メインコンテンツに移動
mattz.xii.jp

Main navigation

  • Home
  • NPB
  • YBR125メモ
User account menu
  • ログイン

パンくず

  1. ホーム

セキュリティ

Drupalのrobots.txtが大層話題なので一言

By mattz, 2013/05/28

Drupalユーザのひとりとして最初に言っておきたいのですが、Drupalデフォルトのrobots.txtにはまったくなんの問題もありません。

今とても話題になっている例のrobots.txtにも。

まぁ、別のところに問題はあって、脆弱性あるからさっさとアップデートしろや、と言われているバージョンである、6.26を使っていることがばれてしまうCHANGELOG.txtが放置されていることはちょっとまずいです。

DisallowされているURIにアクセスしてみればいいです。このサイトもDrupalだけど、ほとんどのURIはアクセス可能です。*.txtは色々経緯があって置いてないけれど。

まぁ、install.phpとかupdate.phpとかは常に置いておく必要のあるファイルではないけれど、置いといてそこにアクセスされたところでメッセージ表示されるだけであって別に実害はないし。僕のこのサイトも置きっぱなしです。アクセスしたけりゃどうぞ。

※update.phpはあるファイルのある変数をちょっと書き換えると、未ログインでもいくつかできちゃうことがあります。管理者パスワードがわからないとかいう状況にならないと、そんな書き換えをしなきゃいけない状況にはならないですけど。

/admin?何がまずいの?ブルートフォースアタックが可能?ってそれid/passでログインさせる全てのサイトはそうですよね?ちなみに、Drupalにはデフォルトの管理者ユーザというのはありません。最初のセットアップの時に管理者が任意で設定します。drushでインストールすると、デフォルトのadminユーザになっちゃうけど、あとから変更も可能ですし。

Drupalにはある思想があります。めちゃめちゃ乱暴に意訳すると、「拡張するならモジュールとテーマでやれ。アップデートできなくなるからコアには触るな」てな感じ。まぁ、ホワイトハウスで使われているDrupalなんかは相当コアに手を入れている感はありますけど、こういう特殊な例はおいとくとして、robots.txtに書かれているディレクトリ群は、全部コアに関わる部分なので基本的には触っちゃいけないし、Drupalで構築したサイトならば当然存在します。当然そこにあるものなので、そこにアクセスされて問題になるようには作られていないです。もちろん、まだ見つかってない問題がある可能性はありますが。

robots.txtは、ただ単にrobotはクロールしてくれるな、ということを書いてあるだけであって、別に隠そうとしているわけでもなんでもないので、アクセスしたけりゃすればいいんじゃないですか?大体、適当なページのソース表示したりすれば、Disallowされているフォルダのほとんどがそこに存在することは分かる訳ですし、そんなもん隠すわけないじゃないですか。

drupal.orgのrobots.txtもsitemap以外は同じですから、どうぞみなさんそこにもツッコんであげてください。

タグ

  • Drupal
  • セキュリティ

月別アーカイブ

  • 6月 2025 (48)
  • 12月 2024 (1)
  • 11月 2023 (3)
  • 10月 2023 (1)
  • 12月 2022 (1)
  • 4月 2022 (1)
  • 12月 2021 (1)
  • 2月 2021 (1)
  • 11月 2020 (1)
  • 7月 2020 (1)
  • 12月 2019 (1)
  • 7月 2019 (2)
  • 5月 2019 (3)
  • 3月 2019 (1)
  • 2月 2019 (1)
  • 12月 2018 (1)
  • 12月 2017 (1)
  • 1月 2017 (1)
  • 5月 2016 (1)
  • 2月 2016 (1)
  • 2月 2015 (2)
  • 11月 2014 (1)
  • 7月 2014 (1)
  • 6月 2014 (1)
  • 5月 2014 (1)
  • 2月 2014 (1)
  • 12月 2013 (1)
  • 11月 2013 (1)
  • 10月 2013 (1)
  • 6月 2013 (1)
  • 5月 2013 (1)
  • 3月 2013 (2)
  • 2月 2013 (1)
  • 1月 2013 (2)
  • 12月 2012 (1)
  • 11月 2012 (1)
  • 10月 2012 (4)
  • 9月 2012 (1)
  • 8月 2012 (2)
  • 6月 2012 (2)
  • 5月 2012 (1)
  • 3月 2012 (5)
  • 2月 2012 (1)
  • 1月 2012 (3)
  • 12月 2011 (1)
  • 10月 2011 (1)
  • 7月 2011 (4)
  • 6月 2011 (3)
  • 5月 2011 (2)
  • 4月 2011 (7)
  • 3月 2011 (4)
  • 2月 2011 (1)
  • 1月 2011 (2)
  • 12月 2010 (2)
  • 11月 2010 (2)
  • 10月 2010 (5)
  • 9月 2010 (5)
  • 8月 2010 (1)
  • 7月 2010 (6)
  • 6月 2010 (6)
  • 5月 2010 (4)
  • 4月 2010 (6)
  • 3月 2010 (14)
  • 2月 2010 (10)
  • 1月 2010 (6)
  • 12月 2009 (11)
  • 11月 2009 (10)
  • 10月 2009 (13)
  • 9月 2009 (23)
  • 8月 2009 (12)
  • 7月 2009 (23)
  • 6月 2009 (22)
  • 5月 2009 (40)
  • 4月 2009 (6)
  • 3月 2009 (6)
  • 2月 2009 (6)
  • 1月 2009 (12)
  • 12月 2008 (15)
  • 11月 2008 (13)
  • 10月 2008 (10)
  • 9月 2008 (12)
  • 8月 2008 (19)
  • 7月 2008 (15)
  • 6月 2008 (45)
  • 5月 2008 (29)
RSS feed