メインコンテンツに移動
mattz.xii.jp

Main navigation

  • Home
User account menu
  • ログイン

パンくず

  1. ホーム

Drupalのrobots.txtが大層話題なので一言

By mattz, 2013/05/28

Drupalユーザのひとりとして最初に言っておきたいのですが、Drupalデフォルトのrobots.txtにはまったくなんの問題もありません。

今とても話題になっている例のrobots.txtにも。

まぁ、別のところに問題はあって、脆弱性あるからさっさとアップデートしろや、と言われているバージョンである、6.26を使っていることがばれてしまうCHANGELOG.txtが放置されていることはちょっとまずいです。

DisallowされているURIにアクセスしてみればいいです。このサイトもDrupalだけど、ほとんどのURIはアクセス可能です。*.txtは色々経緯があって置いてないけれど。

まぁ、install.phpとかupdate.phpとかは常に置いておく必要のあるファイルではないけれど、置いといてそこにアクセスされたところでメッセージ表示されるだけであって別に実害はないし。僕のこのサイトも置きっぱなしです。アクセスしたけりゃどうぞ。

※update.phpはあるファイルのある変数をちょっと書き換えると、未ログインでもいくつかできちゃうことがあります。管理者パスワードがわからないとかいう状況にならないと、そんな書き換えをしなきゃいけない状況にはならないですけど。

/admin?何がまずいの?ブルートフォースアタックが可能?ってそれid/passでログインさせる全てのサイトはそうですよね?ちなみに、Drupalにはデフォルトの管理者ユーザというのはありません。最初のセットアップの時に管理者が任意で設定します。drushでインストールすると、デフォルトのadminユーザになっちゃうけど、あとから変更も可能ですし。

Drupalにはある思想があります。めちゃめちゃ乱暴に意訳すると、「拡張するならモジュールとテーマでやれ。アップデートできなくなるからコアには触るな」てな感じ。まぁ、ホワイトハウスで使われているDrupalなんかは相当コアに手を入れている感はありますけど、こういう特殊な例はおいとくとして、robots.txtに書かれているディレクトリ群は、全部コアに関わる部分なので基本的には触っちゃいけないし、Drupalで構築したサイトならば当然存在します。当然そこにあるものなので、そこにアクセスされて問題になるようには作られていないです。もちろん、まだ見つかってない問題がある可能性はありますが。

robots.txtは、ただ単にrobotはクロールしてくれるな、ということを書いてあるだけであって、別に隠そうとしているわけでもなんでもないので、アクセスしたけりゃすればいいんじゃないですか?大体、適当なページのソース表示したりすれば、Disallowされているフォルダのほとんどがそこに存在することは分かる訳ですし、そんなもん隠すわけないじゃないですか。

drupal.orgのrobots.txtもsitemap以外は同じですから、どうぞみなさんそこにもツッコんであげてください。

タグ

  • Drupal
  • セキュリティ
前のエントリー次のエントリー

最近のエントリー

  • 俺は野球殿堂博物館を甘く見ていた
  • 2022シーズン セ・パ12球団の総移動距離
  • Drupalを9にあげてみました
  • 2021シーズン セ・パ12球団の総移動距離
  • 登場曲
  • 2020シーズンのセ・パ12球団の総移動距離を調べてみた
  • vagrant + VirtualBoxで構築した仮想ホスト(Cent OS)の.sshフォルダの権限をうっかり変えてしまってvagrant sshできなくなっちゃった時の話
  • STVの呪い
  • 松田 vs 十亀シミュレーター
  • ○●○●○●○●○●○●○

タグ

DragonflyセキュリティCDイベントTogetterマンガオウガwebお出かけ田中圭一空耳DrupalUserJSONE OUTSながいけんLDR皆川亮二とめはねっ!24のひとみメールフロマンガ小池一夫IE6石塚真一男女PSP増田吉田戦車弁護士のくずツモっ子どうぶつの森甲斐谷忍森のテグーたむらぱん写真集加藤伸吉bookmarkletgrepUserCSSTwitterゼブラクイーンTap Defenseカルネージハートスポーツ三国志ライブJavaScript時をかける少女ER倉島圭Michael Jacksonプログラミング言語神聖モテモテ王国NPB国民クイズ上ってなンボ!!おもちゃブログOperasaku saku岳Googleケータイ琉神マブヤー12月生まれの少年コンビニFONレジストリMovable TypePEACE MAKER杉元伶一翻訳塊魂武帝紀田辺イエロウ映画キーボード正規表現ニュースphp北方謙三Python二ノ宮知子Excel安全地帯私たちは繁殖している木村カエラ燃えるVはてなYahoohideシャーロック・ホームズ仮面ライダーSPIRITSやきう井浦秀夫お知らせperlHALCALI風来のシレンサナギさん猫安倍夜郎twicli村枝賢一河合克敏本さくらインターネット音楽UIIMEGoogle+島本和彦Line RiderWindowsFreeBSDウルフガイ野球pipesアプリいきものがかり施川ユウキ内田春菊平井和正結界師ファイターズボルダリングCSS2ちゃんねるOAuthゲーム日本語CPAN卓球のだめカンタービレlinuxiOSChromeADAMAS小説ブラウザvagrant雑記Firefox検索仲里依紗DVDspam水滸伝
mattz.xii.jp