Internet Explorer
でファイルを送信すると個人情報が漏洩する可能性について
-
セキュリティベンダーから指摘が無いということは、
セキュリティホールではないのだろう。
Windows XP SP2 + IE6 sp2 で確認しました。
すべての Windows のバージョンでおそらく発生します。
情報整理
IE7 以外のほぼ全てのブラウザで問題が発生すると思われます。
IE7 も一部設定変更が必要です。 対処方法のところを参照してください。
-
フォームを使用してファイルを送信すると、
選択したファイルのフルパスがそのまま送信される。
-
デスクトップ上や、マイ ドキュメント内に作成したファイルを送信すると、
提供されるパスは以下のような感じになります。
- 内部ディレクトリ構造
- ログオンID、もしくは、ユーザー名、場合によっては NetBIOSドメイン名
- 送信元IPアドレス
- 送信したファイル
C:\Documents and Settings\username\My Documents\test.txt
ファイルを送信することによって、 サーバ管理者は以下の情報が手に入ることになります。
内部ディレクトリ構造が漏洩しても、 今すぐどうこうということはありませんが、 ログオンIDが漏洩するのはかなり問題です。
大学や企業では、ユーザー管理のために、 学生番号や社員番号を一般的によく使用します。 また、表示名に本名が使われている場合も少なくないため、 IPアドレスの情報と組み合わせて、 どこの学校or企業の誰が送信したか特定できることになります。
この問題は、アップローダだけでなく WEBメールサービスでファイルを添付した際にも起こりますので注意が必要です。
これを悪用して名前を収集するサーバ管理者が出てくるかもしれません。
-
こんなところでしょうか。
- IE7をインストールし、インターネットゾーンのセキュリティ設定で [サーバーにファイルをアップロードするときにローカル ディレクトリのパスを含める] を無効にする
- Firefox の場合は、 拡張機能の NoScript をインストールすることで 問題を未然に回避できる場合があります。
- いったん別のフォルダに移動してから送信する。
- ユーザー名は本名などを避け、意味の無い単語にする
-
デスクトップ上に空のファイルを作成して、アップロードしてみてください。
アップしたファイルに関するログはとっていませんのでご安心ください。