込みたいですね。htmlとかphpとか普通の拡張子では死ぬほどノイズがありますので、これではいけません。しかもこれらのファイルは公開することを前提に書かれています。いや、他のファイルもそうなんですが。

で、どんなものがいいかと思うと、データが保存されたり、バックアップされてたりしそうな拡張子ですね。iniとかlogとかsqlとかdatとかそんなかんじでしょうか。あと、ini~とかbakもいいかもしれません。

filetype:txt docomo.ne.jp

とかで検索してみると、世間に向けてメールアドレスが公開されている素敵なサイトが見つかるかもしれません。ほぼダミーデータでしょうけど。

他にもテクニックはいろいろあると思いますが、面倒くさいのでこのへんで。

●ディレクトリを掘ってみる

そして、これらの普段あまりインターネットから見られないような拡張子を持つファイルが公開されているところは、高確率でディレクトリのファイルリストが見られるようになっています。そのあたりにも素敵なファイルがあるかもしれませんね。頑張り屋さんはリンクを根こそぎダウンローダーで漁ったりするのでしょうけど、そんなにがんばってだいたいゴミなので効率を考えた方がいいのかもしれません。

●Googleに補足されないようにするには

で、検索で自社のサイトの個人情報がGoogleに捕捉されないようにするためにはどうしたらいいでしょう。

基本的にはインターネット上に個人情報を置かないことが基本だと思いますが、そんなことができているようなら、見えるはずもなく、まあいろんな理由があってインターネットに置いているのかもしれません。

なので、置きっぱなしでgoogleに補足されないようにするには、

・フォルダに認証をかける
・ディレクトリリストを見せない
・robots.txtでなんとか

というようなやり方があると思います。

●フォルダに認証をかける

フォルダで認証させる(とGoogleのボットもアクセスできなくなる)には
Apacheならhttpd.confか.htaccessファイルを置いて、

AuthType    Basic
AuthName    "name"
AuthUserFile    /home/hoge/.htpasswd
require valid-user

みたいなかんじです。

●ディレクトリのファイルリストを見せない

見せないからどうだってことですが、直リンクが誰かに張られない限り、Googleのボットはやってこないですし、リンク張られたファイル以外へのアクセスは防げます。Apacheだとhttpd.confの<Directory>ディレクティブの中が

Options Indexes

となっているはずなので、このIndexesを削除すればいいんでないかと思います。

●robots.txtでなんとか

で、あとGoogleボットにリンクをたどらないでとお願いするやり方もありますね。お願いを聞いてくれるかはわからないので、かなりの賭けになります。

User-agent: *
Disallow: /

とかにすればいいような気がしますが、こんなことするくらいなら、なんでこのサイトを表に出しているのかもう一度考え直した方がいいような気がします。

●報告は計画的に

今回はたまたま明太子がもらえて万々歳だったのですが、だいたいスルーで、運が悪いと恫喝されたりするみたいなので、くれぐれも報告は慎重に節度を持って行うことにしたいものです。修正されないからといって自分のサイトにリンクを張ったりexploitを書いたりすると捕まったりするかもしれませんしね。

Written by bogus on 7月 7th, 2011

Tagged with ,

Leave a Reply